Зачем автоматизировать информационную безопасность на предприятии? Как обосновать затраты на это? Какие системы и платформы необходимы для автоматизации? Что чаще всего тормозит её внедрение и какие тенденции нас ждут на этом рынке?
- Введение
- Цели и задачи автоматизации ИБ
- Средства автоматизации ИБ
- 3.1. Какие системы или платформы необходимы для автоматизации ИБ?
- 3.2. Можно ли провести процесс автоматизации без специальных систем?
- 3.3. Примеры успешной автоматизации
- 3.4. Нейросети и машинное обучение: как применять их в автоматизации?
- 3.5. Как обосновать затраты на автоматизацию перед руководством?
- Практика автоматизации ИБ
- Итоги эфира
- Выводы
Введение
Представители вендоров, заказчиков и интеграторов обсудили тему автоматизации информационной безопасности. В прямом эфире AM Live они разбирались в том, что же такое автоматизация в этом сегменте и зачем она нужна, как обосновать затраты на неё, какие системы необходимы для автоматизации и как применять в этой области машинное обучение. Также эксперты обсудили перспективы и тренды рынка.
Рисунок 1. Спикеры прямого эфира в студии Anti-Malware.ru
Спикеры прямого эфира:
- Николай Климов, независимый эксперт;
- Григорий Ревенко, директор центра экспертизы R-Vision;
- Ева Беляева, руководитель отдела развития Security Vision;
- Антон Соловей, менеджер продукта XDR, «Лаборатория Касперского»;
- Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ;
- Вячеслав Тупиков, ведущий аналитик JSOC «РТК-Солар»;
- Михаил Стюгин, руководитель направления автоматизации информационной безопасности, Positive Technologies.
Ведущий и модератор дискуссии — Лев Палей, директор по информационной безопасности WebmonitorX.
Цели и задачи автоматизации ИБ
Когда стоит задуматься об автоматизации?
В самом начале дискуссии Лев Палей рекомендовал задуматься над основополагающими вопросами — например, над тем, когда же необходимо задумываться об автоматизации, какие предпосылки и условия должны этому предшествовать.
Анастасия Федоренко:
— Автоматизация — это действия, которые выполняются с использованием технологий, которые автоматизируют процесс. Понимание того, что нам эта технология необходима, приходит тогда, когда специалист начинает выполнять большое количество рутинных задач и их становится больше, чем его времени и возможностей.
Григорий Ревенко:
— Технологии и человечество разгоняются очень быстро, и человек за своими же темпами экономического роста физически не успевает. Мы не можем с такой же скоростью взращивать и подготавливать специалистов. Один из способов решения этой проблемы — автоматизация. Задумываться же о ней нужно тогда, когда текущие отлаженные процессы не «вытягивают» запросы бизнеса.
Григорий Ревенко, директор центра экспертизы R-Vision
Николай Климов:
— Автоматизацией нужно заниматься тогда, когда надоела рутина, когда она тебя поглощает и отнимает большой процент времени, а также если ты хочешь ускорить те или иные процессы и добиться больших результатов, затратив при этом меньше сил.
Ева Беляева:
— С рутинными задачами при массовых операциях возникает вероятность того, что человек так или иначе ошибётся. Он может отладить вывод, прописать ожидаемые от скрипта параметры и наслаждаться свободным временем, а также переключиться на другие задачи. Это позволяет не перепроверять свою работу раз за разом, а люди ошибаются чаще, чем машины.
Ева Беляева, руководитель отдела развития Security Vision
Михаил Стюгин:
— Мы говорим про автоматизацию не только как про сокращение рутинных операций. Это, безусловно, задача номер один, но есть задачи кибербезопасности, которые в принципе не решаются без автоматизации. Например, для того чтобы покрыть мониторингом инфраструктуру большой компании, которая генерирует невероятное количество событий по информационной безопасности, без автоматизации просто не обойтись.
Вячеслав Тупиков:
— Есть ещё другая сторона: автоматизация — это возможность дать нашим сотрудникам, самому ценному нашему ресурсу, расти, потому что если они большую часть времени пытаются угнаться за чем-либо, то времени на самосовершенствование у них не остаётся. И автоматизация — это способ дать им время, чтобы сделать нашу компанию лучше.
Вячеслав Тупиков, ведущий аналитик JSOC «РТК-Солар»
Антон Соловей:
— Процесс автоматизации должен быть воспроизводимым, это должно быть не разовое явление. Также он должен быть формализуемым. Если процесс воспроизводим и мы можем его описать по шагам, то, вероятно, мы можем его автоматизировать.
Эксперты выделили категории работников, которым необходима автоматизация в том или ином виде. Первый пласт — это инженеры, люди, которые делают свою работу руками и заинтересованы в том, чтобы уйти от рутины. Например, им это потребуется при создании огромного количества виртуальных машин. Второй пласт — это уровень руководства (средний менеджмент). Они начинают интересоваться автоматизацией тогда, когда количество одних и тех же задач растёт, а персонала не прибавляется. Третий уровень — это топ-менеджмент. Для них это — вопрос скорости: например, как быстро они получат отчёт.
По мнению Михаила Стюгина, компании начинают автоматизировать процессы не потому, что могут себе это позволить, а потому, что появляются причины — например, наличие кадрового голода или наступление определённой зрелости процессов.
Михаил Стюгин, руководитель направления автоматизации информационной безопасности, Positive Technologies
Конечными же бенефициарами автоматизации являются даже не руководители служб мониторинга, а непосредственно топ-менеджмент и сам бизнес. При этом только бизнес может понять, несёт ли автоматизация какие-то риски для него.
Результаты опроса зрителей эфира AM Live показали, что в 2022 и 2023 гг. почти половина опрошенных — 48 % и 49 % соответственно — автоматизировали только некоторые неинвазивные операции. Немалая доля компаний в 2022 г. занималась автоматизацией большинства простых рутинных операций (42 %). В 2023 г. эта доля снизилась до 35 %. Схожая ситуация — и с теми компаниями, которые смогли автоматизировать все процессы: в 2022 г. их было 6 %, а в 2023 г. стало 5 %. Тех же, кто против автоматизации, в 2023 г. оказалось почти в три раза больше — 11 % против 4 % в 2022 г.
Рисунок 2. Какие процессы ИБ автоматизированы в вашей компании?
Автоматизация рутинных операций или автоматизация процессов?
У спикеров не нашлось единого мнения относительно подхода к автоматизации: необходимо ли автоматизировать отдельные рутинные операции или же сами процессы в компании. Однако чаще, по мнению экспертов, автоматизируются рутинные операции, потому что «наверху» не получается перепроектировать какой-то из уже работающих процессов.
Трудностью здесь является не сама автоматизация, а целеполагание, то есть умение построить дерево метрик и понять, на какую из них необходимо повлиять, считают эксперты.
Средства автоматизации ИБ
Какие системы или платформы необходимы для автоматизации ИБ?
Интеграторы чаще применяют системы оркестровки, автоматизации и реагирования (Security Orchestration, Automation and Response, SOAR), платформы реагирования на инциденты (Incident Response Platform, IRP), комплексы управления процессами в информационной безопасности (Security Governance, Risk, Compliance, SGRC), программы повышения осведомлённости, а также расширенное обнаружение и реагирование на сложные угрозы и целевые атаки (Extended Detection and Response, XDR).
Михаил Стюгин отметил, что для заказчика вообще любое средство защиты информации (СЗИ) является инструментом автоматизации. Он также успокоил аудиторию, сказав, что решения для автоматизации не преследуют цели сократить персонал в компании: они предназначены для того, чтобы повысить эффективность его работы.
Большинство приходит к автоматизации потому, что иначе определённую проблему не решить. Например, самая главная проблема центра управления безопасностью (Security Operations Center, SOC) — где найти людей, которых просто нет на рынке. В итоге приходится работать с тем штатом, который есть в компании, автоматизируя некоторые процессы. Для начала понадобится автоматизировать базовые ИТ-потребности.
Можно ли провести процесс автоматизации без специальных систем?
Гости студии отметили, что выстроить процесс автоматизации в компании без SOAR или XDR возможно. Например, есть вариант начать со свободного софта. Зачастую ПО с открытым кодом (Open Source) удобно большим корпорациям с нестандартными задачами, для которых не подходят рыночные продукты. Такие игроки начинают либо делать что-то своё, либо использовать Open Source. Весь остальной пласт задач в компании закрывается «коробочными» решениями, отметили эксперты.
Большинство опрошенных зрителей эфира автоматизируют ИБ через стандартные возможности используемых СЗИ (34 %). Проводят автоматизацию с помощью SGRC и SOAR 23 % опрошенных. Не занимаются этим и даже не планируют подобного 16 % респондентов. 13 % зрителей эфира автоматизируют ИБ при помощи решений с открытым кодом, а 8 % — при помощи набора скриптов. Наконец, 6 % респондентов автоматизируют ИБ через XDR.
Рисунок 3. Как вы проводите или планируете проводить автоматизацию ИБ?
Примеры успешной автоматизации
Николай Климов рассказал о том, как в его организации сократили затраты на аналитиков первой линии SOC. Эксперты автоматизировали привычную обработку и добавили к системе машинное обучение (ML).
В Positive Technologies с помощью решения MaxPatrol O2 смогли оптимизировать работу оператора. Решение выдаёт в 10 раз меньше срабатываний, то есть оператор отвлекается в 10 раз реже. Кроме того, длительность расследования инцидента сокращается более чем в 10 раз за счёт того, что система собирает дополнительный контекст.
В «РТК-Соларе» за ростом количества заказчиков не поспевал рост персонала. Используя возможности комплекса по управлению информацией и событиями (Security Information and Event Management, SIEM), компания получила множество дополнительного контекста, обеспечила соединение инцидентов в цепочки и смогла «подсвечивать» ложноположительные срабатывания. Персонал при этом не сократился, а вендору удалось сохранить заказчиков, уровень качества услуг (SLA) и уровень защищённости.
Нейросети и машинное обучение: как применять их в автоматизации?
Эксперты много внимания уделяют машинному обучению. По мнению Григория Ревенко, языковые модели могут быть полезны, когда аналитик в компании обрабатывает до нескольких тысяч событий. При этом есть доля ошибок, но система помогает аналитикам понять, на что стоит обратить внимание в первую очередь.
Эксперты также внедряли ChatGPT. Инструмент давал специалистам советы по реагированию. Кроме того, ML-модели внедрялись на уровне выявления, реагирования и взаимодействия. В частности, статистические модели позволяют выявлять аномалии, а модель анализа естественного языка обнаруживает т. н. «обратный шелл» (Reverse Shell). Использовались и бесплатные модели, дополнительно обученные на собственных данных для помощи аналитикам в ретроспективном анализе событий и обогащении карточек инцидентов.
Как обосновать затраты на автоматизацию перед руководством?
Необходимо в первую очередь понимать, зачем автоматизация нужна компании: какие трудозатраты снизятся и какую выгоду от этого можно получить. Например, XDR существенно уменьшает затраты на расследование сложных инцидентов, консолидируя обнаружение и расследование в единой консоли. Это сильно ускоряет объединение слабых сигналов в сильные инциденты, позволяет аналитикам быстрее их расследовать и реагировать на них, достигая, соответственно, большей производительности.
Машинное обучение поможет проанализировать поток событий, обнаружить подозрительное поведение и наполнить SOAR-системы релевантными данными. Это позволит выявить злоумышленника на ранних стадиях, снизив затраты и потенциальные репутационные потери компании.
Согласно проведённому опросу, в 2023 г. стало гораздо меньше тех, кто хотел бы автоматизировать «всё вместе» — только 30 %. В 2022 г. таких респондентов было больше 40 %. Заинтересованы в автоматизации обнаружения угроз 30 % опрошенных против 20 % в 2022 г. Перевести в автоматический режим реагирование на инциденты хотели бы 24 % респондентов — почти столько же, сколько в прошлом году.
При этом управление СЗИ хотели бы автоматизировать 7 % против 5 % в 2022 г. Стремятся автоматизировать взаимодействие с ИТ 5 % (на один процентный пункт меньше, чем в 2022 г.). Немного уменьшилось и количество тех, кому ничто не интересно в этой области. В 2023 г. их оказалось 4 % против 5 % в 2022 г.
Рисунок 4. Какие процессы ИБ вам было бы интересно автоматизировать в первую очередь?
Практика автоматизации ИБ
Препятствия на пути автоматизации
По словам экспертов, в первую очередь вендоры сталкиваются со страхами перед автоматизацией. С другой стороны, у людей просто могут быть не выстроены процессы, которые необходимо автоматизировать. Бывает и так, что в компании просто не поделены зоны ответственности.
Часто внедрение автоматизации тормозится неготовностью инфраструктуры заказчика либо изменением пожеланий на этапе опытной эксплуатации.
Зрители AM Live посчитали, что преградами для внедрения автоматизации ИБ в 2023 г. выступают отсутствие бюджета (31 % респондентов), отсутствие экспертизы (28 %), отсутствие поддержки руководства (13 %) и неготовность ИТ (12 %). Затруднились ответить 16 % опрошенных.
В 2022 г. картина была немного иной. Отсутствие бюджета среди преград выделили 32 % опрошенных. Нехватка поддержки руководства мешала 21 % зрителей, неготовность ИТ — 19 %. По 14 % голосов набрали варианты ответа «Отсутствие экспертизы» и «Затрудняюсь ответить».
Рисунок 5. Что мешает вам внедрять автоматизацию ИБ?
Прогнозы развития автоматизации ИБ
Ева Беляева:
— Я надеюсь, что автоматизация станет доступна каждому заказчику, причём в разумных пределах в соотношении между эффективностью и стоимостью. Я надеюсь, что в «коробочные» продукты заложат ту необходимую долю автоматизации всего вокруг, что касается SOAR и ML. Хорошо, если все, кому нужна автоматизация, смогут «из коробки» настроить решение и пользоваться им.
Анастасия Федоренко:
— В дальнейшем активно будут использоваться SOAR-системы, и соответствие требованиям (комплаенс) станет переходить в эту часть. Поэтому сейчас появляются новые решения, автоматизирующие контроль проверки организационно-технических мер. Мне бы хотелось, чтобы мы двигались в сторону автоматизации. И всё, что можно автоматизировать, мы должны автоматизировать.
Анастасия Федоренко, руководитель направления автоматизации ИБ, УЦСБ
Михаил Стюгин:
— Будет ли расти спрос на автоматизацию? Он расти не должен. Скорее, спрос на автоматизацию характеризует незрелость ИБ-рынка. В кибербезопасности мы должны переходить не в продажи автоматизации, а в продажи её результата.
Антон Соловей:
— Я думаю, автоматизации будет становиться больше и она из разрозненных кейсов будет приходить к стандарту, потому что автоматизация — это быстрее, конкурентнее, выгоднее. Все туда придём.
Антон Соловей, менеджер продукта XDR, «Лаборатория Касперского»
Григорий Ревенко:
— Появилась история с автоматизацией развёртки ложной инфраструктуры, и это становится писком моды. Мы также увидели приличный запрос на работу по автоматизации сборов логов. Если говорить про короткую перспективу, то в тренде — обман злоумышленников (Deception) и управление уязвимостями (Vulnerability Management) с точки зрения процесса, который можно автоматизировать.
Николай Климов:
— Тренд на автоматизацию есть. Здесь главное, чтобы наши коллеги по рынку стремились туда с учётом нехватки компетенций. Их необходимо подтягивать, развивать. И желательно автоматизировать всё, что только можно, но с умом.
Николай Климов, независимый эксперт
Вячеслав Тупиков:
— Хочется верить, что автоматизацией мы на практике сможем охватить больше задач. Со стороны заказчиков будет запрос на это, а со стороны вендоров средств защиты — возможности реализации. Хочется автоматизации не основного жизненного цикла инцидента, а аналитики, которая происходит над инцидентами.
Итоги эфира
После эфира ровно половина зрителей AM Live планирует и дальше автоматизировать ИБ в своей компании. Заинтересовались и решили попробовать самостоятельно 30 % респондентов. Посчитали, что участники не смогли доказать необходимость автоматизации, 10 % опрошенных, а 7 % охарактеризовали её как интересную, но пока избыточную вещь. 3 % не поняли темы беседы.
Рисунок 6. Каково ваше мнение относительно автоматизации ИБ после эфира?
Выводы
В новой реальности, в которой кратно увеличилось количество и качество угроз, а рынок не успевает взращивать специалистов в области информационной безопасности, на помощь экспертам будет приходить автоматизация.
Будущее автоматизации — это рост и охват всех зон ИБ. Этот процесс уже не будет сопровождаться препонами вроде неведения руководства и отсутствия бюджета. Компании осознают, что автоматизация всегда необходима, и она будет постоянно трансформироваться. С учётом этого на российском рынке появится больше работающих систем такого рода.
Проект AM Live даёт профессионалам рынка информационной безопасности возможность обсудить с коллегами наиболее важные и актуальные проблемы индустрии. Дискуссии в нашей студии позволяют получить полное, комплексное представление о предмете разговора, рассмотреть его с разных точек зрения — глазами вендора, заказчика, независимого эксперта. Зрители прямого эфира могут участвовать в обсуждении, задавая вопросы экспертам и оставляя комментарии. Чтобы не пропускать новые эпизоды онлайн-конференции AM Live, не забудьте подписаться на YouTube-канал проекта и включить уведомления о новых трансляциях. До встречи в эфире!