В каких случаях для автоматизации управления инцидентами компании достаточно универсальной системы, а когда необходимо использование специализированных продуктов? Ответить поможет сравнительный анализ функций универсальной системы Jira Service Desk и модуля управления инцидентами (Ticketing) специализированной системы Security Vision, которая предназначена для централизованного управления информационной безопасностью и автоматизации ключевых процессов информационной безопасности организации.
- Введение
- Функциональные возможности систем
- 2.1. Доступные для развертывания платформы. Мобильные и стационарные приложения
- 2.2. Доступные возможности для масштабирования
- 2.3. Возможности интеграции с другими системами. Наличие встроенных интерпретаторов для выполнения произвольных скриптов
- 2.4. Возможности работы с заявками
- 2.5. Простота настройки
- 2.6. Удобство системы для администраторов
- 2.7. Оповещения
- 2.8. Отчетность и визуализация
- 2.9. Визуализация заявок с привязкой к географической карте 2D/3D
- Выводы
Введение
В настоящее время даже самые крупные компании с осторожностью подходят к вопросу расходования финансов и склонны к экономии больше, чем раньше. Происходит это и в области ИТ, когда под новые задачи и растущие потребности бизнеса пытаются приспособить уже установленные системы. Иногда, при должной гибкости и функциональности продукта, а также необходимом уровне подготовки ИТ-специалистов, это проходит вполне успешно и позволяет адаптировать систему под текущие запросы бизнеса. С другой стороны, очевидно, что информационная безопасность — сфера, которая имеет свою ярко выраженную специфику, и возможность полноценного покрытия широкого спектра относящихся к ней вопросов при помощи универсальных, а не специализированных ИТ-продуктов является весьма спорной.
В компании «Ростелеком — Центры обработки данных» решили сравнить, в контексте обеспечения информационной безопасности, представителей систем двух типов — универсальную, которую можно адаптировать под самые разнообразные задачи и деятельность, и специализированную, предназначенную именно для обеспечения кибербезопасности. Типовая архитектура системы обработки заявок, зачастую используемая как в универсальных, так и в специализированных решениях, представлена на рисунке 1.
Рисунок 1. Типовая архитектура системы обработки заявок
В качестве типичного представителя качественных универсальных систем мы решили взять решение Jira Service Desk австралийской компании Atlassian реализованное на универсальной платформе Jira. Jira Service Desk предназначена в первую очередь для организации взаимодействия с пользователями, хотя наиболее известное решение на Jira используются для управления проектами и задачами. Конфигурация платформы Jira обладает широкими возможностями: например, для каждого приложения может быть определен отдельный тип задачи с собственным workflow, набором статусов, одним или несколькими видами представления. Кроме того, с помощью так называемых «схем» можно определить для каждого индивидуального Jira-проекта собственные права доступа, поведение, видимость полей и многое другое.
В качестве представителя качественных специализированных систем, предназначенных именно для обеспечения информационной безопасности, мы решили рассмотреть продукты из серии Security Vision — российского решения, созданного ГК «Интеллектуальная безопасность». Security Vision позволяет автоматизировать ключевые процессы обеспечения информационной безопасности в организации, а также способна осуществлять мониторинг и роботизированное реагирование на инциденты кибербезопасности. Бренд Security Vision объединяет под собой 4 продукта — Security Vision Security Operation Center (Security Vision SOC), Security Vision Incident Response Platform (Security Vision IRP), Security Vision Cyber Risk System (Security Vision CRS) и Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC). В сравнении был использован модуль управления инцидентами (Ticketing Workflow), который входит в состав продукта SV Security Operation Center (SOC), а также набор базовых модулей платформы, таких как отчетность и дашборды.
Итак, проанализируем с точки зрения обеспечения информационной безопасности функциональные возможности Jira Service Desk и Ticketing Workflow Security Vision. А также рассмотрим, как с их помощью реализуется одна из наиболее востребованных функций ИБ — обработка заявок — и попробуем выяснить, годятся ли классические средства тикетинга для подразделений информационной безопасности или они нуждаются в специализированных продуктах.
Функциональные возможности систем
Критерии / Продукт | Security Vision Ticketing | Jira Service Desk |
Доступные для развертывания платформы. Мобильные и стационарные приложения | ||
Наличие облачной версии | Нет | Да |
Возможность установки на ОС семейства Windows | Да | Да |
Возможность установки на ОС семейства Unix | Да | Да |
Наличие приложения для мобильных платформ | Нет, тонкий клиент | Да |
Доступные возможности для масштабирования | ||
Вертикальное масштабирование | Да | Да |
Горизонтальное масштабирование | Да | Да |
Возможности интеграции с другими системами. Наличие встроенных интерпретаторов для выполнения произвольных скриптов | ||
Active Directory | Да, с возможностью внесения изменения в Active Directory | Да, используется только для аутентификации в системе |
Atlassian Confluence | Да | Да |
Cisco | Да, есть отдельные коннекторы для интеграции с сетевыми устройствами Cisco (в том числе FirePower и IronPort) по API, SSH, SNMP | Нет |
CMDB iTop | Да | Да, с помощью отдельного плагина (платные и бесплатные) |
Dropbox | Нет | Да |
FortiMail | Да | Нет |
Gigamon | Да | Нет |
JAVA (интерпретатор) | Да, есть интерпретатор JAVA | Нет |
HP SM | Да, возможна интеграция с помощью REST API и SOAP | Нет |
Imperva | Да | Нет |
Infowatch | Да | Нет |
Kaspersky Security Center | Да | Нет |
LanDesk | Да, есть встроенный коннектор | Нет |
Lieberman ERPM | Да, есть коннектор с возможностью внесения изменения в настройки Lieberman ERPM | Да, есть возможность формировать заявки из Lieberman ERPM |
MaxPatrol | Да, разные версии | Нет |
Microsoft TMG | Да | Нет |
Microsoft Outlook | Да, универсальный коннектор под imap, pop3 | Да |
Microsoft Exchange | Да, с возможностью внесения изменений в настройки сервера Microsoft Exchange | Да, используется для отправки почтовых уведомлений, а также возможно формирование заявок из почтовых сообщений |
MSSQL | Да | Да |
MySQL | Да | Да |
Oracle | Да | Да |
Palo Alto | Да, есть коннектор с возможностью внесения изменения в настройки Palo Alto | Да, есть возможность формировать заявки из Palo Alto |
PostgreSQL | Да | Да |
PowerShell | Да, есть коннектор с возможностью подключения к серверам с помощью PowerShell | Да, есть возможность формировать заявки из PowerShell |
Python (интерпретатор) | Да, есть полноценный интерпретатор Python | Нет |
QlikView | Да | Да |
QRadar | Да, коннектор с возможностью контроля полноты полученных данных | Нет |
RSA Security | Да | Нет |
McAfee SIEM | Да | Нет |
ArcSight | Да | Нет |
Fortinet SIEM | Да | Нет |
MaxPatrol SIEM | Да | Нет |
RuSIEM | Да | Нет |
Splunk | Да | Нет |
Symantec | Да, коннектор с возможностью внесения изменений в настройки Symantec Critical Point Protection и Symantec Endpoint Protection | Нет |
Syslog | Да, есть возможность формировать заявки на основании полученного Syslog | Нет |
TeamViewer | Нет | Да, с помощью отдельного плагина |
Telegram | Да | Да, с помощью отдельного плагина |
Unix | Да, есть коннектор с возможностью подключения к серверам Unix с помощью SSH | Нет |
VMware | Да, есть коннектор с возможностью внесения изменений в настройки VMware ESXi и VMware vCenter | Нет |
Windows Server | Да, есть коннектор с возможностью подключения к серверам Windows с помощью WindowsShell | Нет |
Zabbix | Да | Да, с помощью отдельного плагина |
ФПСУ | Да, есть коннектор с возможностью внесения изменений в настройки ФПСУ | Нет |
Континент | Да, есть коннектор двусторонней связью | Нет |
S-terra | Да, есть коннектор двусторонней связью | Нет |
Возможности работы с заявками | ||
Заведения заявок вручную |
Да |
Да |
Заведение заявок в автоматическом режиме | Да, для автоматического создания используются: REST; Syslog; Возможности встроенных внутренних и внешних коннекторов | Да, для автоматического создания используются: REST; SOAP; Email |
Ручное принятие решений в рамках рабочего процесса | Да | Да |
Автоматическое принятие решений на основании правил рабочего процесса | Да, с помощью автоматических транзакций и обработчиков | Да, с помощью автоматических транзакций и пост функций |
Наличие готовых шаблонов рабочих процессов | Да, есть шаблоны следующих рабочих процессов:
|
Да, есть шаблоны следующих рабочих процессов:
|
Организация работы с заявками в соответствии с существующими бизнес-процессами организации | Широкий набор настроек в редакторе рабочих процессов позволяет организовать работу с заявками в компании в соответствии с существующими бизнес-процессами | Набор доступных настроек в самом редакторе рабочих процессов ограничен. Для осуществления более тонких настроек необходимо вносить изменения не в графическом интерфейсе, а в шаблонах и конфигурациях самого приложения на сервере |
Наличие встроенного редактора рабочих процессов | Да | Да |
Управление имеющимися в системе свойствами | Да, настройки полей осуществляются в разных вкладках Системы (формирование справочников, настройка отображения в разных представлениях заявок). Доступны настройки форм ввода и вывода свойств для отображения, а также валидация значений с помощью регулярных выражений. Изменения возможны у любых свойств в Системе. | Да, настройка полей осуществляется через единое меню Системы. Часть встроенных свойств заблокирована для редактирования. |
Доступные типы свойств | Временной интервал; Время; Группа сотрудников; Да/Нет; Дробное число; Расширенный текст; Связанные активы; Связь с базой знаний; Сотрудники; Строка; Файл; Целое число. | Выбор даты и времени; Выбор пользователя; Выпадающий список; Галочки; Дата; Метки; Переключатель; Список выбора; Текстовое поле; Целое число; Дробное число; URL. |
Редактирование правил доступа к свойствам заявок в рамках рабочего процесса | Да, встроенный редактор правил доступа к свойствам заявок позволяет разрешать редактирование и требовать заполнения полей при соблюдении различных условий | Да, для добавления возможности редактирования различных свойств на каждом из этапов рабочего процесса необходимо формировать пары ключ/значения |
Настройка визуального вида заявки | Да, с помощью HTML-редактора | Да, с помощью встроенного графического редактора |
Наличие встроенного редактора заявок для учета и визуализации изменений в режиме реального времени | Да, редактор HTML с возможностью использования CSS и JavaScript | Да, возможности встроенного графического редактора не позволяют использовать собственные стили и JavaScript |
Формирование связей между заявками | Да, связи можно формировать в автоматическом и ручном режимах | Да, связи можно формировать в автоматическом и ручном режимах |
Простота настройки | ||
Необходимое время для внедрения системы | Установка необходимых для работы компонентов: 2-4 часа; Время реализация существующих бизнес-процессов организации в Системе зависит от их сложности: от 1 дня до нескольких месяцев. |
Установка необходимых для работы компонентов: 1-3 часа; Время реализация существующих бизнес-процессов организации в Системе зависит от их сложности: от нескольких дней до нескольких месяцев. |
Необходимые требования для разворачивания | Аппаратные требования:
|
Аппаратные требования:
|
Удобство системы для администраторов | ||
Гибкость настроек системы и легкость их осуществления | Настройка связанных элементов Системы порой осуществляется в различных вкладках в интерфейсе. Гибкость доступных настроек высокая и позволяет настраивать имеющиеся сущности в соответствии с требованиями пользователей. Система также позволяет выполнять различные скрипты с помощью встроенных в нее интерпретаторов Поддержки сторонних плагинов нет. | Большая часть встроенных настроек Системы осуществляются из единого интерфейса, есть возможность использования различных тем оформления. Гибкость доступных настроек средняя, а дополнительные возможности Системы зачастую становятся доступны при использовании сторонних плагинов |
Настройка доступа к элементам системы | Заранее настроенные роли отсутствуют. Есть возможность формирования ролевой и контекстной модели доступа ко всем имеющимся в Системе сущностям. Есть возможность взаимодействия с существующим в организации AD. Детально гранулярная, требует настройки на старте, но удобна в использовании впоследствии. | Есть заранее настроенные для Системы роли и группы. Есть возможность формирования схем с разрешениями для групп пользователей для конкретного рабочего процесса. Есть возможность взаимодействия с существующим в организации AD |
Необходимое время для приспособления к системе у администраторов (интуитивность осуществления настроек) | Примерно время приспособления у сотрудников с опытом администрирования систем обработки заявок: 2-3 недели | |
Оповещения | ||
Доступные для использования каналы связи (email, rss, sms, IM н-р Telegram) | Email; RSS; SMS; IM. | Email; RSS; SMS с помощью отдельных плагинов. |
Наличие встроенных шаблонов оповещений | Да, есть встроенные шаблоны оповещений на создание новых заявок, изменение статуса текущих заявок | Да, есть встроенные шаблоны оповещений на изменения заявок и настроек Системы |
Наличие встроенного конструктора для формирования оповещений | Да, встроенный конструктор позволяет настраивать условия для оповещений и управлять содержимым сообщений | Да, встроенный конструктор позволяет настраивать условия для оповещений и управлять содержимым сообщений. Для уведомлений можно применять стили HTML и CSS |
Индивидуальная настройка подписок на различные типы оповещений | Да, настройка осуществляется из единого интерфейса Системы в настройках профиля пользователя | Да, при наличии установленных плагинов возникает необходимость переключаться между разными интерфейсами Системы |
Отчетность и визуализация | ||
Встроенные механизмы визуализации и отчетности | Да | Да |
Наличие готовых шаблонов для визуализации и отчетности рабочих процессов | Да, есть настроенные шаблоны двухуровневой визуализации и отчетности:
|
Да, есть настроенные для имеющихся в Системе шаблонов рабочих процессов панели визуализации. |
Доступные типы диаграмм для визуализации и отчетности | линейный график; гистограмма; круговая диаграмма; таблица; спидометр; индикатор; текст с разметкой. | линейный график; круговая диаграмма; таблица. |
Используемые языки запроса данных |
SQL |
JQL |
Наличие встроенных конструкторов для формирования запросов и графических представлений | Да, конструктор, позволяющий формировать группы источников данных для использования в панелях визуализации | Встроенный конструктор имеет ограниченный набор функций. Для расширения возможностей необходимо использовать сторонние плагины |
Доступные форматы для выгрузки подготовленных отчетов | pdf; docx; xlsx. | csv; pdf; xlsx. |
Автоматизация формирования отчетов. Встроенные механизмы задания расписания | Да, есть возможность задания расписания для формирования шаблонов отчетов (ежедневно, еженедельно, ежемесячно) | Встроенные механизмы формирования отчетов по расписанию отсутствуют |
Визуализация заявок с привязкой к географической карте 2D/3D | ||
Наличие встроенной карты для отображения заявок с учетом географической распределенности | Да, есть встроенная возможность отображения заявок на географической карте мира с возможностью интерактивного взаимодействия с объектами | Нет, встроенные механизмы отсутствуют. Есть возможность установки плагинов для отображения заявок на карте |
Использование публичных географических сервисов и внутренних серверов организации для отображения географической карты | Да, возможно отображение географической карты с использованием данных публичных картографических сервисов, либо внутренних серверов картографии | Нет |
Визуализация изменений заявок на географической карте | Да, возможна визуализация при создании новых объектов и изменении существующих | Нет |
Интерактивное взаимодействие с объектами на карте | Да, при наведении на объекты возможен вывод дополнительных сведений | Нет |
Возможности отображения объектов на карте | Да, есть возможность отображения активов организации, заявок. Реализована анимация при изменении объектов | Нет |
Выводы
Универсальные системы обработки заявок — такие как Jira Service Desk — стремятся охватить большую целевую аудиторию. Нередко имеют сформированное сообщество пользователей, в котором можно найти ответы на возникающие на первых порах вопросы. Такие решения хороши именно своей универсальностью. Они позволяют в одном решении организовать сразу несколько разнородных процессов со своей логикой, ресурсами и потребностями. Но за всё нужно платить. Здесь приходится платить функциональностью, удобством и настройками. Дополнительные функции чаще всего реализуются сторонними плагинами, поддержка которых производителем основного решения не гарантируется. Разработчики универсальных решений в любой момент могут принять решение о том, что те функции, которыми вы пользуетесь (особенно если они не сильно популярны), не являются приоритетными. Тогда их развитие будет заморожено или приостановлено. Одним словом, универсальные решения хороши тем, что их можно применять в разных процессах, экономя на этом средства и ресурсы. Если у вас установлена система управления проектами на Jira Software, то у вас, скорее всего, есть и специалисты, занимающиеся ее поддержкой и развитием, на это выделены ресурсы и средства. В этом случае такую систему можно рассматривать в качестве рабочего варианта для небольшой организации.
С другой стороны, специализированные системы с уклоном в обеспечение информационной безопасности (такие как Security Vision) предлагают из коробки уже готовые наборы инструментов и механизмов. Например, шаблон процесса по обработке инцидентов, настроенные отчеты, оповещения и панели визуализации. Эта функциональность для таких систем первична, и вы всегда можете рассчитывать на ее развитие и расширение вендором. Так что с точки зрения облегчения бремени установки, настройки и дальнейшего сопровождения системы для решения вопросов информационной безопасности лучше подойдет специализированное решение.
Исходя из результатов сравнения, можно сделать вывод, что универсальные платформы типа Jira пригодны для обеспечения информационной безопасности в некрупных компаниях с простыми бизнес-процессами, небольшим числом персонала и клиентов и оперирующих небольшими объемами информации. Обеспечение информационной безопасности в таких компаниях в основном относится к сфере ответственности ИТ-отдела и построено на достаточно простой функциональности. В некоторых случаях, если это свободный продукт, можно пытаться заниматься его развитием самостоятельно. При этом нужно учитывать, что для серьезных доработок нужны серьезные ресурсы.
Если же мы говорим о разветвленной коммерческой или госструктуре с большим числом сотрудников, клиентов, товарно-материальных ценностей, сложной системой бизнес-процессов, оперирующей большими объемами данных — для обеспечения ее информационной безопасности функциональности универсальных ИТ-продуктов типа Jira Service Desk недостаточно, и возникают реальные риски упереться в отсутствие необходимых функций либо приостановку их развития и поддержки. Для реализации полноценной работы в данном случае необходимы специализированные ИБ-продукты/модули, такие как Security Vision Ticketing. Они предназначены именно для обеспечения информационной безопасности, имеют неограниченные возможности по гибкости и адаптированы под профессиональную специфику ИБ.