Автоматизация процессов в области информационной безопасности становится едва ли не единственным способом повысить защищённость организации в условиях растущего количества угроз и нехватки специалистов. Эксперты AM Live обсудили, как должна выглядеть идеальная автоматизация в ИБ.
- Введение
- Важность автоматизации в информационной безопасности
- Практика автоматизации информационной безопасности
- Прогнозы экспертов по развитию автоматизации
- Выводы
Введение
В современном мире автоматизация стала неотъемлемой частью обеспечения информационной безопасности. Она позволяет организациям повысить эффективность мер защиты, снизить риски и оптимизировать использование ресурсов.
Оценим преимущества и недостатки автоматизации в информационной безопасности, рассмотрим практические аспекты её внедрения. Мы также приведём прогнозы экспертов по развитию этой области и предложим полезные советы.
По мере изменения ландшафта угроз автоматизация становится всё более важным инструментом защиты. Внедряя её, организации могут повысить свою киберустойчивость, сократить расходы и улучшить общее состояние безопасности.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Николай Юрченко, заместитель директора центра экспертизы, R-Vision;
- Анастасия Федоренко, руководитель направления «Автоматизация ИБ», УЦСБ;
- Игорь Таланкин, старший инженер по информационной безопасности, «Лаборатория Касперского»;
- Ева Беляева, руководитель отдела развития, Security Vision;
- Николай Казанцев, исполнительный директор (CEO), SECURITM.
Ведущий и модератор дискуссии — Екатерина Сюртукова, независимый эксперт по информационной безопасности.
Важность автоматизации в информационной безопасности
Чем вызвано повышенное внимание к автоматизации в информационной безопасности? Первый фактор — это сокращение трудозатрат на выполнение как стандартных, так и трудоёмких операций. Второй — ускоренное достижение конечного результата. Третий — повышение качества услуги, что позволяет компании быть более конкурентоспособной. Такой комментарий в ответ на вопрос ведущей дал спикер Николай Юрченко.
Николай Юрченко, заместитель директора центра экспертизы, R-Vision
Игорь Таланкин добавил, что компания, в которой для выполнения рутинных задач используется больше средств автоматизации, является наиболее привлекательной для молодого специалиста. Это связано с тем, что работнику хочется постоянно развиваться и решать много интересных нестандартных задач, в противном случае он поменяет работу. Для компании это невыгодно, ведь на обучение нового специалиста уходят труд и время. Именно поэтому важно дать новому персоналу возможность начать процесс автоматизации самому или воспользоваться уже имеющимися её плодами.
«Работу, которая нам не нравится, должны делать машины и роботы», — отметил Николай Казанцев. Действительно, специалисты по ИБ нужны для того, чтобы творчески решать нетипичные задачи, а не повторять монотонно одни и те же операции ежедневно.
Ведущая попросила спикеров поделиться мнениями о том, в каких процессах прежде всего требуется автоматизация.
Приглашённый эксперт Дмитрий Костров, заместитель генерального директора по ИБ компании iEK, отметил, что прежде всего необходимо автоматизировать процесс обучения персонала, а также процесс аудита.
Николай Юрченко поддержал спикера и предложил использовать для повышения осведомлённости персонала образовательные платформы, которые позволяют не только обучать людей, но и контролировать уровень их знаний.
Персонал, как отметила Анастасия Федоренко, является тем звеном, через которое может осуществляться атака (читайте нашу статью «Кибератаки на ПО для корпоративных коммуникаций: что с ними делать бизнесу»), поэтому повышение осведомлённости повышает защищённость системы.
Анастасия Федоренко, руководитель направления «Автоматизация ИБ», УЦСБ
По словам Евы Беляевой, для компании-вендора есть два наиболее важных процесса, которые одновременно и легки, и сложны: это автоматизация тестирования продукта и автоматизация применения принципов безопасной разработки. Они являются фундаментальными, без них никакое решение не может быть полноценным.
С технической точки зрения, поделился своим мнением Николай Юрченко, представляет значительную сложность автоматизация таких процессов, которые не поддаются математическому или логическому описанию с чёткими критериями обработки машиной.
Рисунок 2. Какова основная причина внедрения автоматизации ИБ в вашей компании?
Ведущая продемонстрировала результаты опроса, согласно которым 48 % зрителей обращаются к автоматизации прежде всего из-за нехватки ресурсов для выполнения задач по информационной безопасности. 21 % опрошенных назвал главной своей проблемой замедлившееся реагирование на инциденты. Для 13 % ключевым фактором послужило увеличение количества и сложности СЗИ.
Екатерина Сюртукова, ведущий и модератор дискуссии, независимый эксперт по информационной безопасности
Идеальная система автоматизации и препятствия на пути к ней
По мнению Николая Казанцева, у всех служб безопасности для продвижения вперёд должны быть необходимые ресурсы: человеческие, финансовые, информационные. Таким образом, главными характеристиками идеальной системы автоматизации становятся комплексность, простота и доступность.
Николай Юрченко отметил, что для него система, которая решает поставленные перед нею задачи, а также реализовывает цели компании, и является совершенной. Однако позволить себе внедрять процессы автоматизации могут не все, так как это дорого. Здесь имеет значение не только высокая стоимость самих продуктов, но и совокупность затрат на построение ИТ-инфраструктуры, без которой невозможны внедрение и эксплуатация системы.
Составить первоначальное техническое задание, по словам Евы Беляевой, также весьма трудно. Для решения этой проблемы необходимы специалисты, которым нравится их работа, которые готовы придумывать и внедрять что-то новое.
Ева Беляева, руководитель отдела развития, Security Vision
Экономическая целесообразность автоматизации
«Затраты необходимо сделать понятными для бизнеса», — отмечает Анастасия Федоренко. Одна из самых больших статей расходов — затраты на штат сотрудников по информационной безопасности. За счёт автоматизации можно значительно уменьшить затраты или оптимизировать работу специалистов. Это даст им возможность заниматься стратегически важными задачами. Автоматизация также позволяет минимизировать финансовые и репутационные потери благодаря снижению рисков. Быстрая обработка информации, точечное реагирование на киберугрозы, ускорение процессов восстановления системы и расследования инцидентов — всё это выполняет автоматика (о том, как грамотно реагировать на киберинциденты и сводить к минимуму возможный ущерб, читайте на нашей площадке). Следовательно, она помогает избежать производственного простоя, дискредитации компании, потери желаемой выгоды.
Спокойствие и уверенность заказчика в завтрашнем дне хоть и не являются финансовой характеристикой, однако также заслуживают внимания. Автоматизация обеспечивает систематизацию, предсказуемость и управляемость ИБ. За счёт инвентаризации и типизации активов и инцидентов в сочетании с постоянным мониторингом она позволяет действовать превентивно. Также при помощи средств автоматизации можно оптимизировать всю бумажную работу, освободив время специалистов под более важные задачи, а следовательно, выиграв и финансово.
Для более точной оценки спикер Николай Юрченко предложил использовать расчёт в перспективе трёх-пяти лет и сравнивать величину трудозатрат с окупаемостью системы автоматизации. Целесообразность внедрения последней зависит также от сложности работы предприятия.
Рисунок 3. Что больше всего мешает автоматизации процессов ИБ в вашей компании?
Согласно результатам опроса в прямом эфире, почти половина респондентов (48 %) считают высокую стоимость автоматизации основным препятствием для её внедрения. Отсутствие необходимых инструментов и технологий поставили на первое место 17 % респондентов. 13 % заявили, что они не знают, какие процессы можно автоматизировать в их организации.
Практика автоматизации информационной безопасности
Выбор сценария
Николай Казанцев назвал три главных процесса, которые необходимо автоматизировать в первую очередь: все регулярные мероприятия службы ИБ, все задачи, которые привязаны к конкретной дате, а также управление всеми изменениями, включая реагирование на появление, изменение или удаление сущностей.
Игорь Таланкин предлагает в первую очередь автоматизировать инвентаризацию: в противном случае заказчик даже не знает, с чем ему работать. Также необходимо держать под контролем все изменения в системе.
По мнению Николая Юрченко, приоритетными являются те процессы, которые при внедрении средств автоматизации будут работать более эффективно: например, сократятся трудозатраты или снизятся риски.
Рисунок 4. Какие процессы вы хотите автоматизировать в первую очередь?
По данным опроса зрителей телеэфира AM Live, 26 % считают инвентаризацию активов наиболее важной сферой внедрения автоматизации. 24 % опрошенных назвали ключевой областью обнаружение и первичный анализ атак. 21 % респондентов указал на управление уязвимостями как на приоритетное направление. Ещё 21 % поставил на первое место автоматизацию реагирования на инциденты.
Подготовка и внедрение автоматизации
Игорь Таланкин назвал два принципа отбора процессов для их последующей автоматизации: многократное повторение операций и возможность выполнить задачу без человека. Далее необходимо разбить процессы на задачи, а задачи — на процедуры. После этого уже можно решать, что именно необходимо автоматизировать. При этом обязательно нужно учитывать мнение специалиста, который ежедневно обслуживает эти процессы.
Для внедрения системы автоматизации, отмечает эксперт Николай Юрченко, необходимо определить цели и задачи. Это позволит понять, какие классы решений будут полезны, оценить текущие трудозатраты и стоимость будущей оптимизации, а также определить величину вложений для поддержания работы системы. Затем необходимо грамотно написать техническое задание, с указанием процессов, которые необходимо оптимизировать, а также выбрать набор необходимых средств автоматизации.
Риски при внедрении автоматизации
Ведущая Екатерина Сюртукова спросила гостей эфира о возможных рисках при внедрении системы автоматизации. Приглашённый эксперт Дмитрий Костров отметил, что опасность заключается в сбоях работы процессов, что может привести к высоким рискам не только для компании, но и для государства.
По мнению приглашённого эксперта Сергея Ширяева из АРСИБ, риски могут быть связаны с неправильным подбором средства автоматизации и неграмотным конфигурированием. Для минимизации ущерба необходимо иметь регламенты действий в случае нештатных ситуаций и проводить контроль уязвимостей. (Читайте в нашей статье о том, как построить процесс контроля уязвимостей с нуля.)
Неправильно сформулированное техническое задание впоследствии может привести не к тому результату, которого ожидал заказчик; следовательно, эффективность работы будет снижена, напомнил спикер Николай Юрченко.
Отсутствие документирования также недопустимо при построении системы, так как работа не должна зависеть от конкретного специалиста или программы, добавил Николай Казанцев.
Николай Казанцев, исполнительный директор (CEO), SECURITM
Риск также может быть связан с ошибочной оценкой объёма данных заказчика, отметила Анастасия Федоренко. Важно составлять техническое задание и договор, согласно которым будет выполняться работа.
Необходимо добиваться того, чтобы со внедрением системы автоматизации росли компетенции сотрудников, ведь расширенная поддержка не всегда является лучшим решением для компании, добавил Игорь Таланкин.
Примеры успешной автоматизации
Спикер Ева Беляева поделилась своим опытом успешного внедрения системы автоматизации. В результате работы был оптимизирован процесс внедрения пилотных проектов, что позволило сократить трудозатраты в два раза, а длительность снизить с трёх месяцев до одного.
Очень важно автоматизировать настройку рабочего места при приёме нового сотрудника, чтобы специалист с первого дня мог активно включаться в работу компании.
Анастасия Федоренко добавила, что в её практике компании чаще всего заказывают автоматизацию реагирования на инциденты и управления активами. Примером успешной реализации спикер называет SOAR-решения с разработкой и настройкой сценариев (плейбуков), которые позволяют отследить работу активов.
Игорь Таланкин считает успешной такую автоматизацию, к которой заказчик сам пришёл во время своей работы, чтобы оптимизировать существующие трудоёмкие и длительные процессы.
Игорь Таланкин, старший инженер по информационной безопасности, «Лаборатория Касперского»
Своим опытом также поделился Николай Казанцев. Он назвал успешной ту автоматизацию, которая работает вообще без обращения к человеку. Ценность для специалиста по информационной безопасности представляет оптимизация и автоматизация базовых рутинных процессов. Это позволяет работникам освободить время под важные и сложные задачи, требующие вмешательства человека.
Прогнозы экспертов по развитию автоматизации
Эксперты отмечают следующие основные тенденции развития в области автоматизации.
По словам Николая Юрченко, импортозамещение и эскалация угроз стимулируют развитие автоматизации. Регуляторы могут ужесточить требования к ней. Искусственный интеллект способен стать катализатором автоматизации в среднесрочной перспективе.
Ева Беляева предвидит появление множества инновационных классов решений в предстоящем году. Кроме того, возникнут новые сферы применения автоматизации, которые будут стремительно развиваться.
Спикер Игорь Таланкин выступает за автоматизацию и машинное обучение, поскольку те приносят существенные преимущества в сфере информационной безопасности. Он убеждён, что автоматизация должна стать движущей силой прогресса, учитывая растущий объём данных и инструментов. Автоматизация будет интегрироваться в продукты и становиться неотъемлемой их частью. Он также подчёркивает, что некоторые автоматизированные решения уже доступны «из коробки» и не требуют дополнительных настроек.
Анастасия Федоренко прогнозирует, что на пике популярности будет автоматизация киберразведки. Главной задачей вендоров, интеграторов и заказчиков является содействие бизнесу в освоении новых рубежей автоматизации, путём повышения спроса.
Эксперт Николай Казанцев предсказывает упрощение автоматизации. Сценарии, которые ранее требовали программирования, будут реализовываться с помощью готовых инструментов. Он также предвидит более широкий обмен передовыми практиками и готовыми решениями.
Рисунок 5. Каково ваше мнение об автоматизации процессов ИБ после эфира?
После просмотра эфира 45 % зрителей отметили, что будут активнее использовать автоматизацию. 27 % респондентов заинтересовались темой эфира и готовы приступать к тестам. Заметим, что лишь 9 % опрошенных убедились в правильности всех своих действий.
«Не тратьте время, из него состоит жизнь; автоматизируйте», — резюмировала Екатерина Сюртукова.
Выводы
Автоматизация играет решающую роль в обеспечении информационной безопасности, повышая эффективность и снижая риски. Идеальная система автоматизации должна быть гибкой и масштабируемой, обеспечивать всестороннюю защиту. Впрочем, несмотря на экономические преимущества, внедрение автоматизации сопряжено с рисками, которые необходимо учитывать и смягчать.
Среди примеров успешных проектов — автоматизация обнаружения инцидентов и реагирования на них, управления уязвимостями и обеспечения соответствия нормативным требованиям. Для эффективного внедрения автоматизации необходимы тщательная подготовка, планирование и управление рисками.
Эксперты прогнозируют дальнейшее развитие автоматизации в информационной безопасности, включая использование искусственного интеллекта и машинного обучения для повышения точности и эффективности. По мере изменения ландшафта угроз автоматизация станет ещё более важным инструментом защиты организаций от киберугроз.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!