Платформа автоматизации реагирования на инциденты в информационной безопасности — Incident Response Platform (IRP) — это относительно новый для нашего рынка инструмент, который позволяет автоматизировать процессы мониторинга и повысить эффективность реагирования на кибератаки. Ниже расскажем о том, как именно IRP помогает специалистам по ИБ и как её подключить.
Введение
Прогресс не стоит на месте, постоянно появляются новые инструменты, делающие бизнес-процессы проще, удобнее и быстрее. Вместе с этим значительно увеличивается объём обрабатываемых и передаваемых данных и усложняется ИТ-инфраструктура. Постоянно растущий объём ценной информации заставляет киберпреступников совершенствовать свой инструментарий и искать новые векторы атак, чтобы эффективно действовать против даже самых технологичных отраслей.
В таких условиях помимо оперативного выявления инцидента в информационной безопасности остро ощутим вопрос оперативного реагирования на него. Этот процесс, как и остальные в организации, также нужно упростить, оптимизировать и ускорить. Для этого есть несколько подходов. Первый заключается в создании и внедрении на предприятии чётких регламентов реагирования и ликвидации последствий киберинцидентов. Но такой вариант подойдет только небольшим компаниям, в которых нет огромной информационной инфраструктуры и большого количества эксплуатирующих подразделений. В этом случае регламентов будет достаточно для выстраивания эффективных процессов реагирования на инциденты в ИБ.
Второй подход помимо разработки и внедрения регламентирующей документации предусматривает автоматизацию и маршрутизацию рутинных задач для того, чтобы организовать эффективное управление жизненным циклом инцидента. Этот вариант подходит для крупных компаний с развитой инфраструктурой, множеством подразделений и большим штатом.
Как автоматизировать процесс?
На сегодня одни из наиболее оптимальных инструментов автоматизации — решения класса Incident Response Platform (IRP). Такая платформа позволяет оперативно реагировать на любые инциденты, происходящие в инфраструктуре, локализовать и обогащать сведения о них дополнительной информацией (например, данными с подключённых СЗИ). В итоге это обеспечивает эффективную работу и координацию служб вовлечённых в процесс реагирования на инцидент в ИБ (ИБ, ИТ, иные эксплуатирующие подразделения) в режиме «единого окна».
Функциональные возможности IRP позволяют:
- автоматизировать регламенты реагирования;
- обеспечить аудит инфраструктуры на предмет соответствия требованиям стандартов и нормативным актам регуляторов;
- обеспечить учёт и контроль находящихся в инфраструктуре ИТ-активов;
- автоматизировать процесс реагирования на инциденты.
Автоматизация реагирования происходит за счёт преднастроенных сценариев (playbook) и скриптов. В плейбуках отображаются последовательность действий, контроль их исполнения, а также перечень вовлечённых в процесс реагирования подразделений, пользователей и систем. Процесс автоматизирован и запускается при возникновении соответствующего инцидента, то есть можно без малейших проволочек подключить к процессу реагирования все необходимые подразделения. В свою очередь скрипты автоматизации позволяют совершать определённые (необходимые для реагирования) действия на хостах, подверженных атаке злоумышленников.
Как известно, контроль инфраструктуры невозможен без инвентаризации активов, а также обнаружения нелегитимно установленного ПО и актуальных уязвимостей. IRP может стать своеобразной мастер-системой, в которой собираются и хранятся сведения об ИТ-активах компании. Более того, данная информация помимо хранения и учёта будет использоваться в качестве источника обогащения инцидента в процессе реагирования.
Варианты реализации IRP
Мы в Solar JSOC используем R-Vision IRP и в настоящее время предоставляем платформу уже действующим клиентам по облачной и гибридной моделям. Таким образом, заметно расширяются возможности SOC в части оперативного реагирования на инциденты в ИБ.
Облачный вариант подключения предусматривает размещение на площадке заказчика коллекторов платформы, которые обеспечивают сбор и передачу (по защищённому каналу) данных с источников на сервер IRP, расположенный в защищённом облаке Solar JSOC. Взаимодействие эксплуатирующих команд заказчика и сервис-провайдера осуществляется через интерфейс системы.
Таким образом, заказчик получает готовый инструмент для управления инцидентами с возможностью сквозного контроля за действиями как сервис-провайдера, так и внутренней ИБ-службы. Появляется возможность видеть в реальном времени необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов.
Рисунок 1. Облачный вариант подключения IRP
Основным плюсом такого подхода является существенное сокращение финансовых затрат, так как компании-заказчику не нужно содержать специалистов службы поддержки IRP, выделять дополнительные системные мощности, а также приобретать лицензии.
Гибридный вариант подключения предусматривает размещение компонентов платформы непосредственно в инфраструктуре заказчика. В этом случае взаимодействие с сервис-провайдером (при необходимости его привлечения) осуществляется в рамках построенной интеграции, а также в формате услуг консалтинга.
Рисунок 2. Гибридный вариант подключения IRP
Преимущество такого подхода — локальное хранение данных об активах и отсутствие необходимости передачи этих данных за пределы организации.
Зачем нужен сервис-провайдер?
В первую очередь нужно понимать, что Incident Response Platform на большой инфраструктуре и собственными силами — это долго и дорого, а результат — не всегда качественный. IRP-система нуждается в большом внимании с стороны поддерживающих и эксплуатирующих подразделений, её правильное проектирование, эксплуатация и сопровождение требуют значительной профильной экспертизы. В свою очередь, специалистов, способных закрыть эти потребности, на рынке крайне мало, а их услуги весьма дороги. Поэтому логичнее всего выглядят варианты привлечения сервис-провайдера с последующим обучением собственных сотрудников и постепенной передачей компетенций.
Выводы
Чтобы эффективно противостоять киберпреступникам любой квалификации, ИБ-специалисты должны иметь оперативный доступ к данным о состоянии всей инфраструктуры и обо всех инцидентах, зафиксированных в ней. Платформа реагирования на инциденты (IRP) позволяет автоматизировать контроль над жизненным циклом инцидента, предоставив специалистам всю необходимую информацию в режиме одного окна. Это особенно актуально, если речь идёт о разветвлённой инфраструктуре со множеством филиалов.
Самый простой вариант получить услугу — обратиться к сервис-провайдеру. Для подключения к IRP на площадке компании установят коллекторы, которые будут собирать и передавать данные с источников на сервер IRP, расположенный в облаке провайдера. Естественно, все данные передаются по защищённым каналам связи. Специалисты сервис-провайдера отвечают за администрирование платформы, а ИБ-служба заказчика получает готовый инструмент, на котором видит всё, что происходит в инфраструктуре. Через IRP штатные безопасники также смогут контролировать действия сервис-провайдера.
Если же использование облачных решений в компании исключено, то IRP может быть установлена непосредственно в инфраструктуре заказчика, а эксперты сервис-провайдера предоставят свои экспертные навыки в настройке платформы, написании плейбуков, скриптов и т. п. Правда, тогда компании придётся заплатить за лицензии и внедрение IRP.
