Управление заявками и инцидентами информационной безопасности в Security Vision

Управление заявками и обработка инцидентов в платформе Security Vision

Управление заявками и обработка инцидентов в платформе Security Vision

На примере платформы Security Vision мы продемонстрируем, как отечественный разработчик систем управления информационной безопасностью ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» в своем решении реализует полноценный Ticketing workflow, и разберем кейс применения указанного подхода при автоматизации процесса обработки инцидентов информационной безопасности.

 

 

 

  1. Введение
  2. Модули платформы Security Vision
  3. Соответствие требованиям регуляторов
  4. Обзор работы модуля «Заявки» Security Vision
  5. Пример обработки инцидента с использованием модуля «Заявки» Security Vision
  6. Выводы

 

Введение

В условиях непрерывного, порой даже неконтролируемого процесса цифровизации нашей жизни проникновение современных технологий в корпоративную культуру предприятий становится неизбежным. Постоянная модернизация ИТ-инфраструктуры и рост числа устройств провоцируют не только проблемы их технической поддержки и управляемости, но и усложняют поддержание необходимого уровня информационной безопасности в организации. В помощь всем службам компании, которые заинтересованы в наведении порядка и внедрении процессного подхода при эксплуатации ИБ- и ИТ-решений, строятся (или заказываются в качестве услуги) Центры мониторинга и реагирования на инциденты (Security Operations Center — SOC), которые на рынке информационной безопасности появились уже давно, однако бум их развития и популярности в нашей стране продолжается и сегодня.

Одной из ключевых функций любого SOC является работа с инцидентами, уязвимостями, рисками информационной безопасности. Важность выполнения этих задач задекларирована практически во всех международных стандартах и руководствах по ИБ, более того, их реализация является обязательным требованием в некоторых нормативных документах отечественных регуляторов. Предоставляя инструменты для автоматизации указанных процессов, производителями решений для SOC, как правило, использовался традиционный подход, при котором запись о том или ином событии представляет собой статическую сущность с определенным набором свойств. Security Vision предлагает собственную концепцию, при которой весь процесс работы с такого рода объектами построен на Ticketing workflow, т. е. работе с заявками в специальном модуле, о котором и пойдет речь в обзоре.

 

Модули платформы Security Vision

Чтобы далее понимать, как функционирует модуль «Заявки» (именно он в основном фокусе нашего обзора), пару слов скажем о самом решении Security Vision.

Security Vision представляет собой модульную платформу для автоматизации системы управления информационной безопасностью предприятия, включающую в себя элементы SGRC (Security Governance, Risk, Compliance), SOC (Security Operation Center), Security Intelligence, IRP (Incident Response Platform). ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» разрабатывает решение уже с далекого 2007 года и провела множество крупных внедрений, среди которых встречаются действительно серьезные и публичные кейсы, вроде Сбербанка, ВТБ24, Ростеха и прочих. Подробно с решением можно ознакомиться в нашей статье — Обзор Security Vision 3.4 — российской платформы SGRC.

Security Vision делится на три функциональных уровня: уровень управления, уровень ядра и уровень сбора. Непосредственно для предоставления пользователям интерфейса для работы с системой предназначен модуль управления, который включает следующие компоненты:

  • Модуль криминалистики
  • Модуль Ситуационного центра
  • Модуль взаимодействия с CERT
  • Модуль управления активами
  • Модуль управления внешними носителями
  • Модуль контроля за изменениями
  • Модуль визуализации данных
  • Модуль учета записей/логов
  • Модуль управления уязвимостями
  • Модуль управления рисками
  • Модуль управления инцидентами
  • Модуль управления непрерывностью бизнеса
  • Модуль взаимодействия с корпоративными системами
  • Модуль управления аудитами ИБ
  • Модуль отчетности
  • Модуль поддержки работы СУИБ в облачной инфраструктуре
  • Модуль ключевых показателей эффективности
  • Модуль управления контролем за соответствием
  • Модуль управления доступностью
  • Модуль управления знаниями
  • Модуль осведомленности (Awareness)
  • Модуль тестов на проникновение
  • Модуль учета лицензий
  • Модуль документации
  • Центр разделяемых сервисов (SSC) и аутсорсинг (MSSP)

Доступ ко всем модулям и ежедневная работа с продуктом осуществляется через удобный веб-интерфейс, который помимо стандартных дашбордов и классических окошек оснащен еще и множеством встроенных движков (графический 3D, рисования схем, шаблонов графиков, матрицы и др.).

 

Рисунок 1. Интерфейс Security Vision

Интерфейс Security Vision

Интерфейс Security Vision

Интерфейс Security Vision

 

 

Security Vision, как полноценный инструмент для SOC, поддерживает интеграцию с различными сторонними платформами и корпоративными решениями по информационной безопасности (SIEM, IRP и др.), используя как унифицированные протоколы обмена данными, так и коннекторы собственной разработки.

 

Соответствие требованиям регуляторов

ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» — исключительно отечественный разработчик, является резидентом «Сколково», старается максимально соответствовать нормам Российского законодательства и требованиям наших регуляторов в области информационной безопасности. Компоненты платформы Security Vision присутствуют в Едином реестре российских программ для электронных вычислительных машин и баз данных Минкомсвязи России за номерами 343, 348, 364, 503. В настоящее время Security Vision проходит процедуру сертификации в системе ФСТЭК России, получение сертификата ожидается летом 2018 года.

 

Обзор работы модуля «Заявки» Security Vision

Переходим к самому главному — обзору принципов функционирования и концепции применения модуля «Заявки» в платформе Security Vision.

 

Рисунок 2. Модуль «Заявки» Security Vision

Модуль «Заявки» Security Vision

 

Этот модуль используется для организации работы сотрудников службы ИБ в компании со следующим набором основных задач: выявление и устранение инцидентов, обработка уязвимостей, управление рисками. За решением каждой из них кроется один или несколько процессов, от качества описания которых как раз и зависит степень возможной автоматизации. Security Vision предлагает применять подход, основанный на Ticketing workflow (управление жизненным циклом заявки). Для каждой заявки необходимо задать тип, определить ее свойства, виды связей и, ключевое, описать жизненный цикл в виде рабочих процессов.

 

Рисунок 3. Настройки заявок Security Vision

Настройки заявок Security Vision

 

Платформа предоставляет гибкий инструмент по выбору из предустановленных или созданию собственных свойств заявок, поддерживается огромное количество готовых типов данных.

 

Рисунок 4. Свойства заявок Security Vision

Свойства заявок Security Vision

 

Как уже отмечалось, Security Vision предоставляет гибкий инструмент по работе с разного рода процессами, поэтому типы заявок можно создавать самостоятельно и сколько угодно много.

 

Рисунок 5. Типы заявок Security Vision

Типы заявок Security Vision

 

С каждым типом заявки обязательно должен быть связан свой рабочий процесс, который и определяет то, каким образом каждая из них будет обрабатываться. Это одна из ключевых фишек Security Vision, на ней мы остановимся чуть подробнее.

 

Рисунок 6. Конструктор Рабочего процесса заявки Security Vision

Конструктор Рабочего процесса заявки Security Vision

 

С помощью специально разработанного графического движка по принципу «блок-схемы» предлагается для каждой заявки описать сценарий действий. Конструктор состоит из следующих функциональных элементов: начало (темный овал — попадание заявки в систему), состояние (прямоугольник — этап жизненного цикла, в котором заявка находится в текущий момент), транзакции (стрелка — перевод заявки из одного состояния в другое), обработчики (автоматически выполняемые действия на заданных этапах жизненного цикла). Транзакции могут быть ручными (для их совершения необходимо действие пользователя системы) и автоматическими (совершаются Системой автоматически при выполнении заданных условий). Также в рамках их проведения может автоматически выполняться ряд действий. По клику на одну из таких транзакций доступна возможность настроить создание либо любое изменение определенной заявки, совершить операции с полями или выполнить взаимодействие в рамках интегрированных смежных систем. Иллюстрацией полезности такого рода автоматизации может служить, например, «попутное» выполнение ряда связанных с основной побочных задач в рамках процесса устранения инцидента (логирование, смена статусов, генерация отчетов и т. п.).

 

Рисунок 7. Автоматизация действий над заявками при транзакциях в Security Vision

Автоматизация действий над заявками при транзакциях в Security Vision

 

Помимо транзакций рабочий процесс позволяет описывать правила, касающиеся свойств заявки.

 

Рисунок 8. Правила свойств заявки в Security Vision

Правила свойств заявки в Security Vision

 

Эта функциональность позволяет определять порядок взаимодействия с заявкой различных групп пользователей, в том числе в зависимости от текущего состояния и значений различных параметров (свойств), а также с учетом роли и прав пользователя, который в данный момент времени работает с ней.

Выбор возможностей доступа при совершении операций при работе пользователей с заявками задается в оснастке «Роли».

 

Рисунок 9. Настройка ролей при работе с заявками в Security Vision

Настройка ролей при работе с заявками в Security Vision

 

А распределение сотрудников по функциональным подразделениям (группам) осуществляется в меню «Группы сотрудников».

 

Рисунок 10. Настройка групп сотрудников в Security Vision

Настройка групп сотрудников в Security Vision

 

Пример обработки инцидента с использованием модуля «Заявки» Security Vision

Одной из ключевых метрик при оценке эффективности работы команды SOC является показатель качества обработки инцидентов информационной безопасности. Рассмотрим, как можно максимально автоматизировать работу с данной задачей на примере ее реализации в модуле «Заявки» Security Vision.

 

Рисунок 11. Заявка типа «Инцидент» в Security Vision

Заявка типа «Инцидент» в Security Vision

 

Открыв карточку заявки, наблюдаем, что задача ни на кого не назначена, не определены варианты реагирования, и вообще каких-либо действий по задаваемым условиям не предусмотрено. Посмотрим, как можно автоматизировать процесс обработки инцидента. Имея права доступа и соответствующую задаче роль пользователя, кликаем «Взять в работу».

 

Рисунок 12. Действие «Взять заявку в работу» в Security Vision

Действие «Взять заявку в работу» в Security Vision

 

Произошло выполнение транзакции, заявка перешла из одного состояния в другое, изменился набор свойств и параметров, а также дальнейшие варианты работы с заявкой. Причем некоторые из них, в соответствии с прописанным заранее сценарием, заполнились автоматически (статус, исполнитель, время взятия в работу). Кроме того, сработали преднастроенные правила, не позволяющие перейти к следующему шагу, не заполнив обязательные поля (классификация, магнитуда, влияние, регион). Заполнив все, как положено, сохраняем заявку и наблюдаем снова смену состояния. Занятно, не правда ли? А ведь мы по-прежнему работаем с одним и тем же инцидентом, в одном и том же интерфейсе, но как будто обладая каждый раз разными инструментами.

 

Рисунок 13. Действие «Передать на L2» в Security Vision

Действие «Передать на L2» в Security Vision

 

Равно как состояние и атрибуты заявки, при выполнении транзакции динамически изменяются также и права пользователя по работе ней. Так, при передаче инцидента в команду L2, для нашего текущего пользователя большинство полей становится нередактируемыми.

 

Рисунок 14. Результат действия «Передать на L2» в Security Vision

Результат действия «Передать на L2» в Security Vision

 

Важно отметить, что в итоге мы можем просмотреть весь процесс работы с инцидентом, кликнув на вкладку «История». Причем отображаются не только временные метки совершенных транзакций (как ручных, так и автоматических), но и подробности по каждой из них: заполненные поля, измененные свойства или параметры, назначенные исполнители и т. п.

 

Рисунок 15. История обработки инцидента в Security Vision

История обработки инцидента в Security Vision

 

Выводы

В статье мы познакомились с концепцией по работе с заявками (Ticketing workflow) от отечественного разработчика ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», реализованной в их решении Security Vision, а также разобрали преимущества данного подхода на примере такой важной для ситуационного центра по управлению информационной безопасностью любой компании задачи, как работа с инцидентами. Целью автоматизации каждого подобного процесса всегда является создание интеллектуально саморегулируемого программно-технического решения, чтобы максимально освободить человека от участия в рутинных операциях. И команда Security Vision действительно сделала качественный шаг к автоматизации управления информационной безопасностью предприятия, создав полноценный Ticketing workflow с собственным конструктором процессов, обеспечивающим работу с любой сущностью заявки и позволяющим покрыть описательными инструментами весь ее жизненный цикл.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru