Руслан Рахметов, Security Vision
Исторически сложилось так, что центры мониторинга информационной безопасности (Security Operations Center, SOC) и подразделения ИТ-эксплуатации (IT Operations) функционировали как изолированные структуры. Подобная (хоть и традиционная) изоляция может приводить к замедлению разных процессов, критическим задержкам в реагировании, рассинхронизации ресурсов между командами, ошибочной приоритетов задач, общей низкой эффективности и другим проблемам, которым не место в условиях серьезных кибератак.
В этом цикле статей мы расскажем, как синтез технологий автоматизации ИБ с платформенными ITSM-решениями (например, ServiceNow, Jira Service Management, Naumen ESM, 1C:ITIL) позволяет выстроить бесшовные, сквозные цепочки создания ценности: например, в практической безопасности от первичной фиксации аномалии в сетевом трафике системами мониторинга до автоматического формирования конкретных, измеримых задач профильным системным администраторам и ответственным представителям бизнеса. Интеграция ИБ-требований в будни ИТ-инфраструктуры требует адаптации классических практик, которые традиционно фокусировались исключительно на доступности и качестве сервисов. И для начала мы рассмотрим четыре основных ITSM-процесса.
Оглавление
Управление инцидентами (Incident Management)
Представьте, что в вашей квартире внезапно прорвало трубу, и вода стремительно заливает пол: вы хватаете тряпки, подставляете ведра и бежите перекрывать главный вентиль. Ваша задача – максимально быстро остановить потоп (сдерживание угрозы) и вытереть пол, чтобы не затопить соседей снизу (восстановление). Как и при работе с потопом, главная цель управления инцидентами – минимизировать ущерб и быстро восстановить нормальную работу. Вы боретесь с «симптомами» (убираете воду, изолируете взломанный сервер), чтобы вернуть систему в строй, даже если в этот момент у вас нет времени выяснять, почему именно труба лопнула.
Классически цель управления инцидентами заключается в максимально быстром восстановлении нормального предоставления услуги при минимизации негативного влияния на бизнес-процессы предприятия, но в контексте информационной безопасности «инцидент» приобретает дополнительную, более сложную специфику. Его критичность определяется не только и не столько технической недоступностью сервиса, сколько потенциальной компрометацией конфиденциальности данных, нарушением целостности транзакций или финансовыми и репутационными рисками.
В то время как традиционный ИТ-инцидент (например, аппаратный сбой сетевого маршрутизатора) обрабатывается преимущественно линейно, инцидент кибербезопасности (например, обнаружение активности программы-вымогателя на сервере базы данных) требует параллельного запуска процедур, описанных в стандартах реагирования (например, NIST или SANS). К таким процедурам относятся сдерживание угрозы (Containment), ее искоренение (Eradication), восстановление работоспособности (Recovery), анализ последствий «на будущее» (Post Incident) и сбор и сохранение цифровых доказательств для последующего расследования (Forensics). Об этих этапах мы уже писали.
Поэтому процесс управления инцидентами информационной безопасности требует внедрения многовекторной категоризации и приоритизации. Внедрение ITSM-процессов позволяет автоматизировать первичную маршрутизацию инцидентов (Triage), обеспечивая мгновенную передачу задачи на соответствующую линию поддержки (о которых мы писали ранее) с необходимым техническим и бизнес-контекстом.
Автоматизация также снижает нагрузку на аналитиков, позволяя им сфокусироваться на расследовании, в то время как система берет на себя коммуникацию с пользователями и контроль временных рамок (например, с автоматическим расчётом SLA с учетом рабочих графиков сотрудников и параметров инцидентов).
Управление проблемами (Problem Management)
Вы собрали воду, но трубы на кухне подтекают уже третий раз за месяц, а соседи тоже постоянно жалуются на протечки. Вы вызываете главного инженера, он изучает чертежи, замеряет показатели и выясняет, что истинная причина кроется в неисправном насосе в подвале, который подает слишком высокое давление в стояк. Управление проблемами не занимается срочным вытиранием полов (реакцией на инцидент), а направлено на выявление коренной причины серии сбоев, чтобы устранить системную недоработку и предотвратить аварии в будущем. Подобно тому, как врач не просто дает обезболивающее, а выясняет причину болезни, ИБ-аналитики расследуют путь проникновения и ищут системную архитектурную ошибку или незакрытую уязвимость.
Если процесс управления инцидентами сфокусирован на оперативном устранении симптомов сбоя или локализации текущей угрозы, то управление проблемами направлено на выявление и устранение корневых причин (Root Cause Analysis, RCA) с целью предотвращения повторных сбоев и аналогичных инцидентов в будущем.
В практике SecOps не выявленные своевременно уязвимости инфраструктуры (задача, решаемая модулями Security Vision VS и VM) или систематические архитектурные ошибки конфигурации (например, в модуле Security Vision SPC) неизбежно перерастают в глобальные инциденты безопасности.
Интеграция процессов ITSM и ИБ означает, что массовые инциденты (например, множественные срабатывания антивирусного программного обеспечения на десятках рабочих станций в течение короткого промежутка времени) должны автоматически инициировать создание единой записи о проблеме в системе. В рамках работы над этой проблемой аналитики SOC и системные администраторы формируют рабочую группу, совместная работа которой может привести к выявлению уязвимости нулевого дня, недостатков в корпоративной политике сегментации сети или ошибок в процессе предоставления доступов.
Результатом эффективного управления проблемой в информационной безопасности всегда является формирование запроса на модификацию ИТ-ландшафта для исключения уязвимости.
Управление изменениями (Change Management)
Чтобы решить проблему высокого давления навсегда, нужно заменить насос в подвале дома. Вы не можете просто выключить воду, когда захочется, и планируете работы на среду в 14:00 (когда большинство на работе), заранее вешаете объявление для жильцов (согласование с бизнесом), закупаете проверенную деталь и держите старый насос под рукой на случай, если новый не подойдет (наличие плана отката). Любое вмешательство в инфраструктуру (массовая установка патчей безопасности, изменение правил межсетевого экрана) должно быть безопасно спланировано, чтобы случайной ошибкой не «сломать» бизнес-сервисы. Если же насос в подвале уже взорвался, и вода заливает электрощитовую дома, вы не ждете среды и не собираете подписи жильцов, а управляющая компания организует экстренную комиссию. В ИБ это экстренное развертывание критического патча в обход бюрократии для защиты от активной атаки.
Любое техническое вмешательство, необходимое для устранения найденной уязвимости или локализации активного инцидента (например, массовая установка критического патча, блокировка определенных сетевых портов, изменение правил маршрутизации или отзыв скомпрометированных сертификатов), классифицируется в методологии ITIL как изменение. Отсюда, управление изменениями обеспечивает оценку рисков (модуль Security Vision RM), планирование тестирования обновлений в песочницах и обязательное наличие плана отката (Rollback plan) на случай непредвиденных последствий для обеспечения непрерывности бизнеса (Security Vision BCM).
Традиционно процесс согласования изменений в ИТ может быть длительным, однако для критических уязвимостей, которые активно эксплуатируются злоумышленниками (например, эксплойты с показателем CVSS, близким к 10) или уязвимости из базы трендовых уязвимостей (пополняемой аналитиками Security Vision ежедневно), стандартный процесс адаптируется путем внедрения модели «экстренных изменений».
Эта модель регламентирует создание комитета, состоящего из руководителей ИБ, ИТ-директора и владельцев затрагиваемых бизнес-процессов, что позволяет развернуть критический патч в течение нескольких часов в обход стандартной бюрократии, минимизируя тем самым бизнес-риски от возможного взлома.
Запросы на обслуживание (Service Request Management)
Представьте теперь, что вы купили новую стиральную машину и вызываете мастера из управляющей компании, чтобы он ее подключил и идете к консьержу, чтобы попросить сделать дубликат ключей от домофона для мастера. В данном случае ничего не сломано и никакой угрозы нет, это просто стандартный запрос на услугу. В ИТ и ИБ это штатные рутинные задачи с низким уровнем риска: выдать новому сотруднику ноутбук, предоставить права доступа к финансовой системе или сбросить забытый пароль. Такие задачи всегда выполняются по заранее утвержденному шаблону.
Запросы на обслуживание представляют собой стандартизированные, повторяющиеся процедуры с низким уровнем риска, которые не связаны с прерыванием обслуживания или сбоями систем. К таким запросам относятся процедуры предоставления и отзыва доступа к системам, выдача криптографических сертификатов, изменение правил межсетевого экрана по утвержденному шаблону, аудит учетных записей или развертывание средств защиты конечных точек на новых серверах.
Перевод таких рутинных задач из неструктурированной электронной переписки в формализованный каталог ИТ-услуг с настроенными рабочими процессами и автоматическим согласованием снижает операционную нагрузку на первую линию поддержки SOC и системных администраторов. За этот функционал отвечает базовый набор конструкторов Платформы Security Vision: это минимизирует влияние человеческого фактора, обеспечивая строгий контроль версионности политик безопасности и гарантируя наличие цифрового следа для нужд комплаенса (Security Vision CM) и регуляторов (ГосСОПКА, НКЦКИ или FinCERT ЦБ РФ).
Заключение
Кардинальная оптимизация различных рутинных и масштабных операций достигается за счет формализации и внедрения специализированного раздела информационной безопасности в общий, корпоративный Каталог ИТ-услуг. Глубокое объединение систем класса SIEM, платформ оркестрации SOAR, систем управления уязвимостями VM и централизованной базой активов AM/CMDB формирует бесшовный, замкнутый цикл обработки угроз.
Для холдингов компаний и дочерних зависимых обществ такие задачи решаются порталами самообслуживания (Self-Service) и самооценки (Self-Assesment, SA), основная стратегическая цель которых – описать сложные внутренние процессы безопасности, четко определить перечень доступных услуг, формализовать строгие требования к подаваемым заявкам и установить прозрачные, предсказуемые для бизнеса сроки исполнения.
Внедрение каталога процессов ITSM переводит общение «бизнес/безопасность» из формата хаотичных писем, звонков и сообщений в мессенджерах в плоскость управляемых цифровых рабочих процессов, которые легко поддаются аудиту, оптимизации и конечно же автоматизации, потому что прозрачность и скорость управления всеми технологиями и ресурсами – это наша фокусная задача как вендора.
