SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое IRP, где используется и как внедряется

Что такое IRP, где используется и как внедряется
22.04.2020


|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      


Руслан Рахметов, Security Vision


Друзья, в предыдущих статьях мы с вами познакомились с основными концепциями информационной безопасности, узнали о Центрах SOC и выяснили, что такое SIEM. В сегодняшней публикации мы продолжим говорить про средства защиты информации, применяемые при реагировании на инциденты информационной безопасности: у нас на очереди платформы реагирования на инциденты ИБ - Incident Response Platform. Интересно, что такое IRP, где и как используется? Тогда - вперед!


В предыдущей публикации мы рассмотрели системы SIEM и узнали, что они применяются в том числе и в SOC-Центрах для помощи специалистам при реагировании на инциденты информационной безопасности. Однако, на текущий момент количество инцидентов ИБ, особенно в крупных компаниях, достаточно велико, при реагировании на них счет идет буквально на минуты, а нанять большое количество высококлассных специалистов могут себе позволить не все компании. Таким образом, остро встает вопрос о том, как можно помочь аналитикам ИБ при реагировании на инциденты и как можно снять с них рутинную нагрузку по выполнению однотипных операций. Представим себе ситуацию, когда SIEM-система показывает, что происходит возможная атака на финансовую систему ДБО (дистанционное банковское обслуживание). Злоумышленники могут похитить деньги со счетов фирмы с минуты на минуту, и после этого вернуть денежные средства будет затруднительно. Аналитик SOC, увидев такой инцидент, должен по сценарию реагирования собрать большое количество вспомогательной информации, такой как имя атакованного сервера, название финансовой системы, уточнить фамилию и контактные данные ответственного, получить у него дополнительную информацию. Если не осталось сомнений в том, что этот инцидент - «боевой», а не ложноположительный, то аналитику нужно как можно быстрее изолировать атакованный сервер от сети компании, заблокировать скомпрометированную учетную запись, сообщить об инциденте руководителю и прочим лицам в соответствии с матрицей коммуникации.


Как видим, задач - масса, и все их следует выполнить за строго отведенное нормативами время, например, за 10 минут. И как раз тут на помощь нашему аналитику может прийти платформа Incident Response Platform - это система автоматизации реагирования на инциденты информационной безопасности. Система IRP (сокращение от Incident Response Platform) помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Таким образом, в контексте защиты информации, IRP – это платформа реагирования на инциденты кибербезопасности, используемая для систематизации данных об инцидентах информационной безопасности. Кроме того, система позволяет роботизировать и автоматизировать действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности. Давайте подробнее остановимся на задачах реагирования на инциденты информационной безопасности, выполняемых IRP-системами.




Для того, чтобы понять, как и где корректно применять и внедрять системы Incident Response Platform, нам следует сначала понять, что такое реагирование на инциденты информационной безопасности в целом и как можно автоматизировать этот процесс. Реагирование на инциденты ИБ состоит из нескольких взаимосвязанных процессов:


1. Подготовка

2. Детектирование

3. Анализ

4. Сдерживание/локализация

5. Устранение

6. Восстановление

7. Пост-инцидентные действия


Рассмотрим их подробнее.


1. Этап подготовки является предварительным и одним из ключевых. На нём следует обеспечить группу реагирования на инциденты всем необходимым программным и аппаратным обеспечением (т.е. выдать ноутбуки, смартфоны, установить на них необходимые специальные программы), а также выполнить превентивные действия по предотвращению инцидентов (защитить сеть и устройства компании, установить средства защиты информации, провести обучение сотрудников). На данном этапе платформа IRP настраивается для эффективного применения: к ней подключаются ИТ-системы и средства защиты, с которыми предстоит взаимодействовать при реагировании на инциденты. Как правило, обеспечивают подключение тех систем, которые способны представить специалисту дополнительную информацию в контексте инцидента, например, сведения о затронутых инцидентом пользователях (контактные данные, должность, структурное подразделение, полномочия) и устройствах (тип операционной системы, установленное ПО, выполняемая функция). Кроме этого, подключаются и средства защиты, которые в рамках реагирования на инцидент будут выполнять задачи по сдерживанию и устранению угроз, например, средства защиты конечных точек, межсетевые экраны и системы управления сетью. На этом же этапе настраиваются и так называемые playbooks или runbooks - по сути, сценарии реагирования, в соответствии с которыми IRP-система будет предпринимать заранее заданные действия в зависимости от деталей инцидента. Например, в случае наступления инцидента ИБ на особо критичной системе IRP-платформа немедленно даст команду на изоляцию этой системы от сети компании для проведения дальнейших разбирательств. Таким образом, к моменту возникновения инцидента информационной безопасности в компании должны быть готовы как специально обученные специалисты по реагированию, так и система IRP должна быть приведена в полную боевую готовность. Это является залогом того, что даже если инцидент случится, то его можно будет быстро локализовать и его последствия не будут чрезмерно разрушительными.


2. На этапе детектирования следует определить список возможных типов инцидентов ИБ и сформулировать перечень признаков возможных инцидентов. Признаки можно условно разделить на прекурсоры и индикаторы инцидентов информационной безопасности. Прекурсор - это признак того, что инцидент ИБ может произойти в будущем. Индикатор - это признак того, что инцидент уже произошел или происходит прямо сейчас. Примерами прекурсоров инцидента информационной безопасности могут быть зафиксированное интернет-сканирование открытых портов веб-серверов компании или выявление уязвимости в какой-то ИТ-системе. Примерами индикаторов инцидента информационной безопасности могут быть появление сообщений от средства защиты (антивируса, межсетевого экрана и т.д.) о возможной атаке, исчезновение важных данных из ИТ-систем, появление ошибок и сбоев в работе программ. Для того чтобы максимально эффективно задействовать систему IRP на этапе детектирования, следует интегрировать IRP-платформу с SIEM-системой: такая связка обеспечит «бесшовную» передачу прекурсоров и индикаторов инцидента от ИТ-систем и средств защиты компании через SIEM напрямую в IRP-систему, что позволит ей оперативно обнаруживать инциденты и в дальнейшем предпринимать адекватные меры по реагированию на них.


3. Во время анализа инцидента основная нагрузка ложится на опыт и экспертизу аналитика - ему предстоит принять решение, был ли зафиксированный инцидент «боевым» или всё же это было ложноположительное срабатывание. На этом этапе бесценную помощь окажет IRP-платформа - благодаря тому, что она может предоставить ценную контекстную информацию, относящуюся к инциденту. Приведем пример: SIEM-система сообщает о том, что веб-сервер компании подвергся атаке, при этом использовавшаяся уязвимость применима только к ОС Linux. Аналитик, посмотрев в консоль IRP, сразу увидит, что атакованный веб-сервер работает на ОС Windows, следовательно, атака не могла быть успешной. Другой пример: антивирусная система на одном из ноутбуков сообщила о вирусном заражении и о последовавшим за этим обращением к определенным IP-адресам. Аналитик, воспользовавшись данными IRP-системы, увидит, что аналогичная сетевая активность наблюдается и на нескольких других устройствах в сети компании, что говорит не о единичном вирусе, а о массированном заражении. Инциденту будет присвоен статус «критичный», он будет эскалирован в соответствии с матрицей эскалации, и на его устранение будут направлены дополнительные ресурсы. Платформа IRP поможет запротоколировать все действия, выполненные в рамках реагирования, а также автоматизирует действия по коммуницированию и эскалации инцидента.


4. На этапе сдерживания (или локализации) инцидента главной задачей является минимизация потенциального ущерба от инцидента ИБ и предоставление временного окна для принятия решения об устранении угрозы. Этого можно достичь, например, оперативно включив более строгие запретительные правила на межсетевом экране для зараженного устройства или вообще изолировав зараженный хост от локальной сети компании, отключив часть сервисов и функций, или, наконец, полностью выключив зараженное устройство. На данном этапе очень важно понимать, какую функцию выполняет затронутый инцидентом ИТ-актив, поскольку, например, выключение критически важного сервера может привести к более существенным негативным последствиям для компании, чем простая перезагрузка некритичного сервиса на нём. В данной ситуации IRP-платформа опять же подскажет, какие функции выполняет сервер, как и когда его можно выключать или изолировать. Кроме того, в playbooks IRP-системы на этапе подготовки должны быть заложены сценарии сдерживания, применимые для каждого конкретного типа инцидента. Например, в случае DDoS-атаки не стоит выключать атакуемые сервера, а в случае вирусного заражения внутри одного сегмента сети можно не изолировать устройства в другом сегменте. На этапе сдерживания также проводится анализ подробностей атаки: какая система была первой атакована, какими тактиками, техниками и процедурами пользовались атакующие, какие хакерские командные серверы используются в данной атаке и т.д. Указанную информацию поможет собрать IRP-система: интеграция с источниками киберразведки (англ. Threat Intelligence feeds) и специализированными поисковыми системами (например, VirusTotal, Shodan, Censys и т.д.) даст более чёткую и обогащенную картину произошедшего инцидента, что поможет эффективнее справиться с ним. В некоторых случаях может потребоваться также получить форензик-данные для последующего проведения компьютерной криминалистической экспертизы, и IRP-платформа поможет собрать такую информацию с атакованных устройств.


5. На этапе устранения инцидента производятся уже активные действия по удалению угрозы из сети и предотвращению повторной атаки: удаляется вредоносное ПО, изменяются взломанные учетные записи (их можно временно заблокировать или, например, переименовать), устанавливаются обновления и «заплатки» для эксплуатированных уязвимостей, изменяются настройки средств защиты (например, для блокировки IP-адреса взломщиков). Указанные действия выполняются для всех затронутых инцидентом сущностей - и для устройств, и для учетных записей, и для программ. Чрезвычайно важно тщательно устранить уязвимости, которые использовались злоумышленниками, поскольку чаще всего, успешно взломав какую-либо компанию, хакеры возвращаются в надежде использовать всё те же недостатки её защиты. При выполнении данного процесса платформа IRP даст необходимые команды средствам защиты и соберет недостающие данные обо всех затронутых инцидентом устройствах. Таким образом, скорость реагирования на инцидент информационной безопасности в части устранения самой угрозы существенно возрастает при использовании IRP-системы, которая будет отличным подспорьем аналитику ИБ.


6. На этапе восстановления следует проверить надежность предпринятых мер защиты, вернуть системы в нормальный режим работы (англ. business as usual), возможно, восстановив какие-то системы из резервных копий или установив заново. На данном этапе специалисты по ИБ задействованы уже в меньшей степени, но и тут системы IRP помогут не забыть все участвовавшие в инциденте устройства и хронологию событий, поскольку эти данные хранятся и накапливаются в IRP на протяжении всего цикла расследования инцидента.


7. На этапе пост-инцидентных действий (англ. post-incident activities) следует проанализировать причины инцидента (англ. root cause analysis) для того, чтобы свести к минимуму вероятность повторного аналогичного инцидента в будущем, а также оценить корректность и своевременность действий персонала и средств защиты, и, возможно, оптимизировать какие-то процедуры реагирования. Рекомендуется использовать агрегированную базу знаний для ведения накопленного опыта реагирования, что также можно сделать в IRP-платформе, в которой уже хранится подробная информация о произошедших инцидентах ИБ и о предпринятых мерах реагирования. В некоторых случаях требуется составление официального отчета по инциденту, особенно если он был серьезным или затронул важные данные: например, информацию по компьютерным инцидентам в критической информационной инфраструктуре следует отправлять в государственную систему ГосСОПКА. Для таких целей в некоторых отечественных IRP-системах есть как API для работы с ГосСОПКА, так и возможность автоматизированного составления отчетов по инцидентам на основе заранее созданных шаблонов. Как видим, IRP – это еще и универсальное хранилище сведений об инцидентах информационной безопасности с возможностью роботизации рутинных действий специалиста по информационной безопасности.



Подведем итог. Что же такое IRP-платформы, чем они полезны, как используются и внедряются? Системы IRP являются автоматизированными средствами реагирования на инциденты информационной безопасности, реализующие контрмеры для противодействия угрозам информационной безопасности в соответствии с заранее заданными сценариями реагирования. Сценарии реагирования называются playbooks или runbooks и представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, реагированию и сдерживанию угроз в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от поступающих данных со средств защиты или информационных систем. Платформы IRP помогают проводить структурированное и журналируемое реагирование на инциденты информационной безопасности на основании правил и политик. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению. Обобщая сказанное, можно сделать вывод, что система IRP – это платформа реагирования на инциденты кибербезопасности, предназначенная для защиты информации путем систематизации данных об инцидентах информационной безопасности и роботизации действий оператора-аналитика ИБ. Благодаря IRP-платформам команды реагирования на инциденты информационной безопасности могут существенно сэкономить время и усилия при расследовании инцидентов ИБ, что напрямую повышает операционную эффективность деятельности департаментов ИБ и SOC-Центров. Автоматизация и роботизация действий аналитика ИБ с помощью платформы IRP позволяют повысить производительность сотрудников департаментов информационной безопасности и Центров SOC.

SOAR IRP СЗИ ИБ для начинающих Подкасты ИБ SOC

Рекомендуем

Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Принципы информационной безопасности
Принципы информационной безопасности
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"

Рекомендуем

Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Принципы информационной безопасности
Принципы информационной безопасности
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2