Что такое IRP, где используется и как внедряется

Что такое IRP, где используется и как внедряется

Друзья, в предыдущих статьях мы с вами познакомились с основными концепциями информационной безопасности, узнали о Центрах SOC и выяснили, что такое SIEM. В сегодняшней публикации мы продолжим говорить про средства защиты информации, применяемые при реагировании на инциденты информационной безопасности: у нас на очереди платформы реагирования на инциденты ИБ - Incident Response Platform. Интересно, что такое IRP, где и как используется? Тогда - вперед!

В предыдущей публикации мы рассмотрели системы SIEM и узнали, что они применяются в том числе и в SOC-Центрах для помощи специалистам при реагировании на инциденты информационной безопасности. Однако, на текущий момент количество инцидентов ИБ, особенно в крупных компаниях, достаточно велико, при реагировании на них счет идет буквально на минуты, а нанять большое количество высококлассных специалистов могут себе позволить не все компании. Таким образом, остро встает вопрос о том, как можно помочь аналитикам ИБ при реагировании на инциденты и как можно снять с них рутинную нагрузку по выполнению однотипных операций. Представим себе ситуацию, когда SIEM-система показывает, что происходит возможная атака на финансовую систему ДБО (дистанционное банковское обслуживание). Злоумышленники могут похитить деньги со счетов фирмы с минуты на минуту, и после этого вернуть денежные средства будет затруднительно. Аналитик SOC, увидев такой инцидент, должен по сценарию реагирования собрать большое количество вспомогательной информации, такой как имя атакованного сервера, название финансовой системы, уточнить фамилию и контактные данные ответственного, получить у него дополнительную информацию. Если не осталось сомнений в том, что этот инцидент - «боевой», а не ложноположительный, то аналитику нужно как можно быстрее изолировать атакованный сервер от сети компании, заблокировать скомпрометированную учетную запись, сообщить об инциденте руководителю и прочим лицам в соответствии с матрицей коммуникации.

Как видим, задач - масса, и все их следует выполнить за строго отведенное нормативами время, например, за 10 минут. И как раз тут на помощь нашему аналитику может прийти платформа Incident Response Platform - это система автоматизации реагирования на инциденты информационной безопасности. Система IRP (сокращение от Incident Response Platform) помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию (англ. contain) и устранению (англ. eradicate) угрозы, восстановить (англ. recover) атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности. Таким образом, в контексте защиты информации, IRP – это платформа реагирования на инциденты кибербезопасности, используемая для систематизации данных об инцидентах информационной безопасности. Кроме того, система позволяет роботизировать и автоматизировать действия оператора-специалиста ИБ, которые он производит при реагировании на инциденты информационной безопасности. Давайте подробнее остановимся на задачах реагирования на инциденты информационной безопасности, выполняемых IRP-системами.

Для того, чтобы понять, как и где корректно применять и внедрять системы Incident Response Platform, нам следует сначала понять, что такое реагирование на инциденты информационной безопасности в целом и как можно автоматизировать этот процесс. Реагирование на инциденты ИБ состоит из нескольких взаимосвязанных процессов:

1. Подготовка

2. Детектирование

3. Анализ

4. Сдерживание/локализация

5. Устранение

6. Восстановление

7. Пост-инцидентные действия

Рассмотрим их подробнее.

1. Этап подготовки является предварительным и одним из ключевых. На нём следует обеспечить группу реагирования на инциденты всем необходимым программным и аппаратным обеспечением (т.е. выдать ноутбуки, смартфоны, установить на них необходимые специальные программы), а также выполнить превентивные действия по предотвращению инцидентов (защитить сеть и устройства компании, установить средства защиты информации, провести обучение сотрудников). На данном этапе платформа IRP настраивается для эффективного применения: к ней подключаются ИТ-системы и средства защиты, с которыми предстоит взаимодействовать при реагировании на инциденты. Как правило, обеспечивают подключение тех систем, которые способны представить специалисту дополнительную информацию в контексте инцидента, например, сведения о затронутых инцидентом пользователях (контактные данные, должность, структурное подразделение, полномочия) и устройствах (тип операционной системы, установленное ПО, выполняемая функция). Кроме этого, подключаются и средства защиты, которые в рамках реагирования на инцидент будут выполнять задачи по сдерживанию и устранению угроз, например, средства защиты конечных точек, межсетевые экраны и системы управления сетью. На этом же этапе настраиваются и так называемые playbooks или runbooks - по сути, сценарии реагирования, в соответствии с которыми IRP-система будет предпринимать заранее заданные действия в зависимости от деталей инцидента. Например, в случае наступления инцидента ИБ на особо критичной системе IRP-платформа немедленно даст команду на изоляцию этой системы от сети компании для проведения дальнейших разбирательств. Таким образом, к моменту возникновения инцидента информационной безопасности в компании должны быть готовы как специально обученные специалисты по реагированию, так и система IRP должна быть приведена в полную боевую готовность. Это является залогом того, что даже если инцидент случится, то его можно будет быстро локализовать и его последствия не будут чрезмерно разрушительными.

2. На этапе детектирования следует определить список возможных типов инцидентов ИБ и сформулировать перечень признаков возможных инцидентов. Признаки можно условно разделить на прекурсоры и индикаторы инцидентов информационной безопасности. Прекурсор - это признак того, что инцидент ИБ может произойти в будущем. Индикатор - это признак того, что инцидент уже произошел или происходит прямо сейчас. Примерами прекурсоров инцидента информационной безопасности могут быть зафиксированное интернет-сканирование открытых портов веб-серверов компании или выявление уязвимости в какой-то ИТ-системе. Примерами индикаторов инцидента информационной безопасности могут быть появление сообщений от средства защиты (антивируса, межсетевого экрана и т.д.) о возможной атаке, исчезновение важных данных из ИТ-систем, появление ошибок и сбоев в работе программ. Для того чтобы максимально эффективно задействовать систему IRP на этапе детектирования, следует интегрировать IRP-платформу с SIEM-системой: такая связка обеспечит «бесшовную» передачу прекурсоров и индикаторов инцидента от ИТ-систем и средств защиты компании через SIEM напрямую в IRP-систему, что позволит ей оперативно обнаруживать инциденты и в дальнейшем предпринимать адекватные меры по реагированию на них.

3. Во время анализа инцидента основная нагрузка ложится на опыт и экспертизу аналитика - ему предстоит принять решение, был ли зафиксированный инцидент «боевым» или всё же это было ложноположительное срабатывание. На этом этапе бесценную помощь окажет IRP-платформа - благодаря тому, что она может предоставить ценную контекстную информацию, относящуюся к инциденту. Приведем пример: SIEM-система сообщает о том, что веб-сервер компании подвергся атаке, при этом использовавшаяся уязвимость применима только к ОС Linux. Аналитик, посмотрев в консоль IRP, сразу увидит, что атакованный веб-сервер работает на ОС Windows, следовательно, атака не могла быть успешной. Другой пример: антивирусная система на одном из ноутбуков сообщила о вирусном заражении и о последовавшим за этим обращением к определенным IP-адресам. Аналитик, воспользовавшись данными IRP-системы, увидит, что аналогичная сетевая активность наблюдается и на нескольких других устройствах в сети компании, что говорит не о единичном вирусе, а о массированном заражении. Инциденту будет присвоен статус «критичный», он будет эскалирован в соответствии с матрицей эскалации, и на его устранение будут направлены дополнительные ресурсы. Платформа IRP поможет запротоколировать все действия, выполненные в рамках реагирования, а также автоматизирует действия по коммуницированию и эскалации инцидента.

4. На этапе сдерживания (или локализации) инцидента главной задачей является минимизация потенциального ущерба от инцидента ИБ и предоставление временного окна для принятия решения об устранении угрозы. Этого можно достичь, например, оперативно включив более строгие запретительные правила на межсетевом экране для зараженного устройства или вообще изолировав зараженный хост от локальной сети компании, отключив часть сервисов и функций, или, наконец, полностью выключив зараженное устройство. На данном этапе очень важно понимать, какую функцию выполняет затронутый инцидентом ИТ-актив, поскольку, например, выключение критически важного сервера может привести к более существенным негативным последствиям для компании, чем простая перезагрузка некритичного сервиса на нём. В данной ситуации IRP-платформа опять же подскажет, какие функции выполняет сервер, как и когда его можно выключать или изолировать. Кроме того, в playbooks IRP-системы на этапе подготовки должны быть заложены сценарии сдерживания, применимые для каждого конкретного типа инцидента. Например, в случае DDoS-атаки не стоит выключать атакуемые сервера, а в случае вирусного заражения внутри одного сегмента сети можно не изолировать устройства в другом сегменте. На этапе сдерживания также проводится анализ подробностей атаки: какая система была первой атакована, какими тактиками, техниками и процедурами пользовались атакующие, какие хакерские командные серверы используются в данной атаке и т.д. Указанную информацию поможет собрать IRP-система: интеграция с источниками киберразведки (англ. Threat Intelligence feeds) и специализированными поисковыми системами (например, VirusTotal, Shodan, Censys и т.д.) даст более чёткую и обогащенную картину произошедшего инцидента, что поможет эффективнее справиться с ним. В некоторых случаях может потребоваться также получить форензик-данные для последующего проведения компьютерной криминалистической экспертизы, и IRP-платформа поможет собрать такую информацию с атакованных устройств.

5. На этапе устранения инцидента производятся уже активные действия по удалению угрозы из сети и предотвращению повторной атаки: удаляется вредоносное ПО, изменяются взломанные учетные записи (их можно временно заблокировать или, например, переименовать), устанавливаются обновления и «заплатки» для эксплуатированных уязвимостей, изменяются настройки средств защиты (например, для блокировки IP-адреса взломщиков). Указанные действия выполняются для всех затронутых инцидентом сущностей - и для устройств, и для учетных записей, и для программ. Чрезвычайно важно тщательно устранить уязвимости, которые использовались злоумышленниками, поскольку чаще всего, успешно взломав какую-либо компанию, хакеры возвращаются в надежде использовать всё те же недостатки её защиты. При выполнении данного процесса платформа IRP даст необходимые команды средствам защиты и соберет недостающие данные обо всех затронутых инцидентом устройствах. Таким образом, скорость реагирования на инцидент информационной безопасности в части устранения самой угрозы существенно возрастает при использовании IRP-системы, которая будет отличным подспорьем аналитику ИБ.

6. На этапе восстановления следует проверить надежность предпринятых мер защиты, вернуть системы в нормальный режим работы (англ. business as usual), возможно, восстановив какие-то системы из резервных копий или установив заново. На данном этапе специалисты по ИБ задействованы уже в меньшей степени, но и тут системы IRP помогут не забыть все участвовавшие в инциденте устройства и хронологию событий, поскольку эти данные хранятся и накапливаются в IRP на протяжении всего цикла расследования инцидента.

7. На этапе пост-инцидентных действий (англ. post-incident activities) следует проанализировать причины инцидента (англ. root cause analysis) для того, чтобы свести к минимуму вероятность повторного аналогичного инцидента в будущем, а также оценить корректность и своевременность действий персонала и средств защиты, и, возможно, оптимизировать какие-то процедуры реагирования. Рекомендуется использовать агрегированную базу знаний для ведения накопленного опыта реагирования, что также можно сделать в IRP-платформе, в которой уже хранится подробная информация о произошедших инцидентах ИБ и о предпринятых мерах реагирования. В некоторых случаях требуется составление официального отчета по инциденту, особенно если он был серьезным или затронул важные данные: например, информацию по компьютерным инцидентам в критической информационной инфраструктуре следует отправлять в государственную систему ГосСОПКА. Для таких целей в некоторых отечественных IRP-системах есть как API для работы с ГосСОПКА, так и возможность автоматизированного составления отчетов по инцидентам на основе заранее созданных шаблонов. Как видим, IRP – это еще и универсальное хранилище сведений об инцидентах информационной безопасности с возможностью роботизации рутинных действий специалиста по информационной безопасности.

Подведем итог. Что же такое IRP-платформы, чем они полезны, как используются и внедряются? Системы IRP являются автоматизированными средствами реагирования на инциденты информационной безопасности, реализующие контрмеры для противодействия угрозам информационной безопасности в соответствии с заранее заданными сценариями реагирования. Сценарии реагирования называются playbooks или runbooks и представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, реагированию и сдерживанию угроз в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от поступающих данных со средств защиты или информационных систем. Платформы IRP помогают проводить структурированное и журналируемое реагирование на инциденты информационной безопасности на основании правил и политик. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению. Обобщая сказанное, можно сделать вывод, что система IRP – это платформа реагирования на инциденты кибербезопасности, предназначенная для защиты информации путем систематизации данных об инцидентах информационной безопасности и роботизации действий оператора-аналитика ИБ. Благодаря IRP-платформам команды реагирования на инциденты информационной безопасности могут существенно сэкономить время и усилия при расследовании инцидентов ИБ, что напрямую повышает операционную эффективность деятельности департаментов ИБ и SOC-Центров. Автоматизация и роботизация действий аналитика ИБ с помощью платформы IRP позволяют повысить производительность сотрудников департаментов информационной безопасности и Центров SOC.

Интересные публикации