Руслан Рахметов, Security Vision
Процессы управления инцидентами информационной безопасности выглядят по-разному и состоят из отдельных элементов, плейбуков, ранбуков и атомарных действий, о которых мы рассказывали ранее. В модуле SOAR и комплекте NG SOAR платформы автоматизации Security Vision сценарии эволюционировали из простых статических инструкций в сложные, динамичные и автоматизированные рабочие процессы. Они являются стержнем современного центра мониторинга и реагирования, поэтому мы расскажем про их устройство, логику и про то, какие методики помогут перевести процедуры реагирования к современному виду.
Оглавление:
1. Статические и динамические плейбуки
2. Как связаны SIEM, EDR и SOAR
3. Чем дополнить систему реагирования в SOC?
4. Как выглядит процесс управления инцидентами
5. Как улучшить эффективность SOAR?
1. Статические и динамические плейбуки
Изначально плейбуки представляли собой статические документы (файлы Word, PDF или страницы в корпоративной базе знаний), такой подход был значительно лучше полного отсутствия формализованных процедур, но имел серьезные недостатки. Статические документы быстро устаревали, их было сложно и долго использовать в разгар кризиса, а полное полагание на ручное исполнение приводило к человеческим ошибкам, пропущенным шагам и медленному времени реагирования. Современный подход предполагает использование «динамических плейбуков». Это уже адаптивные, автоматизированные рабочие процессы, реализованные на специализированных платформах, ключевое отличие которых заключается в том, что динамический плейбук может автоматически адаптировать последовательность своих действий в зависимости от контекста инцидента, получаемого в реальном времени, сетевого окружения и наличия различных продуктов ИБ.
Этот сдвиг был вызван двумя основными факторами:
- Огромный объем и высокая скорость современных атак, которые делают чисто ручное реагирование нежизнеспособным.
- Появление технологий, способных оркестровать и автоматизировать действия по реагированию в масштабе всей ИТ-инфраструктуры.
Концепция «динамических плейбуков» позволила совершить переход от предписывающей (prescriptive) к адаптивной (adaptive) модели реагирования, или от системы пожаротушения к набору умных сенсоров, которые помогают управлять инцидентами в проактивной, а не реактивной методике.
Статический плейбук подобен печатной карте: он полезен, но не учитывает пробки или перекрытые дороги. Динамический плейбук работает, как GPS-навигатор: он постоянно переоценивает ситуацию и рассчитывает оптимальный маршрут на основе новых данных. Например, один и тот же плейбук «Фишинг» должен вести себя по-разному, если целью является рядовой сотрудник или финансовый директор, или если на вредоносную ссылку нажали, а не просто получили ее в письме.
2. Как связаны SIEM, EDR и SOAR
Более того, современное реагирование на инциденты опирается на тесную интеграцию трех ключевых технологий, где плейбуки выступают в роли связующего звена, определяющего логику взаимодействия:
1) SIEM (Security Information and Event Management), которые собирают, агрегируют и коррелируют данные журналов со всей корпоративной сети для генерации оповещений (алертов) о потенциальных угрозах.
2) EDR (Endpoint Detection and Response), которые обеспечивают более глубокую, многоуровневую видимость и встроенные возможности реагирования на конечных точках, в сети и облачных средах. Они дополняют SIEM, обнаруживая более сложные угрозы, которые могут обойти традиционные методы корреляции на основе журналов.
3) SOAR (Security Orchestration, Automation, and Response), «мозг» и «руки» современного SOC. Платформы SOAR получают оповещения от SIEM-систем и используют плейбуки для автоматизации и оркестровки ответных действий, включая работу в виде автономных агентов «на местах», как это устроено в SV SOAR с EDR-агентами.
3. Чем дополнить систему реагирования в SOC?
Сфера управления инцидентами продолжает развиваться, двигаясь от чисто реактивной модели к более проактивным и даже предиктивным подходам, поэтому современные системы реагирования включают чаще и другие компоненты. Вот, например, какие мы используем в своих решениях:
4) Искусственный интеллект и машинное обучение позволяют анализировать входящие данные об угрозах, оценивать бизнес-контекст и динамически собирать рабочий процесс реагирования из библиотеки модульных действий. ИИ-помощники, встроенные в SOAR, позволяют найти похожие инциденты, рассчитать оценку ложноположительных срабатываний, а также создают рекомендации по устранению последствий. Эскалация на человека будет происходить только для принятия критически важных решений или в случае аномалий.
5) Проактивный поиск угроз (Threat Hunting) позволяет выявлять подозрительные паттерны активности, которые не вызывают конкретных алертов. На практике это позволяет запустить реагирование еще до нанесения значительного ущерба, если существует ли скрытая угроза.
6) Интеграция с киберразведкой (Threat Intelligence) в рамках интеграции модуля TIP или анализа бюллетеней от регуляторов и поставщиков информации из сети (включая ИИ-анализатор неструктурированных данных).
7) Сканирование уязвимостей (Vulnerability Scanning) и обнаружившее критических недостатков в конфигурациях технологических платформ (Security Profile Compliance) позволяют дополнительно уменьшить поверхность атаки, чтобы ускорить работу SOAR и облегчить жизнь специалистам департаментов ИБ.
4. Как выглядит процесс управления инцидентами
Итоговый процесс можно представить так:
- система SIEM или EDR обнаруживает подозрительную активность (например, множественные неудачные попытки входа, за которыми следует успешный вход из необычного географического местоположения) и генерирует оповещение;
- платформа SOAR получает это оповещение, которое соответствует условию активации определенного плейбука (например, «Плейбук реагирования на подозрительный вход в систему»);
- далее выполняются шаги и ранбуки, выбираемые динамически;
- запускается обогащение, например запросы к платформе киберразведки для проверки репутации исходного IP-адреса или применения внешних аналитических сервисов (например, WhoIs или VirusTotal);
- запускается процесс расследования, например, проверка в Active Directory роль пользователя и сбор информации о его недавней активности;
- процессы сдерживания (например, если IP-адрес оказывается вредоносным, а пользователь имеет высокие привилегии), позволяют автоматически отключить учетную запись пользователя через API-вызов к Active Directory и заблокировать IP-адрес на межсетевом экране;
- а в системе управления ИТ-услугами (ITSM/SD) (или в рамках общей процедуры модуля SOAR) автоматически появляется новая заявка;
- создается оповещение в канал команды SOC в мессенджере.
Такая интеграция кардинально сокращает среднее время реагирования (MTTR) с часов или дней до секунд или минут, освобождает аналитиков от рутинных задач для концентрации на сложных расследованиях и обеспечивает последовательное, безошибочное реагирование в режиме 24/7.
5. Как улучшить эффективность SOAR?
Эффективный плейбук содержит гораздо больше, чем просто последовательность процедурных шагов: для обеспечения ясности, подотчетности и эффективности в стрессовой ситуации инцидента, он должен иметь комплексную структуру, включающую артефакты и метаданные, роли и зоны ответственности, протоколы коммуникации и логику принятия решений. Более того, у каждого сценария должны быть различные триггеры – это четкие и недвусмысленные наборы событий, которые активируют плейбук. Триггеры устроены по условию «если-то»: например, если накопилось достаточно событий одного типа, то сценарий получает характер «массовый инцидент» и может активировать большее количество СЗИ, или если суммарный вес «сырых» событий SIEM или UEBA превысил заданный порог, то происходит формирование нового инцидента и запуск рабочего процесса реагирования в SOAR.
Детализированные, последовательные действия, которые необходимо предпринять в рамках динамических плейбуков напрямую соответствуют выбранному фреймворку реагирования (NIST, SANS или комбинированным методикам, как в нашем модуле управления инцидентами). Они составляют ядро плейбука и запускаются динамически в зависимости от типов объектов (см. ресурсно-сервисную модель в продуктах, например SV AM), наличия интегрированных средств защиты и типа инцидента, которых определяется автоматически на этапе классификации (для этого применяются матрицы техник и тактик MITRE, БДУ ФСТЭК, результаты моделирования угроз и справочники, включенные в состав модуля).
В конечном же итоге у каждого сценария должно быть определенное конечное состояние (Defined End State), набор критериев, которые должны быть выполнены, чтобы считать инцидент разрешенным, а плейбук завершенным. Например: «Все затронутые системы обновлены и возвращены в онлайн-режим», «Первопричина инцидента выявлена и устранена», «Уязвимость устранена и подтверждена повторным сканированием» (как, например, в модуле управления уязвимостями SV VM).
Плейбуки эволюционировали из простых статических инструкций в сложные, динамичные и автоматизированные рабочие процессы, успешное внедрение и использование плейбуков зависит от трех ключевых факторов: прочной методологической основ, четкой и всеобъемлющей структуры (включающей не только технические шаги, но и организационные аспекты, такие как роли, коммуникации и эскалация) и глубокой интеграции с современной экосистемой безопасности.
Нехватка ресурсов, отсутствие поддержки со стороны руководства и слабая культура безопасности могут свести на нет самые совершенные технические решения. Поэтому, чем больше автоматизации в этом процессе и чем выше его адаптируемость к изменяемым ИТ-ландшафту и угрозам, тем больше ресурсов высвобождается на стратегическую безопасность. С развитием искусственного интеллекта, проактивного поиска угроз и интеграции с DevSecOps сценарии превратятся из реактивных инструментов в предиктивные механизмы, способные не только реагировать на инциденты, но и предотвращать их, укрепляя защиту организации на всех этапах жизненного цикла систем и данных.
Желаем вам искусного владения мастерством создания, управления и автоматизации плейбуков и прозрачного полностью контролируемого процесса управления инцидентами!
.jpg)
