SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
15.11.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision



1.png

Рис. 1 – Работающий сценарий – автоматизация порядка


В текущей статье мы разберем такие понятия, как сценарий, плейбук и скрипт, а также способы их реализации с точки зрения задач специалистов ИТ и информационной/экономической безопасности. Для начала определимся с терминологией и тем, что мы в дальнейшем будем описывать. Несмотря на одинаковый перевод*, договоримся, что скриптом в этой статье мы будем называть последовательность операций на каком-либо языке программирования (например, python), сценарием и плейбуком – последовательность действий, описанную человеческим языком (в том числе на бумаге или визуализированную в виде блок-схем). В различия между терминами мы закладываем особенности восприятия: если инженеру и программисту может быть просто работать с программным кодом (скриптом), то обычному пользователю – с блок-схемами, обычным текстом и памятками (сценарием/плейбуком). Именно благодаря стремлению делать инструкции проще и понятнее свою популярность обрели комиксы, изначально задумывавшиеся как пошаговые инструкции. В статье мы будем применять и этот термин – «инструкция», который объединяет наши понятия и встречался каждому читателю.


*Сценарий – слово итальянско-греческого происхождения со значением, близким к «подмосткам». Плейбук и скрипт имеют английские корни и на родном языке означают «сборник пьес» (playbook) и «сценарий» (script) соответственно. Все три термина пришли из театра, но укоренились в сфере информационной безопасности вместе с термином «оркестрация».


2.png

Рис. 2 – Пример процесса взятия заявки в работу в виде блок-схемы


Инструкции работают там, где есть алгоритм, т.е. если понятно, что делать в том или ином случае. Невозможно написать инструкцию для случаев, когда непонятно, что и когда делать. Таким образом, инструкции (сценарии, скрипты, плейбуки) связаны с задачами автоматизации. Но у этого инструмента могут быть разные формы и области применения: для описания функций нового холодильника, правил проезда в метро, особенностей распорядка в компании или даже нарушений, карающихся согласно уголовному кодексу. Любая инструкция состоит из причины (или цели), действия и результата. Например, чтобы правильно проехать на автобусе, нужно валидировать проездной билет, а для проверки компьютера на возможное заражение – запустить антивирусное ПО. Чем сложнее объект, тем сложнее структура инструкции: так в неё добавляются различные условия. Если включена лампочка «on air» на радиостанции, то идёт запись и лучше не шуметь, а если корпоративный ноутбук просит обновиться, то для обеспечения безопасности лучше сделать это в выделенное время.


Самое простое, что автоматизируют на первых этапах внедрения любой ИТ-системы, это рассылка уведомлений. Сама по себе рассылка - это мини-процесс, в котором есть триггер (причина возникновения уведомления, например, превышение лимита бесплатного места в облаке), текст уведомления и процедура его отправки конечному пользователю. Зачастую стандартные уведомления можно редактировать, добавляя туда свой текст или удаляя целые блоки, но иногда возникает потребность в применении более гибких конструкторов. Хорошими примерами будут BPM (Business Process Management) движки в CRM системах и решениях типа SOAR.


Аналогичным способом работает процесс, обратный рассылке уведомлений - процесс парсинга входящего сообщения. Например, обработка заявки от сотрудника на оформление оплачиваемого отпуска, анализ письма, отправленного специалисту ИБ на подозрение в фишинге, проверка доступности мест в офисной переговорке при бронировании через Exchange и т.д. Такие процессы направлены не на отправку писем, а на запуск процессов по причине того, что получено определённое письмо.


Существуют и более сложные процессы, в которых вовлечено сразу несколько пользователей и автоматические действия различных информационных систем. На картинке выше - пример процесса принятия в работу заявки на устранение уязвимости, в котором могут принимать участие пользователи L1-L2 уровней реагирования, их руководство и привлекаемые ИТ-специалисты.


В общем виде сценариев может быть очень много, а работать с ними при высоком уровне автоматизации может любой сотрудник в офисе или обычный человек дома. В случае с офисом, это конечно ИБ/ИТ специалисты, работа которых организована в пересекающихся системах, да и сами процессы часто вовлекают специалистов смежного департамента. Автоматизированные сценарии могут использовать и HR специалисты (для запуска оценки «360», отправки уведомлений о просроченных отпускных), бухгалтеры (отправка расчётных листков, электронное подписание заявок от сотрудников их руководителями), руководители (получение статистики по загрузке персонала, полугодовая оценка эффективности и премирования) и другие сотрудники.


Но сценарии существуют и дома, а реализованы могут быть не только в «умной» технике. Даже отложенный запуск стиральной машинки – тоже сценарий с простым условием запуска процесса после сработки таймера. Точно такие же условия применяются и в ИТ, когда для защиты от перегрузки сервера выставляется таймаут на отработку команды не более Х секунд. В качестве триггера для запуска скрипта может использоваться сигнал с датчика (включение лампы при фиксации движения, оповещение сотрудника ЭБ о возможной утечке конфиденциальной информации от DLP-системы). Дополнительным триггером может служить расписание, выполняющееся периодично (открытие штор во время рассвета, запуск чайника за 5 минут до будильника, очистка устаревших писем раз в полгода или бэкап большой базы данных в ночное время).


4.png

Рис. 3 – Пример процесса в виде скрипта


Второй тип инструкций – машиночитаемые скрипты. Чтобы автоматизировать что угодно, нужно запрограммировать компьютер на решение этой задачи, например, переместить файл из папки А в папку Б или найти дубликаты файлов (по имени, размеру и/или хэш-суммам). Если для решения задач есть возможность привлечь собственную разработку, то написать такие скрипты будет логично, поскольку автоматизировать таким образом можно очень много всего. Так работают, например, скрипты в Ansible Automation Platform (наборы сценариев там пишутся в YAML) и других решениях с удобным интерфейсом (исходный код программы состоит именно из машиночитаемых инструкций). Если интерфейс решения не позволяет строить алгоритмы в виде блок-схем, то скорее всего оперировать придётся такими «роботами» и «скриптами». Скрипты, конечно, помогают творить «магию», но для разных задач нужно знать разные языки программирования: Go, Python для работы с файлами, SQL для БД, SSH для процессов на Linux рабочих станциях и PowerShell скрипты для отработки сценариев на MS Windows АРМ и серверах.


Таким образом, любые задачи, у которых есть алгоритм, могут быть автоматизированы. Если вы выполняете одно и то же действие сотни раз и представляете, в каких условиях придётся повторять его снова, – пора задуматься об экономии времени и автоматизации. Применять можно разные инструменты: написать свою мини-программу (или не обязательно мини) или использовать визуально удобные блок-схемы и BPM-движки. Но самым удобным будет тот способ автоматизации, который позволит комбинировать гибкость скриптов и удобство работы с плейбуками в виде графических схем.


Подкасты ИБ СЗИ Практика ИБ DLP

Рекомендуем

Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамический анализ исходного кода
Динамический анализ исходного кода
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"

Рекомендуем

Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамический анализ исходного кода
Динамический анализ исходного кода
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"

Похожие статьи

Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Принципы информационной безопасности
Принципы информационной безопасности
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков

Похожие статьи

Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Принципы информационной безопасности
Принципы информационной безопасности
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков