SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
15.11.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision



рис 1.jpg

Рис. 1 – Работающий сценарий – автоматизация порядка


В текущей статье мы разберем такие понятия, как сценарий, плейбук и скрипт, а также способы их реализации с точки зрения задач специалистов ИТ и информационной/экономической безопасности. Для начала определимся с терминологией и тем, что мы в дальнейшем будем описывать. Несмотря на одинаковый перевод*, договоримся, что скриптом в этой статье мы будем называть последовательность операций на каком-либо языке программирования (например, python), сценарием и плейбуком – последовательность действий, описанную человеческим языком (в том числе на бумаге или визуализированную в виде блок-схем). В различия между терминами мы закладываем особенности восприятия: если инженеру и программисту может быть просто работать с программным кодом (скриптом), то обычному пользователю – с блок-схемами, обычным текстом и памятками (сценарием/плейбуком). Именно благодаря стремлению делать инструкции проще и понятнее свою популярность обрели комиксы, изначально задумывавшиеся как пошаговые инструкции. В статье мы будем применять и этот термин – «инструкция», который объединяет наши понятия и встречался каждому читателю.


*Сценарий – слово итальянско-греческого происхождения со значением, близким к «подмосткам». Плейбук и скрипт имеют английские корни и на родном языке означают «сборник пьес» (playbook) и «сценарий» (script) соответственно. Все три термина пришли из театра, но укоренились в сфере информационной безопасности вместе с термином «оркестрация».


Image_18.png

Рис. 2 – Пример процесса взятия заявки в работу в виде блок-схемы


Инструкции работают там, где есть алгоритм, т.е. если понятно, что делать в том или ином случае. Невозможно написать инструкцию для случаев, когда непонятно, что и когда делать. Таким образом, инструкции (сценарии, скрипты, плейбуки) связаны с задачами автоматизации. Но у этого инструмента могут быть разные формы и области применения: для описания функций нового холодильника, правил проезда в метро, особенностей распорядка в компании или даже нарушений, карающихся согласно уголовному кодексу. Любая инструкция состоит из причины (или цели), действия и результата. Например, чтобы правильно проехать на автобусе, нужно валидировать проездной билет, а для проверки компьютера на возможное заражение – запустить антивирусное ПО. Чем сложнее объект, тем сложнее структура инструкции: так в неё добавляются различные условия. Если включена лампочка «on air» на радиостанции, то идёт запись и лучше не шуметь, а если корпоративный ноутбук просит обновиться, то для обеспечения безопасности лучше сделать это в выделенное время.


Самое простое, что автоматизируют на первых этапах внедрения любой ИТ-системы, это рассылка уведомлений. Сама по себе рассылка - это мини-процесс, в котором есть триггер (причина возникновения уведомления, например, превышение лимита бесплатного места в облаке), текст уведомления и процедура его отправки конечному пользователю. Зачастую стандартные уведомления можно редактировать, добавляя туда свой текст или удаляя целые блоки, но иногда возникает потребность в применении более гибких конструкторов. Хорошими примерами будут BPM (Business Process Management) движки в CRM системах и решениях типа SOAR.


Аналогичным способом работает процесс, обратный рассылке уведомлений - процесс парсинга входящего сообщения. Например, обработка заявки от сотрудника на оформление оплачиваемого отпуска, анализ письма, отправленного специалисту ИБ на подозрение в фишинге, проверка доступности мест в офисной переговорке при бронировании через Exchange и т.д. Такие процессы направлены не на отправку писем, а на запуск процессов по причине того, что получено определённое письмо.


Существуют и более сложные процессы, в которых вовлечено сразу несколько пользователей и автоматические действия различных информационных систем. На картинке выше - пример процесса принятия в работу заявки на устранение уязвимости, в котором могут принимать участие пользователи L1-L2 уровней реагирования, их руководство и привлекаемые ИТ-специалисты.


В общем виде сценариев может быть очень много, а работать с ними при высоком уровне автоматизации может любой сотрудник в офисе или обычный человек дома. В случае с офисом, это конечно ИБ/ИТ специалисты, работа которых организована в пересекающихся системах, да и сами процессы часто вовлекают специалистов смежного департамента. Автоматизированные сценарии могут использовать и HR специалисты (для запуска оценки «360», отправки уведомлений о просроченных отпускных), бухгалтеры (отправка расчётных листков, электронное подписание заявок от сотрудников их руководителями), руководители (получение статистики по загрузке персонала, полугодовая оценка эффективности и премирования) и другие сотрудники.


Но сценарии существуют и дома, а реализованы могут быть не только в «умной» технике. Даже отложенный запуск стиральной машинки – тоже сценарий с простым условием запуска процесса после сработки таймера. Точно такие же условия применяются и в ИТ, когда для защиты от перегрузки сервера выставляется таймаут на отработку команды не более Х секунд. В качестве триггера для запуска скрипта может использоваться сигнал с датчика (включение лампы при фиксации движения, оповещение сотрудника ЭБ о возможной утечке конфиденциальной информации от DLP-системы). Дополнительным триггером может служить расписание, выполняющееся периодично (открытие штор во время рассвета, запуск чайника за 5 минут до будильника, очистка устаревших писем раз в полгода или бэкап большой базы данных в ночное время).


Image_20.png

Рис. 3 – Пример процесса в виде скрипта


Второй тип инструкций – машиночитаемые скрипты. Чтобы автоматизировать что угодно, нужно запрограммировать компьютер на решение этой задачи, например, переместить файл из папки А в папку Б или найти дубликаты файлов (по имени, размеру и/или хэш-суммам). Если для решения задач есть возможность привлечь собственную разработку, то написать такие скрипты будет логично, поскольку автоматизировать таким образом можно очень много всего. Так работают, например, скрипты в Ansible Automation Platform (наборы сценариев там пишутся в YAML) и других решениях с удобным интерфейсом (исходный код программы состоит именно из машиночитаемых инструкций). Если интерфейс решения не позволяет строить алгоритмы в виде блок-схем, то скорее всего оперировать придётся такими «роботами» и «скриптами». Скрипты, конечно, помогают творить «магию», но для разных задач нужно знать разные языки программирования: Go, Python для работы с файлами, SQL для БД, SSH для процессов на Linux рабочих станциях и PowerShell скрипты для отработки сценариев на MS Windows АРМ и серверах.


Таким образом, любые задачи, у которых есть алгоритм, могут быть автоматизированы. Если вы выполняете одно и то же действие сотни раз и представляете, в каких условиях придётся повторять его снова, – пора задуматься об экономии времени и автоматизации. Применять можно разные инструменты: написать свою мини-программу (или не обязательно мини) или использовать визуально удобные блок-схемы и BPM-движки. Но самым удобным будет тот способ автоматизации, который позволит комбинировать гибкость скриптов и удобство работы с плейбуками в виде графических схем.


Подкасты ИБ СЗИ Практика ИБ DLP ИБ для начинающих

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности