Security Vision Incident Response Platform (IRP / SOAR)

Процессы реагирования на инциденты ИБ

Для того, чтобы понять, как и где корректно применять и внедрять системы IRP, нам следует сначала обсудить реагирование на инциденты информационной безопасности в целом и подумать, как можно автоматизировать этот процесс. Для этого обратимся к документу NIST SP 800-61 Computer Security Incident Handling Guide («Руководство по обработке инцидентов компьютерной безопасности»). В соответствии с ним, реагирование на инциденты ИБ состоит из нескольких взаимосвязанных процессов:

1. Подготовка

2. Детектирование

3. Анализ

4. Сдерживание/локализация

5. Устранение

6. Восстановление

7. Пост-инцидентные действия

Рассмотрим подробнее основные этапы реагирования на киберинциденты и то, как системы класса IRP помогают автоматизировать действия специалиста ИБ на каждом их этих этапов.    

1. Подготовка, один из самых важных этапов. В ходе подготовки система IPR настраивается для дальнейшего использования: к ней подключаются ИТ и ИБ системы, с которых она в дальнейшем будет собирать дополнительную информацию о киберинцидентах (например, сведения о затронутых инцидентом системах и пользователях), а также СЗИ, которым предстоит осуществлять сдерживание угроз и защиту от них. На этом же этапе настраиваются сценарии реагирования (playbooks) – в соответствии с ними система IRP будет в дальнейшем реагировать на инциденты.

Кроме того, на этапе подготовки следует обеспечить группу реагирования на инциденты всем необходимым программным и аппаратным обеспечением (т.е. выдать ноутбуки, смартфоны, установить на них необходимые утилиты), а также выполнить превентивные действия по предотвращению инцидентов (защитить сеть и устройства компании, установить средства защиты информации, провести обучение сотрудников основам ИБ). В это время платформа IRP настраивается для эффективного применения: к ней подключаются ИТ-системы и средства защиты, с которыми предстоит взаимодействовать при реагировании на инциденты. Как правило, обеспечивают подключение тех систем, которые способны представить специалисту дополнительную информацию в контексте инцидента, например, сведения о затронутых инцидентом пользователях (контактные данные, должность, структурное подразделение, полномочия) и устройствах (тип операционной системы, установленное ПО, выполняемая функция). Кроме этого, подключаются и средства защиты, которые в рамках реагирования на инцидент будут выполнять задачи по сдерживанию и устранению угроз, например, средства защиты конечных точек, межсетевые экраны и системы управления сетью.

Таким образом, к моменту возникновения инцидента информационной безопасности в компании следует приходить во всеоружии: специалисты по реагированию и система IRP должны находиться в полной боевой готовности. Это является залогом того, что, даже если инцидент случится, его можно будет быстро локализовать, и его последствия не будут чрезмерно разрушительными.

2. Детектирование. На этом этапе производится интеграция SIEM и IRP, что обеспечивает передачу информации об инциденте от ИТ и ИБ систем через SIEM напрямую в IRP.

Прекурсор - это признак того, что инцидент ИБ может произойти в будущем.

Индикатор - это признак того, что инцидент уже произошел или происходит прямо сейчас.

Примерами прекурсоров инцидента информационной безопасности могут быть зафиксированное интернет-сканирование открытых портов веб-серверов компании или выявление уязвимости в какой-то ИТ-системе. Примерами индикаторов инцидента информационной безопасности могут быть появление сообщений от средств защиты (антивируса, межсетевого экрана и т.д.) о возможной атаке, несанкционированное удаление или модификация данных, появление ошибок и сбоев в работе ИТ-систем. Следует внимательно относиться к аномалиям в сетевом трафике: неожиданные всплески определенного типа трафика (например, DNS) могут свидетельствовать о вредоносной активности. Нетипичное поведение пользователей также следует анализировать: удаленное подключение в нерабочее время из необычной локации может быть признаком компрометации учетной записи. Для того чтобы максимально эффективно задействовать систему IRP на этапе детектирования, следует интегрировать IRP-платформу с SIEM-системой: такая связка обеспечит «бесшовную» передачу прекурсоров и индикаторов инцидента от ИТ-систем и средств защиты компании через SIEM напрямую в IRP-систему, что позволит ей оперативно обнаруживать инциденты и в дальнейшем предпринимать адекватные меры по реагированию на них.

На этапе анализа инцидента специалист Департамента ИБ должен определить, является ли произошедший/происходящий инцидент «боевым» или же имеет место «ложная тревога». На этом этапе помощь системы IRP поистине бесценна, поскольку именно она предоставляет ценную информацию об инциденте, помогающую принять решение о характере инцидента. Приведем пример: антивирусная система сообщает о вирусном заражении и последовавшим за ним обращении к нескольким IP-адресам. Аналитик, обратившись к данным IRP-системы, видит, что аналогичная активность имеет место и на ряде других устройств компании, то есть речь идет о массовом заражении. В результате инциденту присваивается статус «критичный», на решение задачи выделяются необходимые дополнительные силы и он оперативно устраняется, не причинив вреда информационным ресурсам компании.

4. На этапе сдерживания/локализации инцидента система IRP предоставляет специалистам ИБ информацию о том, какие функции выполняет подвергшийся атаке сервер, когда и как его можно изолировать или отключить. А благодаря интеграции с источниками киберразведки и специализированными поисковыми системами (VirusTotal, Shodan и др.) система IRP помогает собрать необходимые подробности об инциденте: какая система была атакована первой, каким образом, какие хакерские серверы были использованы в ходе атаки и пр.

5. На этапе устранения инцидента система IRP дает СЗИ необходимые команды по устранению уязвимостей, использованных в ходе кибератаки, и собирает недостающие данные обо всех устройствах, которые затронул инцидент, в разы сокращая время реагирования на него.

6. На этапе восстановления, когда атакованные системы возвращаются в нормальный режим работы и проверяется надежность предпринятых мер защиты, IRP помогает запомнить и учесть все участвовавшие в инциденте устройства и хронологию событий.

7. И, наконец, на этапе пост-инцидентных действий, когда причины инцидента анализируются с целью его недопущения в будущем, а также с целью оценки корректности действий ИБ-специалистов по его предотвращению, можно опять же использовать IRP, в которой хранится подробная информация обо всех произошедших инцидентах ИБ и о предпринятых мерах реагирования.

Выводы

Подведем итог. Системы IRP являются автоматизированными средствами реагирования на инциденты информационной безопасности, реализующими контрмеры для противодействия угрозам информационной безопасности в соответствии с заранее заданными сценариями реагирования. Сценарии реагирования называются playbooks или runbooks и представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, реагированию и сдерживанию угроз в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от поступающих данных со средств защиты или информационных систем. Платформы IRP помогают проводить структурированное и журналируемое реагирование на инциденты информационной безопасности на основании правил и политик. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению.

Обобщая сказанное, можно сделать вывод, что система IRP – это платформа реагирования на инциденты кибербезопасности, предназначенная для защиты информации путем систематизации данных об инцидентах информационной безопасности и роботизации действий оператора-аналитика ИБ. Благодаря IRP-платформам команды реагирования на инциденты информационной безопасности могут существенно сэкономить время и усилия при расследовании инцидентов ИБ, что напрямую повышает операционную эффективность деятельности департаментов ИБ и SOC-Центров.

Предоставляя интеллектуальные возможности и средства управления, используя ИИ и машинное обучение, технология SOAR позволяет организациям собирать и объединять массивы данных об инцидентах, полученные из самых разных источников, автоматически определять и устанавливать приоритеты рисков кибербезопасности и реагировать на стандартные киберинциденты, а в целом - обеспечить более эффективное управление процессами и повысить производительность без необходимости нанимать дополнительный ИБ-персонал.

Отличительная особенность и в то же время значительное преимущество систем SOAR – возможность с их помощью автоматизировать процессы управления информационной безопасностью «под ключ» - от оценки рисков до реагирования на инциденты.

Рассмотрим подробнее, что означает каждый из компонентов SOAR.

Orchestration – оркестрация (централизованное управление) – означает объединение различных технологий и инструментов защиты информации, получение данных из разнородных ИТ и ИБ систем и обеспечение их эффективного взаимодействия для создания безопасной ИТ-среды. Благодаря агрегированию и анализу данных, получаемых из широкого спектра источников, платформы SOAR дают возможность сотрудникам служб ИБ принимать более обоснованные и оперативные решения по обработке и реагированию на инциденты. Возможность из единой консоли получать данные и изменять настройки средств защиты информации помогает существенно сэкономить время выполнения рутинных операций, тем самым экономя силы специалистов по ИБ и повышая эффективность Департаментов ИБ и SOC-Центров.    

Automation – автоматизация – предполагает наличие в системах SOAR широкого спектра инструментов стандартизации и автоматического управления однотипными и в то же время трудоемкими «ручными» процессами (например, ложными срабатываниями и оповещениями о низкоуровневых инцидентах), что существенно снижает нагрузку на специалистов служб ИБ, в разы сокращает время обработки и устранения инцидентов, а также уменьшает эксплуатационные расходы.

И, наконец, Response – реагирование: системы SOAR обеспечивают возможность реагирования на множество киберинцидентов в автоматическом режиме, давая команды средствам и системам защиты на оперативное устранение или локализацию угроз. Это позволяет минимизировать время реагирования на инциденты ИБ и тем самым значительно уменьшить временнОе окно возможностей злоумышленника, потенциально минимизировав возможный ущерб от кибератаки.

В качестве еще одной основной функции SOAR систем иногда рассматривают формирование наглядной отчетности путем визуализации данных с параллельным обогащением и корреляцией. Визуализация отчетности позволяет ИБ-специалистам более оперативно проанализировать полученную информацию и принять обоснованное решение. Функционал Drill-Down позволяет перейти от визуально наглядной схемы или графика непосредственно к деталям – цифрам и данным.

Как правило, SOAR решения вызывают наибольший интерес у крупных структур с выстроенными и зрелыми процессами информационной безопасности и многочисленными разнообразными средствами и системами защиты, а также у коммерческих SOC-Центров.

Выводы

Системы класса SOAR представляют из себя платформы для централизованного управления средствами и системами защиты информации, автоматизации рутинных процессов и оперативного реагирования на киберинциденты. Управление разнообразными системами подразумевает получение от них данных, релевантных для задач кибербезопасности, а также изменение настроек СЗИ в одном интерфейсе, что существенно экономит время при решении задач кибербезопасности. При реагировании на инциденты система SOAR помогает выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию и устранению угрозы, восстановить атакованную систему, оповестить заинтересованных лиц, собрать и передать собранную информацию по инциденту. Интеграция с TI-платформами помогает обогатить данные по киберинциденту индикаторами компрометации. Популярность SOAR-систем обусловлена тем экономическим эффектом, который они привносят в деятельность ИБ-подразделений компаний и SOC-Центров: экономия на выполнении ручных операций и фокусирование аналитиков ИБ на действительно критичных задачах существенно повышает эффективность процессов реагирования на инциденты информационной безопасности.