Автоматизация ИБ: инструменты и рекомендации по внедрению

Введение

С каждым годом ландшафт киберугроз стремительно развивается: атаки становятся сложнее, их частота растет, а последствия — дорожают. При этом компании не могу увеличивать найм сотрудников пропорционально росту количества угроз. Типовой метрикой для расчета количества специалистов по информационной безопасности чаще всего выступает количество эксплуатируемых технических средств, информационных систем и средств защиты информации. Такой подход не учитывает другие параметры инфраструктуры, которые необходимо отслеживать сотрудникам (сетевые угрозы, события доступа к объектам инфраструктуры, в т.ч. использование привилегированных учетных записей, изменения в настройках безопасности серверов/рабочих станций/сетевого оборудования/информационных систем/средств защиты информации и т.п.), а также — растущее количество событий, которое генерируют СЗИ.

Когда же в отношении компании применяется целевая атака, то работать с артефактами такой атаки без средств автоматизации практически невозможно, т.к. её события часто растянуты во времени или выглядят как легитимная активность, из-за чего человек не может воспринять их и своевременно обнаружить инцидент. Без автоматизированного анализа даже опытные специалисты обнаруживают целевые атаки только когда ущерб уже нанесен.

Автоматизация становится ключевым инструментом для подразделений ИБ, позволяя не только быстрее обнаруживать атаки, но и решить три критические проблемы: дефицит ресурсов, ошибки из-за человеческого фактора, рост числа угроз.

В этой статье мы разберем основные направления работы специалистов ИБ, где автоматизация дает максимальный эффект — от мониторинга до харденинга, конкретные инструменты и их влияние на безопасность, и дадим рекомендации по порядку автоматизации процессов ИБ.

Основные направления деятельности специалиста ИБ, где автоматизация будет максимально эффективна

1. Мониторинг состояния безопасности — контроль состояния инфраструктуры и событий безопасности (логи, трафик, действия пользователей) для выявления отклонений в состояниях/конфигурациях оборудования и обнаружения угроз в реальном времени.

Для автоматизации мониторинга существует множество различных средств, которые позволяют контролировать инфраструктуру в режиме 24/7, мгновенно обнаруживать угрозы анализируя терабайты логов, обеспечивать снижение ложных срабатываний в т.ч. за счет применения AI/ML. Мониторинг в ручном режиме с теми же показателями эффективности просто невозможен и с высокой вероятностью приведет к пропущенным инцидентам.

Средства автоматизации:

• SIEM-системы — агрегация и корреляция событий;
• IDS/NTA — обнаружение вторжений, в т.ч. на основе сетевого трафика;
• UEBA — поведенческий анализ действий пользователей и устройств;
• DLP-системы — автоматический мониторинг утечек.

2. Проведение проверок состояния безопасности инфраструктуры – задачи по регулярному контролю соответствия объектов инфраструктуры корпоративным стандартам или требованиям регуляторов по информационной безопасности.

Применение средств автоматизации для проведения контроля соответствия инфраструктуры требованиям позволяет обеспечивать максимальную объективность результатов, исключая человеческий фактор при оценке состояния, использовать преднастроенные расписания аудита и продвинутые механизмы сканирования вне зависимости от занятости специалиста ИБ.

Средства автоматизации:

• SCM — контроль конфигураций и проверка настроек;
• GRC — управление политиками и соответствием требованиям;
• VM/сканеры уязвимостей — поиск и устранение уязвимостей в инфраструктуре;
• Ansible/SaltStack — инструменты автоматизации.

3. Реагирование на инциденты — мероприятия, проводимые при обнаружении киберинцидента: анализ, изоляция угрозы, восстановление систем.

Автоматизация управления инцидентами на сегодняшний день является динамично развивающимся направлением, многие вендоры ежегодно расширяют функционал предлагаемых решений и в части оптимизации процесса управления инцидентами, и в части встроенной экспертизы и автоматизированных сценариев реагирования. Это позволяет кратно уменьшить время обработки инцидентов (с часов до минут): использовать заранее сформированные сценарии и автоматические плейбуки для реагирования на инциденты и быстро изолировать пораженные объекты инфраструктуры, что в свою очередь минимизирует ущерб от атаки. В случае ручной обработки и расследования инцидентов компании теряют драгоценное время, давая преимущество атакующей стороне.

Средства автоматизации:

• IRP/SOAR — автоматизация процессов управления инцидентами и реагирования
• XDR/EDR — обнаружение и реагирование на угрозы в инфраструктуре
• Оркестрация (Ansible, SaltStack) — массовое применение исправлений или отдельных настроек для объектов инфраструктуры

4. Управление доступом — управление учетными записями пользователей, многофакторная аутентификация и контроль доступа.

Использование средств автоматизации при организации процесса управления доступом в инфраструктуре позволяют компании обеспечивать полный жизненный цикл учетных записей:

• оформление и согласование заявок на доступ к информационных ресурсам;
• создание учетных записей согласно запрошенным полномочиям;
• проведение периодической верификации полномочий в разрезе инфраструктуры;
• блокировка/удаление учетных записей при увольнении сотрудников

Кроме того, средства класса MFA+SSO повышают не только безопасность, но и удобство при работе с множеством различных информационных систем, параллельно обеспечивая выполнение требований по периодической смене паролей и соответствие парольным политикам компании. Ручное управление полномочиями неизбежно приведет к появлению «мертвых» учетных записей и «дефолтным» паролям в инфраструктуре.

Средства автоматизации:

• IAM-системы — автоматизация жизненного цикла учетных записей;
• PAM-системы — управление привилегированным доступом;
• MFA/SSO — многофакторная аутентификация и централизованная аутентификация.

5. Эксплуатация СЗИ и встроенных средств защиты - настройка и поддержка внедряемых (антивирусы, DLP, межсетевые экраны и т.д.) и встроенных средств защиты в ОС и информационных системах.

Централизованные средства управления СЗИ обеспечивают массовое управление защитой инфраструктуры, например, обновление баз вредоносных сигнатур антивирусов, политик и правил детектирования угроз IDS и EDR, автоматическое обновление и анализ работы средств защиты в реальном времени или применение решающих правил межсетевых экранов без задержек.

Средства автоматизации:

• Централизованные средства управления СЗИ (например, Kaspersky Security Center)

6. Харденинг — усиление настроек ОС, приложений и сетевого оборудования для уменьшения поверхности атаки, устранения уязвимостей и обеспечения соответствия стандартам информационной безопасности компании.

Автоматизация харденинга позволит эффективно применять стандарты в конфигурациях объектов инфраструктуры для обеспечения одинаковой защищенности серверов, рабочих станций и сетевого оборудования, а также — сэкономить время за счет использования инструментов автоматического развертывания.

Средства автоматизации:

• Инструменты для харденинга (например, MSCT, Ansible);
• SCM — контроль конфигураций;
• Средства Infrastructure as Code (IaC) для развертывания предварительно защищенных систем.

Рекомендации по внедрению средств автоматизации

Первый шаг к автоматизации — инвентаризация активов. Для корректной автоматизации процессов необходимо иметь полную информацию об ИТ-ландшафте организации (где какой актив находится — в тестовой среде или на проде, кто его владелец, к какой информационной системе он принадлежит).

Кроме понимания ИТ-инфраструктуры для успешной автоматизации необходимо ещё и хорошо представлять ландшафт возможных угроз. Иначе можно перестараться с настройкой, например, правил корреляции в SIEM и увеличить количество false-positive алертов. Если при этом подключить ещё и автоматизированное реагирование, то это создаст риск блокировки критичного бизнес-процесса из-за ложного срабатывания SIEM.

Далее — выявляем самые трудозатратные задачи, где ручная работа занимает существенное время и часто приводит к ошибкам. К таким задачам большинство компаний относят мониторинг событий безопасности (решается внедрением SIEM системы), процедуры выявления уязвимостей в инфраструктуре (закрывается настройкой автоматического сканирования инфраструктуры) и процессы реагирования на инциденты (применяйте платформу IRP/SOAR для автоматизации расследования и реагирования на инциденты).

После успешной автоматизации основных рутинных задач можно расширяться и переходить на другие процессы, такие как управление доступом и харденинг.

Решения, применяемые для автоматизации, имеют доступ ко многим ресурсам/системам, а значит — должны быть надежно защищены. Отдельное внимание стоит уделять безопасной архитектуре средств автоматизации, а также контролю доступа к системе и аудиту событий безопасности.

Не забываем об оценке результата автоматизации: она должна давать ощутимый эффект по сокращению времени и/или повышению качества выполнения операций.

Какие могут быть метрики оценки автоматизации? Классический подход измерения эффективности в деньгах — считать трудозатраты до и после внедрения автоматизации, умножать разницу на фонд заработной платы специалистов, задействованных в процессе. Кроме того, результат автоматизации можно оценить через общее повышение эффективности бизнеса — например, когда за счет сокращения трудозатрат на рутинные задачи SOC может взять больше клиентов на обслуживание.

Заключение

При сегодняшнем уровне цифровизации и количестве угроз автоматизация — уже не роскошь, а необходимость. Она сокращает риски, экономит миллионы рублей ущерба в случае инцидента и освобождает ИБ-команды для стратегических задач. Чем раньше вы начнете — тем меньше шансов у злоумышленников.

Компании, которые не модернизируют подходы к безопасности, сталкиваются с финансовыми потерями, репутационными рисками и штрафами за несоответствие регуляторным требованиям. Единственный способ оставаться защищенными — внедрять автоматизацию, оптимизировать процессы и закрывать ключевые уязвимости.