- безопасность
Судя по результатам исследования Splunk, в ближайшие годы руководители департаментов информационной безопасности сосредоточатся на автоматизации ИБ. Уже очевидно, что в условиях прямых и косвенных угроз, разнородных и разноплановых атак «ручная» работа с вторжениями слишком дорого обходится компаниям.
Единственная возможность выйти из реактивного режима — идентифицировать и устранять киберугрозы до того, как они превратятся в инциденты. Как это реализуется в контексте автоматизации ИБ и согласуется с параллельным трендом на платформенные решения — сейчас расскажем.
Суть автоматизации информационной безопасности
Автоматизация ИБ реализуется через набор программных решений для автоматического обнаружения, устранения и расследования киберугроз. Система самостоятельно сортирует, приоритезирует события информационной безопасности и реагирует на них. В отличие от режима «ручной» работы, на оценку и отработку потенциальной угрозы уходят считанные секунды. При этом часть угроз система ликвидирует сама, не требуя вмешательства специалиста по безопасности.
Это снимает с персонала самую сложную часть работы — выполнение повторяющихся, однообразных операций, которые рано или поздно приводят к «усталости от предупреждений».
Средства автоматизации ИБ
В наборе средств автоматизации безопасности три основных инструмента:
1. Security Information and Event Management или система управления информационной безопасностью и событиями безопасности (SIEM). Это программные решения, которые собирают, интегрируют и анализируют данные из ИТ-среды организации. Системы класса SIEM помогают обнаруживать и анализировать информацию об инцидентах безопасности из разных источников. Из российских продуктов этого класса можем выделить Kaspersky Unified Monitoring and Analysis Platform (KUMA) — кроссплатформенный сервис централизованного сбора, анализа и корреляции ИБ-событий из различных источников. Сервис объединяет в целостную систему разрозненные средства защиты и собирает данные о событиях безопасности в контексте.
2. Security Orchestration, Automation and Response или SOAR — класс решений для координации систем безопасности. SOAR решения опираются на SIEM, но если SIEM только мониторит события и агрегирует данные с рекомендациями по реагированию, то SOAR и рекомендует и автоматически реагирует на угрозы.
По данным об уровне риска и состоянии системы SOAR принимает решение, расставляет приоритеты, реагирует на инцидент, регистрирует свои действия и формализует результат в виде отчета. В качестве примера отечественного SOAR-продукта можем привести флагманский интернет-шлюз UserGate 5 класса Unified Threat Management. Концепция SOAR реализована здесь в формате заранее подготовленных сценариев. Если проработать каждый из них при наступлении одного или нескольких предварительно указанных событий (запускаемые по плану или при обнаружении атаки), решение будет автоматически блокировать или сокращать пропускную способность канала, запрещать сетевую активность пользователя и пр.
3. Extended Detection and Response или решения класса XDR объединяют SIEM, SOAR и другие инструменты безопасности в целостную систему с единым центром управления. Сервисы этого уровня предотвращают угрозы информационной безопасности, обнаруживают их и реагируют в автоматическом режиме. Возвращаясь к продуктам Kaspersky, это платформа Kaspersky Symphony XDR. Она автоматизирует реакцию на угрозы, обеспечивает бесшовное кросс-продуктовое взаимодействие инструментов ИБ, поддерживает глобальную аналитику и многоуровневый контроль всех точек входа злоумышленников.
Как видим, выбор решений для автоматизации ИБ не ограничивается одним-двумя сервисами. Более того, по данным того же Splunk, 64% технических специалистов раз за разом переходят от одного инструмента безопасности к другому. Очевидно, в поисках оптимального решения. В результате архитектура безопасности становится похожа на зоопарк — набор автономных продуктов, которые сложно контролировать, обновлять и поддерживать. Кроме того, часть функций таких решений может дублироваться, что мешает выявлять потенциальные угрозы и реагировать на них.
Неудивительно, что в 2023 году 50% опрошенных руководителей служб ИБ планируют сфокусировать свои бюджеты на платформах информационной безопасности, а не на отдельных системах. Так, чтобы на одной платформе настроить и реализовать интеграции с SIEM, IDM-системами, системой управления оборудованием и инфраструктурой, антивирусом, сервисом мониторинга и отслеживания конфигураций и статусов, базой знаний, модулей взаимодействия с НКЦКИ (ГосСОПКА) и пр.
Как понять, что компании нужна автоматизация ИБ
К сожалению, к автоматизации ИБ большинство компаний приходят через потери. Например, когда атаки идут одна за другой и бизнес раз за разом теряет деньги. Однако если не дожидаться разрушительных киберинцидентов, растущую потребность в автоматизации можно диагностировать по нескольким показательным симптомам.
Первый — время реагирования на инциденты. Если последние месяцы/годы средний показатель этой метрики неуклонно увеличивается, пора подумать об оптимизации процессов контроля и реагирования на угрозы.
Второй — количество ложных срабатываний. Когда инженеры по ИБ день за днем теряют время на проверку ложных срабатываний, а поиск причин ни к чему не приводит, возможно, пора автоматизировать идентификацию угроз и реакцию на события.
И последний, но важный показатель — мнение команды. Когда специалисты говорят об «усталости от предупреждений», фиксируют рост ошибок из-за человеческого фактора и понимают, что работать на опережение эффективнее, чем латать дыры — это самый очевидный сигнал. Время перестраивать подход к безопасности и менять реактивный режим киберзащиты на проактивный.