Три составляющие кибербезопасности: технологии, процессы, аналитика

30 Мая 2024 10:5130 Мая 2024 10:51 |
Поделиться

Обеспечение кибербезопасности — непростая задача. Число кибератак растет, кадров не хватает, законодательство в сфере ИБ ужесточается. Ответом должно стать импортонезависимое решение, которое поможет автоматизировать процесс выявления и реагирования на киберинциденты, оценку киберрисков и соблюдение всех законодательных требований. Платформа Security Vision — готовое решение и одновременно базис для построения своей уникальной экосистемы продуктов ИБ.

Ответ на вызовы современности

В настоящее время отечественная отрасль кибербезопасности сталкивается с рядом вызовов: с одной стороны — санкции, уход зарубежных вендоров и шквал кибератак, с другой — острый дефицит кадров, импортозамещение и законодательные требования. На сложности, вызванные подобными обстоятельствами, можно реагировать и реактивно, однако лучше сконцентрироваться на проактивных действиях и на задачах, обусловленных сложившимися факторами.

Итак, вопросы нехватки специалистов (причем не только в ИБ, но и в большинстве отраслей экономики), требования по импортозамещению, необходимость выполнения норм текущего законодательства в условиях непрекращающегося потока кибератак и исчезновения зарубежных систем защиты требуют оперативного и комплексного реагирования. Логичным ответом будет российское импортонезависимое решение, которое позволит автоматизировать действия специалистов для снижения как потребности в кадрах, так и порога входа в обеспечение кибербезопасности. Такое решение обеспечит управление соблюдением требований законодательства, а также поможет упростить и ускорить выявление киберинцидентов и реагирование на кибератаки.

Звучит заманчиво, нереально, слишком абстрактно? Вовсе нет! Российская компания Security Vision разрабатывает и внедряет собственную платформу, которая предназначена для автоматизации управления кибербезопасностью, включая процессы реагирования на киберинциденты, управление киберрисками и соответствие законодательным требованиям. На сегодняшний день платформа Security Vision представляет собой экосистему продуктов, которые охватывают большинство направлений кибербезопасности. В портфеле компании сотни успешных внедрений в государственных учреждениях, промышленности, финансовом секторе, телекоме, ритейле, а также в более чем 10 крупнейших MSS-провайдерах. Разумеется, платформа Security Vision присутствует в реестре российского ПО и сертифицирована ФСТЭК России по 4 уровню доверия, а компания-производитель является резидентом «Сколково», располагает собственным ЦОД и учебным центром, и, кроме того, регулярно получает престижные профессиональные награды.

Что такое платформа Security Vision

Итак, пора рассказать о функционале платформы Security Vision. Начнем с того, что используемый термин «Платформа» не является маркетинговым приемом. Решение Security Vision — модульное, в его основе лежит объектно-ориентированный подход, используется единая ресурсно-сервисная модель данных для всех сущностей (активов, инцидентов, уязвимостей, заявок и т.д.), применяется графический конструктор рабочих процессов для автоматизации даже самых сложных бизнес-процессов, используется технология динамических плейбуков, присутствует встроенная база знаний и экспертных рекомендаций «из коробки», широко применяются методы машинного обучения. Все модули платформы взаимосвязаны, они образуют единую продуктовую экосистему, позволяющую выстроить целостный комплекс автоматизации процессов управления кибербезопасностью на базе интегрированных решений одного вендора. Поскольку продукты строятся на одной платформе, все продукты нативно совместимы, поскольку стек технологий один. Поэтому, например, AM, SIEM отлично взаимодействуют с SGRC, SOAR и TIP на платформе Security Vision, не доставляя хлопот с интеграцией и производительностью.

Функционал экосистемы Security Vision сгруппирован по направлениям:

  1. Направление «Технологии реагирования» (Security Orchestration Tools) включает в себя следующие модули: SOAR / NG SOAR (расширенное управление инцидентами), SIEM (сбор и корреляция событий ИБ), управление активами и инвентаризацией (AM — Asset Management, CMDB — Configuration Management Database), управление уязвимостями (VS — Vulnerability Scanner, VM — Vulnerability Management), контроль параметров безопасности (SPC — Security Profile Compliance), взаимодействие с регуляторами (ГосСОПКА и ФинЦЕРТ) и др.
  2. Направление «Процессы автоматизации» (Governance, Risk Management and Compliance) включает в себя следующие модули: управление соответствием 187-ФЗ, управление соответствием нормативно-методическим документам (законодательство, стандарты, внутренние корпоративные требования), управление непрерывностью процессов, управление киберрисками и операционными рисками и др.
  3. Направление «Аналитика больших данных» (Security Data Analysis) включает в себя следующие модули: TIP (анализ угроз, киберразведка), UEBA (поведенческий анализ, выявление аномалий), AD+ML (Anomaly Detection with Machine Learning, динамический анализ).

Расскажем подробнее про эти направления.

Технологии реагирования

Для противостояния современным киберугрозам и эффективного реагирования на инциденты ИБ важно обеспечить автоматизацию процессов сбора событий ИБ из инфраструктуры (сетевые устройства, конечные точки, СЗИ, ПО и т.д.) с дальнейшей нормализацией, корреляцией и формированием инцидентов ИБ. Эти задачи решает модуль управления инцидентами экосистемы Security Vision со встроенным SIEM-движком, в котором предустановлены более 100 правил корреляции. После регистрации киберинцидентов производится их автоматическая классификация по более чем 200 типам и сопоставление с тактиками и техниками из баз знаний БДУ ФСТЭК России и MITRE ATT&CK. Производится также автоматическая контекстуализация сведений за счет сбора и анализа событий в окрестностях инцидента с применением sigma-запросов, что позволяет выявить скрытые взаимосвязи между событиями и артефактами для более полного понимания произошедшего и автоматического выстраивания kill chain кибератаки.

Далее производится реагирование на подтвержденный киберинцидент: SOAR-модуль позволяет выполнить автоматические или ручные действия в соответствии с преднастроенными или пользовательскими динамическими сценариями реагирования, которые автоматически адаптируются под конкретный инцидент и реализуются в виде рабочих процессов с использованием графического редактора и zerocode-конструктора.

Действия по реагированию и дополнительному обогащению выполняются за счет интеграции с разнообразными российскими и зарубежными ИТ/ИБ-системами. Предустановлены более 150 коннекторов к защитным решениям классов SIEM, EDR, DLP, WAF, NGFW, песочницы, сканеры защищенности, TIP, UEBA, Data Lake, а также к инфраструктурным компонентам (AD, CMDB, ITSM, Email, ОС Microsoft Windows и *nix, СУБД, сетевое оборудование, прикладное ПО) и к внешним аналитическим сервисам (ChatGPT, VirusTotal, WhoIsXMLAPI, URLScan, IPGeolocation и т.д.). Подключение к любой произвольной системе может быть настроено инженерами вендора на этапе внедрения или заказчиком самостоятельно с помощью zerocode-конструктора интеграций. Поддерживаются REST API и разнообразные протоколы (HTTP / HTTPS, RPC, SNMP, SSH, LDAP, а также подключения по WMI, PowerShell, SQL и т.д.).

При реагировании на кибератаки не следует забывать, что субъекты КИИ и финансовые учреждения обязаны отчитываться о зафиксированных киберинцидентах через системы ГосСОПКА (НКЦКИ) и АСОИ ФинЦЕРТ (ЦБ РФ), а также получать и обрабатывать запросы от соответствующих ведомств. Данную задачу решает модуль взаимодействия с регуляторами, позволяющий автоматизировать отправку оповещений о киберинцидентах в соответствии с нормативными требованиями и формами отчетности, организовать получение оперативных уведомлений, бюллетеней, запросов и заявок от регуляторов, а также обеспечить бесперебойный обмен информацией с ними.

Кроме непосредственного реагирования важно корректно выполнить этап подготовки к отражению кибератаки, и в автоматизации данной задачи поможет модуль управления активами и инвентаризацией, входящий в экосистему Security Vision. Данное решение класса AM/CMDB (Asset Management/Configuration Management Database) позволяет выстроить процесс управления активами в гетерогенной инфраструктуре любой сложности, учесть нюансы жизненного цикла активов в конкретной компании, обеспечить видимость и прозрачность информационной инфраструктуры для ИБ-подразделений.

При реагировании на инциденты ИБ важно не только проследить действия атакующих, но и понять, какие элементы инфраструктуры затронуты атакой, какова их критичность, какие бизнес-процессы они поддерживают, каким образом можно устранить угрозу без нанесения ущерба бизнес-операциям. Для этого на подготовительном этапе реагирования в защищаемой инфраструктуре производятся сканирование, обнаружение, инвентаризация и категорирование информационных активов, автоматически выстраивается граф связей между связанными и зависимыми объектами (например, между подсетью, активом, пользователем, установленным ПО), предоставляется возможность drilldown-перехода в каждый связанный объект и выполнения ряда действий над объектами для получения детальной информации, администрирования, управления пользователями непосредственно из графа связей или из карточки объекта. Можно также отметить возможность централизованного удаленного управления ПО, контроля его использования, обновления и удаления ПО — подобные инструменты управления могут быть востребованы не только в ИБ-подразделении, но и ИТ-специалистами.

Процессы управления уязвимостями и контроля параметров безопасности также поддерживаются в соответствующих модулях VS (Vulnerability Scanner), VM (Vulnerability Management), SPC (Security Profile Compliance). Эти модули позволяют провести сканирование инфраструктуры на наличие уязвимостей с помощью встроенного сканера, консолидировать информацию об уязвимостях с внешних сканеров защищенности (поддерживаются основные российские и зарубежные продукты), объединить собранную информацию с инвентаризационной информацией об активах и выстроить процесс приоритизации и управления уязвимостями в зависимости от их критичности, свойств активов, SLA-нормативов, процедур согласования для установки обновлений и т.д. Поддерживается также обогащение сведений об уязвимостях из различных дополнительных источников (Vulners, VulDB, OpenCVE, AttackersKB, NIST NVD, БДУ ФСТЭК). Модуль SPC позволяет контролировать параметры безопасности и управлять конфигурациями корпоративных устройств (ОС, БД, прикладное ПО, сетевое оборудование и т.д.), что важно для практики харденинга (защищенной настройки) конечных точек и выполнения корпоративных compliance-требований.

Таким образом, модули направления «Технологии» (Security Orchestration Tools) экосистемы Security Vision охватывают все этапы управления киберинцидентами в соответствии с методическим документом NIST SP 800–61 Computer Security Incident Handling Guide (Руководство по обработке инцидентов компьютерной безопасности):

  1. Подготовка: управление активами и инвентаризацией (AM, CMDB), управление уязвимостями (Vulnerability Scanner, Vulnerability Management), контроль параметров безопасности (Security Profile Compliance).
  2. Обнаружение и анализ: SIEM (сбор и корреляция событий ИБ), управление уязвимостями (Vulnerability Management), а также TIP/UEBA/AD+ML.
  3. Сдерживание: IRP/ SOAR / NG SOAR.
  4. Расследование: IRP/ SOAR / NG SOAR, SIEM (сбор и корреляция событий ИБ).
  5. Устранение: IRP/ SOAR / NG SOAR.
  6. Восстановление: SOAR / NG SOAR, управление активами и инвентаризацией (AM, CMDB), BCP, SGRC.
  7. Пост-инцидентные действия: SOAR / NG SOAR, SIEM (сбор и корреляция событий ИБ), SGRC.

Подводя итог, необходимо подчеркнуть, что использование модулей направления «Технологии» (Security Orchestration Tools) позволяет заказчикам не только использовать богатый встроенный функционал (150+ коннекторов, 100+ правил корреляции, 200+ типов инцидентов, 100+ техник и тактик атакующих, 150+ атомарных сценариев реагирования), но и самим создавать интеграции, сценарии реагирования, процессы управления активами, уязвимостями и конфигурациями в удобном графическом редакторе с использованием zerocode-конструктора. Такой универсальный подход предоставляет возможность максимально гибкой настройки платформы Security Vision под самые разнообразные требования заказчиков.

Процессы автоматизации

Один из классических драйверов кибербезопасности — это нормативные требования, которые не только ставят корпоративную ИБ в определенные рамки, но и во многих случаях постулируют процессный подход для построения результативной кибербезопасности. Методические рекомендации, требования, фреймворки, лучшие практики нацелены на формирование целостной процессной структуры управления кибербезопасностью, которой подчинены все реализуемые организационные и технические меры защиты. При выстраивании процессного подхода важно не только соблюсти требования текущего законодательства по защите информации, но и создать структуру управления киберрисками, которая позволит сформировать перечень актуальных киберугроз на основе результатов оценки рисков с использованием качественных и количественных методов, выбирать целесообразные и соразмерные контрмеры для противодействия приоритизированным киберугрозам, оценивать экономическую эффективность и результативность системы управления ИБ. Поэтому неудивительно, что направление «Процессы» (Governance, Risk Management and Compliance) в экосистеме Security Vision включает в себя модули управления киберрисками и операционными рисками, управления соответствием внутренним нормативным документам и законодательным требованиям, а также управления непрерывностью процессов и многие другие, вплоть до процесса, который пользователь автоматизирует самостоятельно и строит свою экосистему. Расскажем о некоторых модулях подробнее.

Модуль управления рисками кибербезопасности (Risks Management) позволяет автоматизировать процессы формирования реестра киберрисков, оценки опасности и вероятности реализации каждого риска, моделирования угроз и нарушителей в соответствии с методологией ФСТЭК России или на основе пользовательской методики. В модуле поддерживается проведение качественной и количественной оценки киберрисков с учетом свойств активов, зарегистрированных инцидентов, обнаруженных уязвимостей благодаря единой ресурсно-сервисной модели данных для всех модулей платформы. Решение предоставляет возможность использования коробочной методики оценки киберрисков или создания пользовательской методики, а также предлагает средства моделирования применения сформированного плана мер защиты и корректирующих мероприятий с оценкой остаточного риска. Разумеется, заложена поддержка совместной работы группы ИБ-экспертов, риск-менеджеров и владельцев активов, включая формирование рабочей группы, заполнение опросных листов, работу в едином интерфейсе, обмен данными, отправку оповещений, поддержку корпоративных средств коммуникации.

Модуль управления операционными рисками (Operational Risks Management) адресован финансовым учреждениям и предназначен для управления соответствием нормам положения Банка России №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Решение поддерживает автоматизацию учета, классификации и управления различными видами операционных рисков (ОР), сбор и регистрацию событий ОР (поддерживается ручная, автоматическая и пакетная загрузка данных), разработку плана мероприятий по управлению ОР, мониторинг ключевых индикаторов рисков, проведение самооценки, формирование отчетности по ОР в соответствии с формами ЦБ РФ или по внутренним стандартам. Решение предоставляет возможность учета потерь и возмещений по событиям ОР с их классификацией по требованиям 716-П, а также функционал проведения качественной и количественной оценки уровня ОР. Модуль поддерживает и другие стандарты области ОР, такие как 787-П, но более детально представлены в модулях CM и BCP.

Модуль управления непрерывностью бизнеса (Business Continuity Planning) обеспечивает автоматизацию процесса обеспечения непрерывности и восстановления деятельности с учетом требований международных и отечественных стандартов. Решение реализует все стадии жизненного цикла процесса управления непрерывностью: анализ воздействия на бизнес и оценка рисков, разработка планов обеспечения непрерывности для бизнес-процессов, определение и внедрение процедур обеспечения непрерывности бизнеса, проведение учений и тестирований разработанных планов с последующей корректировкой. Модуль находится на стыке технологий и интересов ИТ и ИБ подразделений и дает синергетический эффект за счет использования в платформе единой ресурсно-сервисной модели данных для всех объектов.

Модуль управления соответствием 187-ФЗ (Критическая Информационная Инфраструктура) обеспечивает автоматизацию процедур категорирования ОКИИ в соответствии с ПП-127, формирования опросных листов и сбора данных, расчета показателей, оценки соответствия требованиям приказов ФСТЭК России (№ 235, 236, 239), также поддерживается управление соответствующими заявками и задачами.

Модуль управления соответствием НМД (Compliance Management) автоматизирует процесс управления соответствием требованиям нормативно-методических документов (НМД). Поддерживаются основные российские и международные стандарты по ИБ (приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, ISO 27001, рекомендации NIST и т.д.), а также внутренние корпоративные требования и методики оценки соответствия. Встроенная база НМД постоянно актуализируется вендором, а пользователю предоставляется возможность формирования корпоративных стандартов путем разработки собственных нормативов или применения требований из встроенной базы. Предусмотрено формирование пользовательских рабочих процессов для оценки соответствия, создание и заполнение (ручное и автоматизированное) опросных листов, совместная работа специалистов, разработка перечня пользовательских мер защиты с формированием заявок на их реализацию, подготовка планов мероприятий для достижения целевого уровня соответствия. Также в решение встроены средства создания отчетности и визуализации степени соответствия с использованием аналитического движка.

В заключение отметим, что модуль управления соответствием НМД может быть использован в том числе в виде сервиса «Комплаенс», предоставляемого Security Vision по подписке из облака, что подойдет компаниям, выбирающим свободу развертывания платформы на своей инфраструктуре и высокую скорость реализации проектов для формирования полного цикла автоматизации процессов ИБ на базе риск-ориентированного подхода. Сервис «Комплаенс» из облака отлично подойдет компаниям из сегмента СМБ.

Аналитика больших данных

Современные киберугрозы требуют релевантных способов противодействия. Классические сигнатурные методы уже не работают эффективно, создание и непрерывная актуализация правил выявления киберинцидентов требуют выделения существенных кадровых ресурсов, а признаки инцидентов и артефакты кибератак бывают настолько незаметными, что выявить их вручную не представляется возможным. Атакующие инвестируют значительные средства в повышение эффективности используемых ими тактик и техник, что приводит к непрерывному усложнению применяемого вредоносного ПО (ВПО), поиску и эксплуатации неизвестных уязвимостей, широкому использованию штатных средств ОС в атаках, применению современных средств автоматизации для проведения успешных кибернападений, повышению скорости и скрытности киберопераций. Ответить на подобные вызовы можно только с применением самых современных защитных технологий и подходов. Поэтому экосистема Security Vision содержит модуль анализа угроз и проведения киберразведки (TIP, Threat Intelligence Platform) и модуль поведенческого анализа (UEBA, User and Entity Behavior Analytics), в которых широко применяются технологии машинного обучения.

Модуль анализа угроз и проведения киберразведки (Threat Intelligence Platform) позволяет обрабатывать индикаторы компрометации (IoC), индикаторы атак (IoA), стратегические атрибуты (угрозы, злоумышленники, ВПО), выполняя их агрегацию из наиболее полных коммерческих и бесплатных источников-фидов (RST Cloud, BI.ZONE, F.A. C.C.T., Kaspersky, AlienVault, MISP и т.д.). Поиск артефактов осуществляется за счет ретро-поиска в исторических данных и match «на лету» благодаря интеграциям с разнообразными решениями классов SIEM, NGFW, Proxy, Email и универсальным парсерам (Syslog, CEF, Windows Event Log, JSON, REST API, SQL-запросы и т.д.). Применение технологий машинного обучения, использование базы знаний проекта MITRE ATT&CK и интеграция со встроенными механизмами реагирования на основе предустановленных и пользовательских плейбуков позволяют получить полную картину кибератаки для анализа и противодействия.

Модуль поведенческого анализа (User and Entity Behavior Analytics) дает возможность выстраивать модели поведения различных сущностей (устройства, учетные записи, приложения и т.д.) при помощи встроенных правил корреляции, статического анализа, мониторинга объемных показателей с учетом «веса» событий и методов глубокого машинного обучения, в том числе адаптируемых под конкретный ландшафт данных и инфраструктуру. Применяемые правила корреляции, методы математической статистики и машинного обучения получают на вход сырые данные из различных источников (СЗИ, журналы событий ОС, Sysmon, Linux logs и т.д.). В решении применяются ML-модели с учителем и без, для обучения используются результаты сэмулированных на киберполигоне Security Vision сценариев атак, общедоступные дата-сеты (ВПО, ботнеты, DDoS и т.д.), производится автоматическое обогащение информации по объектам из внутренних и внешних источников. Дополнительно применяются меры для снижения количества ложноположительных срабатываний: отключение моделей при превышении порогового уровня сработок, обучение моделей внутри периметра компании, полный контроль над правилами и анализом, разработка собственных правил корреляции и математических моделей.

Возможности адаптации

В заключение отметим, что главной особенностью платформы Security Vision является возможность гибкой и глубокой пользовательской настройки всех модулей. По сути, это платформа-конструктор, в основе которого лежат базовые объекты, обладающие задаваемыми пользователем свойствами (так рождается актив, инцидент, заявка и т.д.), и рабочий процесс — набор действий-транзакций, выполняемых над объектом, и его состояний. Присутствующие «из коробки» пакеты экспертизы, коннекторы, правила корреляции и сценарии реагирования могут закрыть потребность почти любого заказчика. Однако, если целевые процессы или инфраструктура обладают определенными уникальными особенностями, пользователь сам (или с помощью инженеров внедрения компании-производителя) может полностью перенастроить платформу под свои требования и задачи.

Экосистемный подход, который применяется в Security Vision, позволяет заказчикам выстроить всеобъемлющую систему автоматизации большинства процессов кибербезопасности на единой платформе, в которой применяются взаимно интегрированные инновационные защитные технологий, подходы и методы мирового уровня.

Компания Security Vision инвестирует в исследования и разработку инновационных технологий кибербезопасности, участвует в организации профильных конференций, сотрудничает с ведущими вузами страны (включая МГТУ им. Баумана), что является залогом внедрения самых передовых идей кибербезопасности в продукты компании.

Руслан Рахметов, СЕО Security Vision

Полный текст статьи читайте на CNews