Security Operations: защита от киберугроз в ServiceNow

По прогнозам Gartner, к 2020 году 15% компаний, в которых отдел ИБ состоит из 5 или более человек, будут использовать системы SOAR (security operations, analytics and reporting).

Мы предлагаем разобраться, что предлагает ServiceNow в рамках класса таких систем.

dcibwjsw-_anag-s1udxll2raua.jpeg
/ Flickr / Hivint / CC

Что такое SOAR


Gartner определяет SOAR как инструментарий, позволяющий сводить данные об угрозах безопасности из разных источников для последующего анализа. SOAR автоматизирует этот процесс: от назначения приоритета до работе с шаблонными «ответами» на инциденты.

Что напрямую относится к работе SOAR:

  • Оркестровка (Orchestration) — интеграция технологий и инструментов для принятия решений на основе информации об уровне риска и состоянии системы.


  • Автоматизация (Automation) — для замещения задач, которые ранее выполняли «вручную», автоматическими действиями со стороны системы (playbooks).


  • Управление инцидентами и взаимодействие (Incident management and collaboration) — сквозной подход по работе с «назначением приоритета», «протоколированием действий» и «принятием решений на основе политик компании».


  • Формирование отчетов (Dashboards and reporting) — визуализация информации по ключевым метрикам и составление отчетов (для трех типов сотрудников — аналитиков, руководителей SOC (Security Operations Center) и директоров по ИБ (Chief Information Security Officer, CISO).


Немного о Security Operations


Вице-президент ServiceNow Шон Конвери (Sean Convery) подчеркивает, что SOAR-продукты направлены на интеграцию различных источников данных о рисках и формализацию работы с инцидентами. Это поможет усилить позиции сотрудников, работающих на аналитических должностях, и даст им инструменты, которыми можно будет пользоваться «здесь и сейчас».

Если в организации не используют SOAR, специалисты по ИБ могут столкнуться с рядом проблем. Менеджер по маркетингу продукта Security Operations Джанин Казелла (Janene Casella) считает, что главная сложность, с которой сталкиваются сотрудники отдела ИБ — отсутствие четких критериев «полной безопасности». Согласно исследованию Forrester, среди узких мест в работе отделов ИБ респонденты выделяют ограничение «видимости» проблем и необходимость решать задачи «вручную». Первое — не позволяет отслеживать уязвимости на всех уровнях, второе — замедляет время отклика и увеличивает расходы отделов ИБ на разрешение тех или иных ситуаций.

Один из инструментов для решения этих проблем — SOAR-продукты ServiceNow. Как справедливо отметила Джанин, универсальных критериев для оценки эффективности работы подразделений ИБ просто не существует. Однако можно измерить экономическую выгоду от работы той или иной системы, в том числе и SOAR-инструментария, сравнить результаты (до/после) и сделать выводы.

Для этого ServiceNow обратились в Forrester, которые проанализировали работу следующих модулей Security Operations:

  • Security Incident Response — упрощает идентификацию инцидентов. Этот модуль отвечает за импорт данных из уже используемых решений и SIEM-систем (Security Information и Event Management) с помощью API и кастомизировать процессы с учетом политик по ИБ.


  • Vulnerability Response — приоритизирует уязвимые элементы. За счет этого отдел ИБ быстрее определяет, подвержены ли бизнес-критические системы риску или нет. С помощью базы данных управления конфигурацией (CMDB), модуль анализирует зависимости, оценивает влияние изменений и простоев на бизнес-процессы. При обнаружении потенциальных рисков модуль предложит внести изменения и проведет их проверку в последствии.


  • Threat Intelligence — помогает ИТ-подразделению обнаружить индикаторы возможной компрометации (Indicators of Compromise, IoCs) и отследить угрозы на более глубоком уровне. Модуль поддерживает различные стандарты для обмена данными об угрозах, позволяет подключать кастомные источники и обмениваться данными со сторонними системами.


Аналитики исследовали работу трех крупных американский компаний из сферы финансов и здравоохранения (штат сотрудников — 1000, 4200 и 13500 человек, размер отдела ИБ — 10, 50 и 80 человек). По итогам анализа мнений экспертов Forrester выяснил, что внедрение модулей Security Operations дает следующие результаты в проекции на три года работы отдела ИБ:

  • экономия до 4,7 млн долларов за счет повышения эффективности в процессе назначения приоритетов и разрешения инцидентов на 30–50%;
  • до 535 тыс. долларов — за счет эффективного анализа потенциальных уязвимостей на 60%;
  • до 355 тыс. долларов — за счет актуализации инструментов защиты.


Помимо этого инструментарий Security Operations призван улучшишь взаимодействие с другими сотрудниками и ИТ-службами компании и предоставить ряду таких сотрудников возможности для отслеживания состояния узкоспециализированных систем в режиме реального времени.

Где это уже работает


Компания Prime Therapeutics пользовалась инструментом Qualys для обнаружения уязвимостей, но при этом не применяла интегрированные инструменты для автоматизации отчетности. Такой подход замедлял деятельность всего отдела ИБ и вел к слишком длительному «латанию» потенциальных уязвимостей. Security Operations помог интегрировать информационные потоки от систем защиты, наладит управление процессом и автоматизировать работу с отчетами.

Еще один кейс — внедрение Security Operations в компании Freedom Security Alliance. Здесь инструментарий решал задачу сведения информационных потоков о потенциальных угрозах в «единое русло» и последующего управления инцидентами. Возможности продукта по автоматизации этих процессов помогли компанииснизить время разрешения инцидентов на 40% и экономить ресурсы компании на этапе выяснения причин возникновения инцидентов.

Среди других примеров — интеграция Security Operations в работу отдела ИБ австралийской организации AMP. Результат — уменьшение времени реагирования на уязвимости на 60%. И внедрение в компании DXC Technology — аналогичную метрику удалось уменьшить на 50%, при этом время обнаружения IoCs сократилось в 5 раз.


Дополнительные решения



Security Operations предлагает несколько опциональных модулей, функциональных возможности которых направлены на предотвращение киберугроз. Один из них, Trusted Security Circles, позволяет отделам ИБ обмениваться данными об угрозах в режиме реального времени.

С одной стороны — здесь есть верифицированные источники, с другой — при обмене информации между ними сохраняется анонимность. Работает приложение так: подразделение ИБ формирует анонимный запрос в выбранном тематическом сообществе. Когда число запросов превышает установленный порог, инцидент автоматически открывается в Security Operations.

Барт Мерфи (Bart Murphy), технический директор компании CareWorks, подчеркивает важность системного подхода к обмену информацией для ИТ-подразделений. Такой подход поможет вовремя устранить массовые атаки на отраслевые компании (например, финансовые) и уменьшит время реагирования.

Другой компонент — приложение Performance Analytics. Оно позволяет ИТ-командам следить за состоянием систем с помощью панели мониторинга и создавать отчеты в режиме реального времени. В приложении доступна работа с предустановленными KPI и возможность их кастомизации.

Еще один тематический продукт — Identity Management (наш пост об этом решении на Хабре). Партнерский союз ServiceNow и Okta предлагает клиентам этот инструмент для управления учетными данными. Он позволяет выявлять проблемы, а также устранять «утечки» идентификационных данных и обеспечивать их безопасность.

Дополнительные материалы из корпоративного блога ИТ Гильдии:

  • Почему облачная ITSM-система подходит для средних и крупных компаний
  • Как работает сбор информации об инфраструктуре с помощью модуля Discovery
  • ServiceNow — лучшее решение ITSM в 2017 году по мнению Gartner

© Habrahabr.ru