Анализ текущего состояния информационной безопасности, обусловленного взрывной диджитализацией и цифровой трансформацией последних двух лет, приводит многих к пониманию того, что без автоматизации процессов управления ИБ и реагирования на киберинциденты противостоять атакующим будет очень непросто.

Количество бизнес-процессов, ИТ-акти­вов и уязвимостей, сложность тактик и инструментов хакеров, скорость распространения атак и их масштабы и последствия обусловливают необходимость автоматизации ИБ-процессов, что позволяет упростить менеджмент кибербезопасности, снизить нагрузку на специалистов и минимизировать показатели MTTD (mean time to detect, среднее время обнаружения инцидента) и MTTR (mean time to respond, среднее время реагирования на инцидент). При этом экономический эффект применения систем автоматизации, таких как системы IRP (Incident Response Platform), SOAR (Security Orchestration, Automation and Response) и SGRC (Security Governance, Risk Management and Compliance), является не единственным драйвером их внедрения: в отечественной и международной нормативной базе есть рекомендации и требования, выполнить которые проще всего именно с использованием указанных систем.

Напомним, что системы IRP (Incident Response Platform, платформы реагирования на киберинциденты) используются для автоматизации действий по анализу и обработке киберинцидентов, сбору дополнительной обогащающей информации по инцидентам, а также для интеграции с разнообразными системами для выполнения автоматических/автоматизированных действий по реагированию. Платформы IRP частично эволюционировали в системы SOAR (Security Orchestration, Automation and Response, платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на киберинциденты. В функционал SOAR-систем входит, как правило, обработка событий ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по обработке данных событий в соответствии с рабочими процессами реагирования (playbooks/runbooks), а также непосредственное выполнение действий по реагированию с помощью оркестрации (централизованного управления) ИТ/ИБ-системами. Дополнительный функционал SOAR-решений может включать в себя инструменты совместной работы аналитиков над инцидентами (case management), ведение общей базы знаний и закрытых инцидентов, интеграцию с инструментами обработки данных киберразведки (фидами Threat Intelligence), возможности для визуализации данных, построения timeline инцидентов, расширенной аналитики, в том числе с помощью механизмов обработки Big Data, машинного обучения и искусственного интеллекта.

Системы SGRC (Security Governance, Risk Management and Compliance, системы управления кибербезопасностью, рисками и соответствием законодательству) решают задачи автоматизации менеджмента процессов ИБ (управление ИТ-активами, уязвимостями, документами, задачами), управления киберрисками, обеспечения соответствия законодательным, отраслевым и внутренним нормативным актам. Кроме того, SGRC-системы помогают автоматизировать процессы проведения аудитов (внутренних и внешних), предоставления отчётности и визуализации состояния/метрик ИБ, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности и, в некоторых случаях, для управления настройками средств защиты (технология auto-SGRC).

Приведём ниже краткую выборку из основных нормативных требований и рекомендаций, выполнение которых в финансовых организациях будет гораздо более эффективным с использованием систем SOAR и SGRC.

Текст: Руслан Рахметов, генеральный директор Security Vision

Материал также опубликован в печатной версии Национального банковского журнала №12 (206) декабрь 2021