Как мы внедряем SOAR
В данной статье я хотел бы поделиться подходами, которыми руководствуется наша компания при создании автоматизированных систем реагирования на инциденты информационной безопасности (далее – ИБ).
Мы строим такие системы на базе решения R-Vision Security Orchestration, Automation and Response (далее – SOAR).
Несмотря на то, что одной из основных задач внедрения SOAR является автоматизация реагирования на киберинциденты, мы в ходе создания системы обращаем внимание заказчиков на такие возможности, как агрегация данных по киберинцидентам из множества источников, обогащение информации об киберинцидентах, управление активами, обеспечивая при этом единое информационное пространство для слаженной работы коллектива ИБ-специалистов.
Именно благодаря этому функционалу, SOAR является одним из фундаментальных решений при создании Центра кибербезопасности.
Работы по внедрению SOAR (как, впрочем, и по внедрению любого другого класса систем) мы начинаем с формирования команды, в которую входят как наши специалисты, так и специалисты заказчика (не менее двух человек, чтобы отпуск, больничный или какой-либо форс-мажор не могли поставить под сомнение выполнение плана внедрения).
Когда команда сформирована, начинается этап проектирования системы. Разрабатываются документы «План внедрения», «Пояснительная записка к техническому проекту» и «Программа и методика испытаний» (далее – ПМИ), которые содержат очередность действий, задачи и функции создаваемой системы, требуемые ресурсы, необходимые интеграции, описание реализации функций, способы и приемы проверки функциональной полноты и корректного функционирования системы.
Следующий этап – создание системы. На этом этапе мы решаем следующие задачи:
- автоматизация процесса управления активами;
- автоматизация процесса управления уязвимостями;
- автоматизация процесса управления киберинцидентами.
Рассмотрим каждую задачу более подробно.
Основная цель управления активами заключается в определении перечня защищаемых ресурсов, создании реестра активов и поддержании его в актуальном состоянии.
Процессу управления активами мы посвятили ряд статей – рекомендуем с ними ознакомиться:
Влад Ременчик. Об управлении активами.
Влад Ременчик. Инвентаризация активов с помощью R-Vision.
Влад Ременчик. Продолжаем качественно управлять активами.
Автоматизация процесса управления активами достигается путем проведения инвентаризации ИТ-инфраструктуры внутренним механизмом SOAR, а также интеграции создаваемой системы с другими системами заказчика, содержащими данные об активах.
Например, антивирусное программное обеспечение (далее – ПО) содержит информацию об автоматизированных рабочих местах (далее – АРМ), серверах, ПО, уязвимостях. Служба активных каталогов Windows содержит информацию о пользователях, АРМ, серверах и т.п.
Автоматизация процесса управления уязвимостями заключается в сборе информации о выявленных уязвимостях на активах, агрегации этой информации, приоритизации уязвимостей, постановке задач на их устранение, и, соответственно, контроле за ходом устранения.
При этом источником информации об уязвимостях могут быть не только сканеры безопасности, но и, например, антивирусное ПО. Интеграция системы с источниками информации об уязвимостях позволяет в единой консоли агрегировать информацию с привязкой к активам.
В рамках автоматизации процесса управления уязвимостями в системе создается сценарий управления уязвимостями. При этом может быть использована одна из следующих моделей:
- модель горизонтального взаимодействия – сценарий управления уязвимостями подразумевает постановку задач по устранению на уровне исполнителей;
- модель вертикального взаимодействия – задачи по устранению уязвимостей, согласно сценарию, ставятся с учетом вертикали управления.
Значимость уязвимостей определяется формулой расчета их рейтинга, в основу которой заложены:
- Common Vulnerability Scoring System (CVSS) — открытый стандарт, используемый для расчета количественных оценок уязвимости;
- значимость актива, на котором уязвимость выявлена;
- ценность информации, обрабатываемой на данном активе.
Формула расчета рейтинга уязвимостей позволяет выстроить последовательность их устранения. Например, у нас есть две уязвимости с одинаковым рейтингом CVSS, одна из которых выявлена на межсетевом экране, установленном на периметре организации, а вторая — на АРМ, расположенном во внутреннем сегменте сети. Применяя данную формулу, мы получаем рейтинг уязвимостей, который позволяет понять, какую уязвимость надо устранить в первую очередь.
Тем самым мы определяем последовательность устранения уязвимостей с учетом значимости этой уязвимости для наших активов.
Автоматизация процесса управления киберинцидентами. Безусловно, основным источником киберинцидентов является SIEM-система, при этом SOAR проектируется и создается с учетом того, что инцидент может быть также получен по почте, телефону или создаваться в ручном режиме.
Если в организации отсутствует процесс по реагированию на киберинциденты, то сначала мы разрабатываем данный процесс и после этого приступаем к его автоматизации. Если порядок действий по реагированию в организации описан, то мы приступаем к созданию «сценария реагирования».
«Сценарий реагирования» (его еще называют «плейбук») представляет собой порядок действий, включающий:
- информирование заинтересованных лиц,
- постановку им задач,
- выполнение скриптов автоматизации (при необходимости, с использованием коннекторов к информационным системам, интернет-сервисам и средствам защиты информации; коннекторы разрабатываются специально для системы с применением конструктора коннекторов).
Скрипты автоматизации выполняют действия с объектами информационной системы без участия специалистов. К таким действиям, например, можно отнести включение/выключение служб Windows, завершение процессов Windows/Linux и др.
Ниже приведен пример сценария реагирования (плейбука).
Для разных типов обнаруженных инцидентов запускаются разные «сценарии реагирования», которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента.
На этапе создания системы разрабатывается эксплуатационная документация («Общее описание», «Руководство пользователя», «Руководство администратора»).
Завершается этап настройкой функционала по визуализации информации и формированию отчетности. Здесь мы разрабатываем графики и отчеты, позволяющие отслеживать и оценивать состояние ИБ заказчика.
Испытания созданной системы проводятся в соответствии с требованиями ПМИ. В случае успешного прохождения ПМИ система принимается в опытную эксплуатацию.
На данном этапе выполняются работы по отладке сценариев управления уязвимостями и реагирования на киберинциденты, проводится обучение персонала заказчика работе с системой. Программа обучения состоит из практической и теоретической частей, а также включает в себя тестирование знаний пользователей и специалистов по администрированию.
После завершения этапа опытной эксплуатации начинается промышленная эксплуатация системы. На этом этапе мы обеспечиваем техническую поддержку системы, производим обновление (патчинг) SOAR и оказываем консультационную помощь заказчику по работе с системой.
Наш многолетний опыт в проектировании систем защиты информации и создания из пула средств защиты комплексной системы защиты информации подтверждает, что максимальная эффективность защиты обеспечивается тесной интеграцией средств, взаимообогащением информации, автоматизацией, позволяющей сократить количество рутинных операций и обеспечить слаженную работу команды ИБ-специалистов.
Если у вас есть вопросы по созданию автоматизированных систем на базе SOAR, пишите.
Часть 1. Оксана Хаблак. Наши подходы к проектированию системы защиты информации
Часть 2. Александр Захаренков. Наши подходы к созданию системы защиты информации