Защита данных как работа оркестра. SOAR решения объединяют автоматизированные процессы в единую систему

Защита данных как работа оркестра. SOAR решения объединяют автоматизированные процессы в единую систему

Защита данных — это ИБ-процесс, который может включать в себя целые комбинации СЗИ и подходов к обеспечению безопасности.

Для начала рассмотрим те технологии, которые применяются для защиты:

• С одной стороны, вирусы, шифровальщики, программы-вымогатели и другие типы вредоносного ПО могут повредить файлы и сделать их недоступными для пользователей и процессов. Для обеспечения целостности и доступности данных используются средства резервного копирования и восстановления (Backup), обнаружения (SIEM, IDS) и предотвращения (SIEM, IDS/IPS, AV/EDR) атак. Сами данные могут быть связаны с конкретными активами (AM/CMDB), что можно учитывать при оценке критичности, а также быть «прикрыты» дополнительными слоями средств защиты, вроде брандмауэров (FW, NGWF), веб-приложений (WAF, anti-DDoS).
• С другой стороны, нужно обеспечивать конфиденциальность данных и обеспечивать предотвращение угроз, исходящих как от внешних злоумышленников, так и от внутренних пользователей с доступом. Для этого применяют средства и подходы управления доступом (IAM, MDM), мониторинга возможных утечек (ILD) и проактивной защиты (DLP, CASB). Нужно помнить также, что нарушение конфиденциальности может быть связано и со «случайными» рисками, поэтому пригодятся риск-ориентированный подход и интеграция SGRC-процессов.

Опишем участие этих технологий в процессе защиты на примере хорошо изученного процесса — атаки шифровальщика на корпоративную сеть через спам: пользователь скачивает подозрительный файл из внешнего письма, EDR помечает его как потенциально вредоносный, Sandbox запускает дополнительную проверку, SIEM фиксирует аномалии в поведении пользователя. Таким образом, реализуется обнаружение и подтверждение угрозы, далее происходит реакция: FW/NGFW определяет и изолирует IP-адрес, ОС блокирует учётную запись пользователя через каталоги (AD), а при помощи микросегментации происходит изоляция заражённого устройства. Далее следуют этапы анализа и восстановления: VS/VM проверяет, не использовал ли шифровальщик известные уязвимости, если обнаружена уязвимость AM/CMDB система автоматически применяет патч, а Backup-система восстанавливает зашифрованные файлы.

Приводя множество примеров СЗИ и описывая одну из атак, мы хотели показать, что защита данных — это многослойный процесс, включающий как усилия специалистов, работающих с этими данными, так и технологии защиты, основанные на различных подходах. Среди приведённых примеров можно встретить системы, развивающиеся «агентские» (то есть имеющие более близкий контакт с данными через программу, установленную на компьютере или сервере), сетевые и смешанные решения. Даже при попытке разделить все продукты на два лагеря возникает так много пересечений функционала и возможностей. Если добавить к этому конкуренцию, то с трудом можно разделить их на три блока (рис).

Рисунок. Даже при попытке разделить все продукты на два лагеря возникает множество пересечений функционала и возможностей. Если добавить к этому конкуренцию, то с трудом можно разделить их на три блока

Финальным пунктом в обзоре технологий становится тот факт, что для финансовой выгоды и снижения рисков весь процесс защиты данных становится многовендорным, то есть включает десятки разных поставщиков технологий и тысячи экспертных мнений. Все участники, как различные музыкальные инструменты большого оркестра, пытаются вместе играть общую мелодию. Сам процесс затрудняется не только различиями в подходах, но и необходимостью знать, как играть на каждом инструменте. Переводя на язык технологий — требуется знать интерфейс и уметь пользоваться каждым средством защиты.

Мы рассказали про десятки классов систем, которые могут быть вовлечены в процесс защиты, и указали на определённую сложность этого процесса — все системы должны работать вместе и не просто не мешать друг другу, но обмениваться данными и обладать каким-то единым (или хотя бы похожим друг на друга) интерфейсом. На текущем этапе развития ИТ и ИБ, даже при высочайшем уровне регулирования, это невозможно технически, поэтому для управления «оркестром» используются решения класса SOAR, из названия которого (Security Orchestration, Automationand Response) буквально исходит наше музыкальное сравнение.

Security Vision предлагает модульные решения для набора требуемого функционала. Например, SOAR может быть эффективно дополнен модулями управления активами и уязвимостями (для управления CIA-параметрами, определения SLA и приоритизации всех задач), взаимодействия с регуляторами (для привлечения в процесс защиты данных центров реагирования ГосСОПКА и ФинЦЕРТ), поведенческого анализа и анализа угроз (UEBA, TI). Сами по себе эти модули не являются средствами защиты информации, но позволяют собрать вместе частички паззла и разрозненные данные, а также облегчить работу аналитикам.

Как мы уже упоминали ранее, бизнесу важно не просто сохранить данные, а учитывать финансовые последствия и другие риски. Например, добавляя в экосистему новые решения, можно основывать выбор на сравнении их стоимости и последствий потери данных и других рисков. В таком случае методы оценки рисков типа Монте-Карло и другие количественные оценки с переводом в финансы позволят собрать для себя подходящую группу продуктов.

Рассмотрим участие различных решений и модулей Security Vision в процессе оркестрации на нескольких простых примерах:

1. Потенциальная утечка данных: системы контроля доступа IAM и MDM запускают проверки на выполнение политик, DLP-система может автоматически ограничить доступ к файлам и передаёт сведения в единый центр управления SVSOAR. В более сложных ситуацияхILD система и работа экспертов по анализу позволяют обнаружить источник утечки, например, по фотографии в сети, и также при помощи коннекторов передает эту информацию аналитикам.
2. Реагирование на инциденты: SIEM или другое средство защиты выявляет угрозу, ИТ-специалист устраняет её по заявке от службы ИБ. В более сложной цепочке — больше участников. Например, SVUEBA фиксирует аномалию, аналитик подтверждает её анализом индикаторов компрометации и угроз при помощи SVTIP, далее SVSOAR  запускает весь процесс.
3. Патч-менеджмент: поиск уязвимостей при помощи сканеров (SVVS, SVSPC), интеграция с базами уязвимостей CVE, автоматическое развёртывание обновлений на уязвимые системы через средства управления активами (SVAM) и/или создание тикетов в системе управления задачами (SVVM, SD/ITSM) и автоматическое оповещение сотрудников.

Из этих примеров отлично видно, что любой процесс стартует c детектирования средствами защиты, но вовлекает все больше участников, данных и процессов. Поэтому применение зонтичных продуктов на примере модулей платформы Security Vision становится полезнее с ростом инфраструктуры и количества применяемых СЗИ. Более того, среди этих примеров нет ни одной цепочки, которая бы полностью покрывалась решениями одного вендора и имела хотя бы шанс на единый интерфейс и сквозной процесс. Поэтому в каждую из них можно встроить SOAR-решение, которое выполняет функции единого центра управления и оркестрирует всеми средствами защиты. Специальные конструкторы, входящие в состав платформы, позволяют кастомизировать не только внешний вид, но и настроить интеграцию с любыми источниками данных и средствами реагирования.

Оркестрация объединяет несколько автоматизированных процессов в единую систему, позволяя управлять ими централизованно и согласованно. Она важна для координации действий между различными инструментами и системами безопасности, поскольку при наличии десятков систем возможны тысячи комбинаций.

Дополнительно SOAR обеспечивает автоматизацию, например, запускает сценарий реагирования, собирает данные из любых СЗИ в единое окно, отправляет нужные оповещения и связывается с регуляторами по установленным каналам для сбора и отправки нужных сведений.

Это позволяет в общем:

• Снижать риск ошибок, связанных с человеческим фактором;
• Ускорять реакцию на угрозы;
• Оптимизировать использование ресурсов команды ИБ.

Работая как единое целое при помощи оркестратора и коннекторов, продукты любых вендоров могут бесшовно обмениваться данными, упрощая работу специалистов ИБ и ИТ-подразделений.

Реклама. ООО «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», ИНН: 7719435412, Erid: 2VfnxvPwzDN