Управление инцидентами ИБ. 15 шагов на пути к оптимальному процессу.

Повышение эффективности каких-либо процессов в общем случае позволяет сэкономить время и ресурсы. Если говорить об операционных процессах информационной безопасности, то от эффективности, качества и скорости обработки инцидентов напрямую зависит масштаб возможного ущерба, финансовых или репутационных потерь.

Повышение эффективности реагирования на инциденты складывается из малых шагов, которые в совокупности позволяют быстрее собирать необходимые данные, принимать решения и развертывать защитные меры. За счет автоматизации определенных задач можно добиться большего контроля над процессом реагирования в целом и при этом более гибко им управлять.

Давайте рассмотрим направления, где можно оптимизировать ручной труд и доверить отдельные задачи в рамках управления инцидентами автоматизированным решениям и алгоритмам.

  1. Постановка задач по обработке алертов. ИБ-аналитикам крупных компаний приходится работать с миллионами событий, тысячами алертов и сотнями задач в день. И, если алерты генерируются автоматически, то процесс создания соответствующих им задач по обработке зачастую не определён и осуществляется вручную. В наше время существующие решения позволяют под каждый алерт автоматически создавать задачу, назначать ответственных, выставлять дедлайны и полностью контролировать процесс их выполнения.
  2. Предварительная приоритизация инцидентов. Если предварительно обработать и отсортировать алерты исходя из потенциала угрозы, вероятности реализации риска и критичности затронутых систем, можно выстроить более эффективный процесс их обработки, фокусируя внимание аналитиков на работе с наиболее критичными инцидентами, а менее важные задачи отправлять в конец очереди. И вся эта сортировка может быть выполнена автоматически на основе настроенных правил.
  3. Идентификация активов, пользователей, бизнес-процессов и т.д. При работе над инцидентом аналитику ИБ важно с самого начала понимать, какие процессы, активы, пользователи, системы пострадали или подвержены опасности. Предварительная инвентаризация инфраструктуры с помощью автоматизированных алгоритмов позволяет видеть всю эту информацию сразу же в момент поступления сообщения о подозрении на инцидент.
  4. Первичная аналитика. Заполнение карточки инцидента максимально доступными данными и контекстом на самом раннем этапе позволяет оперировать с более понятным описанием, облегчает процесс расследования и дальнейшую работу по устранению инцидента.
  5. Уведомления. При работе над каждым инцидентом требуется уведомление определенных сотрудников, как минимум, о возникновении и закрытии инцидента. В зависимости от типа и критичности инцидента в спектр сотрудников, которых нужно уведомить, могут дополнительно входить CISO, служба IT, владельцы учетных записей, внешние организации. И это та работа, с которой отлично справится автомат.
  6. Проверка алертов. Процедура проверки инцидента подразумевает выполнение ряда действий, которые во многом повторяются независимо от типа инцидента. Для этого у специалиста обычно под рукой лежит инструкция в письменном виде. Если процесс формализован, почему бы не доверить его машине, избавляя сотрудников от рутинных действий?
  7. Сбор свидетельств и дополнительной информации. После проверки инцидента необходимо понять, а что, собственно, произошло. Этот процесс подразумевает просмотр данных по инциденту и сбор дополнительной информации и свидетельств, который можно осуществлять в автоматизированном режиме, высвобождая больше времени для анализа и непосредственно реагирования.
  8. Извлечение индикаторов компрометации. В ходе расследования инцидента может возникать необходимость извлечь индикаторы компрометации; современные инструменты позволяют осуществить этот процесс в автоматическом режиме.
  9. Отправка запросов. В процессе расследования и выяснения обстоятельств инцидента специалистам приходится писать множество однотипных запросов, запрашивать данные во внешних системах. Например, запросы делаются для выяснения, что именно происходило на хостах в момент возникновения инцидента или для поиска связанной активности на других машинах. Для автоматизации подобных задач в системах реагирования предусмотрены готовые скрипты и механизмы запросов.
  10. Корректировка настроек системы безопасности после инцидента. По результатам расследования инцидента становятся ясны пробелы в системе безопасности и необходимые шаги по их устранению. Как минимум, появляются предположения. Чтобы внести изменения в настройки, специалисту придется зайти на консоль каждого инструмента в отдельности, хотя многие современные платформы реагирования позволяют непосредственно из своего интерфейса управлять настройками и отправлять команды во все интегрированные системы.
  11. Аналитика и выяснение главной причины. Анализ – одна из тех задач, которую невозможно целиком и полностью доверить машине. Однако современные средства позволяют облегчить аналитику его труд за счет визуализации последовательности действий злоумышленника, выстраивания цепочки взаимосвязей и вектора атаки.
  12. Документирование действий. В некоторых организациях принято документировать все до мелочей, и это может быть вполне оправданно. Осуществление реагирования на базе специальных решений позволяет вести полноценный учет этого процесса с журналированием всех выполненных действий и полученных результатов, избегая бесконечного копирования данных из одного поля в другое при заполнении карточек инцидентов, регистрации всех действий и решений вручную, подготовки сводок и отчетов.
  13. Отчетность. В случае серьезных инцидентов после завершения их обработки обычно требуется подготовить детальный отчет. И, если все подробности инцидента уже содержатся в его карточке, с помощью автоматизированных инструментов можно в один клик сформировать отчет и отправить его заинтересованному кругу лиц (руководителю, топ-менеджерам и т.п.). Точно так же можно готовить отчеты по установленным формам для предоставления во внешние организации, а также обмениваться данными по инцидентам или индикаторами компрометации с экспертами, удаленными подразделениями или партнерами.
  14. Взаимодействие. Четкие, предметные и своевременные коммуникации при обработке инцидентов имеют не последнее значение. Платформы реагирования, как правило, имеют встроенные средства обмена сообщениями или чаты, позволяющие избежать постоянной переписки по e-mail и сохранять всю историю сообщений непосредственно в карточке инцидента.
  15. Извлечение уроков. Совершенных систем безопасности не существует, всегда можно что-то улучшить или исправить, исходя из полученного опыта. Автоматически собираемая статистика, метрики и визуализация этих данных в виде графиков и дэшбордов помогут контролировать эффективность процесса реагирования и выявить проблемные области.
Поделиться записью: