Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Анастасия Федоренко: «Не стоит автоматизировать хаос»
11 ноября 2024
Редакция CISOCLUB обсудила с Анастасией Федоренко, руководителем направления «Автоматизация ИБ» УЦСБ, ключевые аспекты автоматизации процессов информационной безопасности. В интервью эксперт подробно рассказала о том, какие процессы в ИБ можно автоматизировать и как это повышает эффективность защиты компании от киберугроз. По словам Анастасии, системы SGRC, Security Awareness, SIEM, SOAR и Threat Intelligence способны оптимизировать управление рисками, улучшить мониторинг инцидентов, автоматизировать реагирование и обогатить данные для выявления угроз ИБ.
Редакция CISOCLUB обсудила с Анастасией Федоренко, руководителем направления «Автоматизация ИБ» УЦСБ, ключевые аспекты автоматизации процессов информационной безопасности. В интервью эксперт подробно рассказала о том, какие процессы в ИБ можно автоматизировать и как это повышает эффективность защиты компании от киберугроз. По словам Анастасии, системы SGRC, Security Awareness, SIEM, SOAR и Threat Intelligence способны оптимизировать управление рисками, улучшить мониторинг инцидентов, автоматизировать реагирование и обогатить данные для выявления угроз ИБ.
Какие ключевые процессы в информационной безопасности можно полностью или частично автоматизировать для повышения эффективности обеспечения ИБ?
Анастасия Федоренко: На текущий момент большинство процессов информационной безопасности можно автоматизировать, из ключевых я выделю следующие:
- процессы, которые реализует система менеджмента информационной безопасности, например, управление рисками, комплаенс контроль, работа с документами ИБ (политики, регламенты, инструкции);
- повышение осведомленности пользователей;
- инвентаризация и управление активами;
- мониторинг и реагирование на инциденты;
- киберразведка.
Какие технологии используются для автоматизации этих ключевых процессов?
Анастасия Федоренко: Системы класса SGRC Security — Governance, Risk Management and Compliance помогают выстроить процессы управления информационной безопасности, оценки и управления рисками, аудита соответствия требованиям.
Системы класса Security Awareness автоматизируют процесс повышения компетенции персонала в области обеспечения ИБ.
Системы класса SIEM — Security Information and Event Management автоматизируют сбор и обработку данных о событиях корпоративной и технологической сети компании.
Системы класса SOAR — Security Orchestration, Automation and Response автоматизируют процессы инвентаризации и управления активами, реагирования на инциденты ИБ, обеспечивают оркестрацию средств защиты информации и обогащают данные о событиях безопасности.
Системы класса TI — Threat Intelligence осуществляют автоматический сбор, нормализацию и обогащение индикаторов компрометации с площадок обмена данными об угрозах, дополняют собранную информацию, используя сервисы обогащения. Дают знания о киберугрозах и применяемых тактиках.
Системы класса Security Awareness автоматизируют процесс повышения компетенции персонала в области обеспечения ИБ.
Системы класса SIEM — Security Information and Event Management автоматизируют сбор и обработку данных о событиях корпоративной и технологической сети компании.
Системы класса SOAR — Security Orchestration, Automation and Response автоматизируют процессы инвентаризации и управления активами, реагирования на инциденты ИБ, обеспечивают оркестрацию средств защиты информации и обогащают данные о событиях безопасности.
Системы класса TI — Threat Intelligence осуществляют автоматический сбор, нормализацию и обогащение индикаторов компрометации с площадок обмена данными об угрозах, дополняют собранную информацию, используя сервисы обогащения. Дают знания о киберугрозах и применяемых тактиках.
Как автоматизация «бумажной» безопасности помогает повышать эффективность обеспечения ИБ?
Анастасия Федоренко: SGRC позволяет навести порядок в так называемой «бумажной» безопасности, выстроить процессы управления ИБ таким образом, чтобы компания соответствовала требованиям законодательства по ИБ. Помогает быстро и качественно оценивать риски на основании предустановленных методик. Это хорошее подспорье для CISO и CEO при стратегическом планировании и формировании системы безопасности компании в целом.
Системы класса SGRC повышают эффективность обеспечения безопасности за счет четкой структуры и шаблонов процессов управления ИБ, предусмотренных в программном обеспечении, за счет возможности работать сотрудникам ИБ с задачами централизованно, используя единое окно. Основной объем рутинных задач выполняется платформой, что позволяет минимизировать ошибки, а специалистам направления ИБ заниматься более критичными задачами.
Например, такой трудоемкий процесс, как категорирование объекта КИИ, с помощью данного инструмента автоматизации довольно легко реализовать. Пользователю необходимо заполнить требуемые поля, а дальше система SGRC сама рассчитает категорию значимости, меры безопасности и сформирует сопутствующие документы – акт категорирования, сведения об объекте КИИ и др.
Системы класса SGRC повышают эффективность обеспечения безопасности за счет четкой структуры и шаблонов процессов управления ИБ, предусмотренных в программном обеспечении, за счет возможности работать сотрудникам ИБ с задачами централизованно, используя единое окно. Основной объем рутинных задач выполняется платформой, что позволяет минимизировать ошибки, а специалистам направления ИБ заниматься более критичными задачами.
Например, такой трудоемкий процесс, как категорирование объекта КИИ, с помощью данного инструмента автоматизации довольно легко реализовать. Пользователю необходимо заполнить требуемые поля, а дальше система SGRC сама рассчитает категорию значимости, меры безопасности и сформирует сопутствующие документы – акт категорирования, сведения об объекте КИИ и др.
Зачем автоматизировать процессы повышения киберграмотности?
Анастасия Федоренко: Практически все запросы на автоматизацию начинаются с потребности минимизировать время на повторяющиеся задачи и повысить эффективность сотрудников.
Повышение осведомленности персонала в ИБ – довольно трудоемкий процесс. Для всех сотрудников компании необходимо регулярно проводить обучения по безопасности и встраивать их в жизненный цикл рабочего процесса. То есть, каждого специалиста организации требуется направить на обучение, проверить уровень полученных знаний, провести атаки методами социальной инженерии, проанализировать итоги обучения, применить корректирующие меры, пересмотреть планы обучения и т.д. Security Awareness оптимизируют выполнение таких задач. В программе можно настроить курсы по расписанию, по задачам, например, при трудоустройстве сотрудника автоматически назначать ему базовый минимум по работе с конфиденциальной информацией. Имеются преднастроенные шаблоны имитации атак, администратору ИБ требуется указать условия их запуска, и можно прогнать пройденный материал на практике в условиях имитации фишинговых атак. По итогам формируется рейтинг безопасности и сводная аналитика – все оперативно, четко и наглядно.
Повышение осведомленности персонала в ИБ – довольно трудоемкий процесс. Для всех сотрудников компании необходимо регулярно проводить обучения по безопасности и встраивать их в жизненный цикл рабочего процесса. То есть, каждого специалиста организации требуется направить на обучение, проверить уровень полученных знаний, провести атаки методами социальной инженерии, проанализировать итоги обучения, применить корректирующие меры, пересмотреть планы обучения и т.д. Security Awareness оптимизируют выполнение таких задач. В программе можно настроить курсы по расписанию, по задачам, например, при трудоустройстве сотрудника автоматически назначать ему базовый минимум по работе с конфиденциальной информацией. Имеются преднастроенные шаблоны имитации атак, администратору ИБ требуется указать условия их запуска, и можно прогнать пройденный материал на практике в условиях имитации фишинговых атак. По итогам формируется рейтинг безопасности и сводная аналитика – все оперативно, четко и наглядно.
Как автоматизация процессов реагирования на инциденты влияет на скорость и качество принятия решений?
Анастасия Федоренко: Инструменты автоматизации реагирования на инциденты позволяют избежать ошибок, связанных с человеческим фактором: невнимательность и переутомляемость – частые проблемы при работе с рутинными задачами, неспособность обработать объем данных в сжатые сроки. Системы класса SOAR снижают нагрузку с персонала центра реагирования, освобождая время и внимание на принятие тактически верных решений противодействия кибератаке.
SOAR автоматизирует обработку событий, полученных с SIEM, антивирусного ПО, сканеров уязвимостей, межсетевых экранов и других средств защиты, обработку информации инцидентов и их обогащения. Ранжирует инциденты по степени риска, сразу направляя внимание аналитика на объекты, которые требуют оперативных действий. Автоматизированное реагирование на инциденты, так называемые плейбуки, позволяет вовремя обнаружить, быстро и четко заблокировать вредоносное ПО в соответствии с заложенным сценарием.
Таким образом автоматизация реагирования на инциденты обеспечивает высокую скорость обработки информации, быстрое и точное реагирование, ошибки стремятся к нулю. Повышается качество и производительность работы системы безопасности предприятия.
SOAR автоматизирует обработку событий, полученных с SIEM, антивирусного ПО, сканеров уязвимостей, межсетевых экранов и других средств защиты, обработку информации инцидентов и их обогащения. Ранжирует инциденты по степени риска, сразу направляя внимание аналитика на объекты, которые требуют оперативных действий. Автоматизированное реагирование на инциденты, так называемые плейбуки, позволяет вовремя обнаружить, быстро и четко заблокировать вредоносное ПО в соответствии с заложенным сценарием.
Таким образом автоматизация реагирования на инциденты обеспечивает высокую скорость обработки информации, быстрое и точное реагирование, ошибки стремятся к нулю. Повышается качество и производительность работы системы безопасности предприятия.
В чем польза автоматизации процессов киберразведки?
Анастасия Федоренко: Основная цель автоматизации процессов киберразведки – превентивная защита организации от кибератак. Системы TI позволяют быстро и эффективно анализировать большое количество индикаторов компрометации (хэши вредоносных файлов, подозрительные IP-адреса, домены и пр.), обогащать их из открытых источников и баз данных ведущих игроков рынка. На основании этих метрик TI предоставляет информацию о тактиках и техниках злоумышленников в соответствии с матрицей MITRE ATT&CK, предоставляет информацию о потенциальных и реальных угрозах. Отдельным пунктом можно выделить функционал реагирования на инциденты – TI по преднастроеным сценариям передает показатели кибератаки напрямую на внутренние средства защиты для блокирующих команд.
Также TI – это помощник для CISO и CEO компании. Система в едином окне показывает весь ландшафт угроз, дает аналитику трендов, рисков, группировок по аналогичным сферам деятельности рассматриваемой компании, позволяет сформировать направление развития ИБ в компании по отношению к киберрискам бизнеса.
Также TI – это помощник для CISO и CEO компании. Система в едином окне показывает весь ландшафт угроз, дает аналитику трендов, рисков, группировок по аналогичным сферам деятельности рассматриваемой компании, позволяет сформировать направление развития ИБ в компании по отношению к киберрискам бизнеса.
В каких случаях автоматизация ИБ может быть неэффективной или даже вредной для безопасности компании?
Анастасия Федоренко: Не стоит автоматизировать хаос. Если в компании не выстроены процессы безопасности, то системы автоматизации пока лучше не рассматривать. Автоматизация является помощником для оптимизации процессов ИБ, которые четкие и понятные, регламентированные, и потому уже не требуют постоянного человеческого вмешательства.
Для небольших предприятий, с маленьким объемом объектов защиты и персонала, может быть экономически нецелесообразно внедрять инструменты автоматизации.
Для небольших предприятий, с маленьким объемом объектов защиты и персонала, может быть экономически нецелесообразно внедрять инструменты автоматизации.
Как обеспечивается интеграция решений по автоматизации процессов ИБ с существующими инструментами и процессами ИБ?
Анастасия Федоренко: На российском рынке довольно понятный и фиксированный перечень средств защиты информации и источников данных, которые распространены на предприятиях. Основная часть интеграций реализуются «из коробки» системы, необходимо выполнить определенные настройки в момент внедрения решения. Для иных случаев во многих инструментах автоматизации имеется возможность настроить интеграцию через API смежной системы, дописав различные скрипты на передачу необходимых полей и команд. Некоторые вендоры формируют экосистемы, и, например, связка SIEM+SOAR+TI может быть на одной платформе и интеграция между ними бесшовная, нативная.
Какой требуется набор инструментов автоматизации ИБ для устойчивой защиты от злоумышленников?
Анастасия Федоренко: В данном интервью я перечислила системы автоматизации, которые формируют необходимый уровень защиты от киберпреступников, при этом компании не требуется формировать масштабный штат персонала:
- Security Governance, Risk Management and Compliance;
- Security Awareness;
- Security Information and Event Management;
- Security Orchestration, Automation and Response;
- Threat Intelligence.
Какие метрики можно использовать для оценки эффективности автоматизации процессов
информационной безопасности?
Анастасия Федоренко: Предлагаю рассматривать в качестве основных такие метрики (целевые показатели) эффективности инструментов автоматизации ИБ:
- Количество операций, выполняемых вручную – сократилось;
- Нагрузка на персонал снизилась, нет острого дефицита кадров;
- Скорость реагирования на инциденты – увеличилась и держится на оптимальном уровне;
- Объем превентивных мер – увеличился;
- Количество инцидентов безопасности – снизилось, в том числе и сформированных действиями пользователей;
- Проверки на соответствие требованиям от регуляторов – успешно пройдены.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных