Журнал "Information Security/ Информационная безопасность" #2, 2024

Автоматизация процес- сов управления инцидента- ми повышает киберустойчи- вость компании и суще- ственно сокращает среднее время выявления инциден- тов и реагирования на них. Дефицит кадров и непре- рывное изменение ИТ- инфраструктуры, в том числе связанное с импорто- замещением, лишь добав- ляют автоматизации востре- бованности. При выборе решений у заказчиков зачастую воз- никает дилемма: сформиро- вать "зоопарк" из различных СЗИ от разных производи- телей или выбрать экосисте- му взаимосвязанных про- дуктов одного вендора. Оба варианта имеют свои плюсы и минусы. – Каким образом можно повысить эффективность защиты объектов КИИ? – Эффективность защиты предприятий вырастет, если снизится рутинная нагрузка на специалистов. Специалисты по информационной безопасности загружены и уже выполняют большое количество работ по защите объектов КИИ, импор- тозамещению и поддержке ПО и СЗИ. Но автоматизация про- цессов ИБ позволяет освобож- дать часть ресурсов команды. Автоматизация процессов управления инцидентами повы- шает киберустойчивость ком- пании и существенно сокраща- ет среднее время выявления инцидентов и реагирования на них. В рамках работ по защите объектов КИИ автоматизации может подлежать множество задач: категорирование объ- ектов КИИ, учет активов, учет изменений в программном и аппаратном обеспечении, управление уязвимостями, моделирование угроз, выявле- ние и реагирование на кибер- инциденты, взаимодействие с НКЦКИ. Благодаря средствам автоматизации получают рас- ширенную информацию и обо- гащенные данные об инциден- тах ИБ, что позволяет выпол- нить автоматические действия по локализации и устранению угрозы. Возможность автоматизации процесса формирования и отправки сообщений об инци- дентах в НКЦКИ позволяет сформировать корректный отчет по инциденту и отправить его в ГосСОПКА в установлен- ные законодательством времен- ные рамки, при этом сэкономить время сотрудников. Для автоматизации рутинных задач по защите объектов КИИ в МегаФоне используется решение Security Vision КИИ. Оно автоматизирует формиро- вание перечня критических про- цессов, категорирование объ- ектов КИИ, разработку модели угроз, управление активами, контроль состава защитных мер для объектов КИИ, а также взаимодействие с НКЦКИ в части приема и отправки информации по инцидентам ИБ. Благодаря широкому функцио- налу интеграции с системами МегаФона Security Vision КИИ позволяет консолидировать информацию о защищаемых активах и их свойствах, а гиб- кая настройка процессов моде- лирования угроз и контроля выполнения нормативных тре- бований по защите КИИ позво- ляет учесть нюансы работы телеком-оператора. – Как применяются сред- ства автоматизации и системы искусственного интеллекта для решения более широких задач обеспечения кибербезо- пасности? – Средства автоматизации традиционно используются в бизнесе для повышения эффек- тивности процессов, сокраще- ния расходов и повышения при- быльности. В контексте защиты от киберугроз автоматизация процессов стала необходи- мостью, без которой компания будет всегда отставать от ата- кующих. Дефицит кадров и непрерывное изменение ИТ- инфраструктуры, в том числе связанное с импортозамещени- ем, лишь добавляют автомати- зации востребованности. Автоматизировать, по сути, можно любые типовые ИБ-опе- рации, будь то управление акти- вами, уязвимостями и конфигу- рациями, ведение документа- ции, проведение аудитов или формирование отчетности. Подобный функционал есть, например, в решении Security Vision SGRC. Атакующие используют сред- ства автоматизации нападений повсеместно. Если раньше они применялись лишь на некото- рых этапах атаки, то теперь хакеры взяли на вооружение продвинутые системы искус- ственного интеллекта, которые позволяют генерировать прав- доподобные фишинговые элек- тронные письма, воспроизво- дить официальный тон комму- никаций, создавать дипфейки руководителей и ключевых сотрудников, а также создавать вредоносное ПО и эффективно искать и эксплуатировать уязви- мости внутри зараженной инфраструктуры. Логичным ответом на такие угрозы стало расширение сфер применения систем машинного обучения и искусственного интеллекта для защиты. Так, современные средства защиты в полностью автономном режи- ме выявляют аномалии в тра- фике и поведении сущностей в инфраструктуре, проводят ана- лиз и находят корреляции между различными событиями ИБ, формируют рекомендации по реагированию для ИБ-спе- циалистов, а также проводят действия по активному проти- водействию кибератаке. Опе- ратор в большинстве случаев должен лишь согласовать выполнение таких критичных операций, как блокировка учет- ной записи, сетевой карантин хоста и т.д. Например, к пере- численным ранее решениям можно добавить модуль UEBA, выполняющий поведенческий анализ пользователей и сущ- ностей в инфраструктуре, а также модуль, который выявляет аномалии с примене- нием методов машинного обучения, причем решение поставляется уже с обученными на различных датасетах моде- лями, которые автоматически адаптируются к характеристи- кам инфраструктуры компании для более точного выявления угроз. – Импортозамещение из обязанности преврати- лось в необходимость. Как выбрать импортоне- зависимый ИБ-продукт, каких отечественных решений пока не хвата- ет? – На текущий момент речи о нехватке отечественных СЗИ не идет, наоборот, заказчики выбирают из многих решений уже известных и совсем новых вендоров. В отрасли кибербе- зопасности появляются новые игроки, стартапы, некоторые компании переориентируют про- филь деятельности, например с ИТ на ИБ. Непрерывно идут процессы слияния и приобре- тения небольших производите- лей крупными игроками. Кроме того, на рынке появляются про- дукты, изначально разработан- ные для внутреннего пользова- ния в крупных компаниях, но со временем вышедшие на уро- вень зрелости, достаточный для их монетизации, – таким путем прошел МегаФон SOC. При выборе решений у заказ- чиков зачастую возникает дилемма: сформировать "зоо- парк" из различных СЗИ от раз- ных производителей или выбрать экосистему взаимосвя- занных продуктов одного вен- дора. Оба варианта имеют свои плюсы и минусы. Интегриро- ванные между собой решения "из коробки" одной экосистемы будут давать синергетический эффект и повышать качество обнаружения и предотвращения • 45 ТЕХНОЛОГИИ www.itsec.ru