Обзор Innostage IRP, автоматизированной системы управления ИБ

Автоматизированная система Innostage IRP версии 2 является собственной разработкой группы компаний Innostage. Продукт позволяет автоматизировать ключевые процессы управления инцидентами в информационной безопасности, в том числе процессы мониторинга и реагирования. Innostage IRP может быть применён как в информационной инфраструктуре компании, так и в технологической, включая АСУ ТП. Среди заметных особенностей — наличие подсистемы управления ИТ-активами и возможность интеграции с системой оркестровки, а также поддержка информационных каналов связи со внешними сервисами ИБ и системой ГосСОПКА.

Введение

Неуклонное развитие, масштаб и частота кибератак злоумышленников на критические узлы информационных систем заставляют специалистов (администраторов, офицеров) по информационной безопасности (далее — ИБ) искать адекватные и эффективные меры противодействия, которые позволяли бы своевременно выявлять кибератаку, оперативно проводить сбор информации, необходимой для дальнейшего расследования инцидента в ИБ, и проводить локализацию и устранение последствий этих кибератак. Помимо всего прочего, регулятор советует, а в некоторых случаях и предписывает использовать решения, которые давали бы возможность в полной мере своевременно управлять выявленными инцидентами в ИБ и вести актуальный учёт ИТ-активов компании. В частности, например, с недавнего прошлого и до сегодняшнего дня регулятор уделяет очень пристальное внимание объектам критической информационной инфраструктуры в предприятиях ключевых отраслей экономики РФ. Потребность в использовании решений, которые позволяют своевременно выявлять кибератаки на ИТ-активы компании и оперативно обрабатывать данные из сторонних средств защиты, назрела уже давно и удовлетворяется применением IRP-систем. IRP (Incident Response Platform, платформа реагирования на инциденты) — система позволяющая автоматизировать и оптимизировать действия по управлению, реагированию и по дальнейшему расследованию выявленных инцидентов в ИБ, тем самым экономя время сотрудников компании. Innostage IRP от группы компаний Innostage является классическим представителем этого класса продуктов, но тем не менее у него есть и заметные отличия. В их числе — наличие (и возможности) подсистемы управления ИТ-активами компании и интеграция с системой оркестровки для выполнения автоматических действий в существующих средствах защиты информации и управления ИТ-инфраструктурой, а также поддержка дополнительных информационных каналов связи со внешними сервисами информационной безопасности, включая отдельный канал для системы ГосСОПКА.

Функциональные возможности Innostage IRP

Функции, которые реализованы в решении Innostage IRP, обеспечивают выполнение ключевых задач специалистов по ИБ в центрах мониторинга. Функциональность продукта можно обобщить в следующие подсистемы:
- управление ИТ-активами;
- управление инцидентами в ИБ;
- визуализация эффективности реализованной стратегии ИБ компании;

Подсистема управления ИТ-активами Функции подсистемы управления ИТ-активами заключаются главным образом в инвентаризации последних и в оперативном обновлении инвентаризационной информации. Цель — создание единой базы данных с актуальными сведениями об организационной структуре компании, используемых информационных системах и технических средствах, прикладном и общесистемном программном обеспечении, а также с обобщённой информацией о наличии взаимосвязей между различными ИТ-активами.

Функции по управлению ИТ-активами позволяют быстро формировать паспорта на информационные системы компании и проводить оценку критической важности активов, тем самым обеспечивая выполнение некоторых требований российского законодательства и отдельных требований регулятора, а именно: по уровню защиты ПДн (ПП РФ от 01.11.2012 № 1119), по классу ГИС (приказ ФСТЭК России от 11.02.2013 № 17), по классу АСУ ТП (приказ ФСТЭК России от 14.03.2014 № 31). Также есть возможность формировать необходимые отчётные документы.

Если рассмотреть более детально подсистему управления ИТ-активами Innostage IRP, то можно выделить следующие основные функции:
- Создание и ведение единой базы данных, обеспечивающей хранение информации о компонентах ИТ-инфраструктуры и взаимосвязях между ними (бизнес-процессах, информационных / автоматизированных системах, технических средствах, ПО).
- Инвентаризация ИТ-активов вручную и автоматически, а также автоматическая актуализация данных за счёт интеграции со средствами содержащими инвентаризационную информацию.
- Обогащение инвентаризационной информации по ИТ-активу, полученной из разных систем инвентаризации. При этом для каждого поля / группы полей учётной карточки ИТ-актива может быть реализована возможность выбора доверенного источника инвентаризационной информации, предоставляющего наиболее полные и точные данные.
- Формирование и поддержание в актуальном состоянии электронных технических паспортов ИТ-активов.
- Возможность получения сведений о любом сотруднике компании благодаря интеграции с информационными системами кадровых подразделений.
- Возможность создания изолированных баз данных с ИТ-активами обособленных подразделений организации.
- Графическое отображение основных показателей управления ИТ-активами.

В Innostage IRP автоматический сбор и учёт ИТ-активов предприятия достигаются как путём использования встроенного сканера инвентаризации, так и интеграцией со внешними системами инвентарного учёта (PT MaxPatrol, MF uCMDB, Microsoft SCCM, Kaspersky SC). Информацию, которую невозможно собрать автоматически, система позволяет добавить вручную.

За счёт указанных возможностей Innostage IRP позволяет создавать и поддерживать сервисно-ресурсную модель ИТ-активов для нужд информационной безопасности, на верхнем уровне которой — бизнес-процессы компании, на среднем — информационные и автоматизированные системы, а на нижнем — технические средства (АРМ, серверы, сетевое оборудование) и программное обеспечение.

При необходимости в Innostage IRP может быть дополнительно активирована функциональность категорирования объектов КИИ, предназначенная для автоматизации работ по категорированию в рамках ФЗ-187 «О безопасности критической информационной инфраструктуры». В этом случае результаты категорирования в дальнейшем будут использоваться в рамках управления ИБ-инцидентами и взаимодействия с ГосСОПКА.

На текущий момент для многих российских предприятий наличие базы данных с ИТ-активами является нетипичным. При этом такая база позволяет оптимизировать взаимодействие между различными подразделениями. Ярким примером может быть эффективная организация сотрудничества ИТ и ИБ.

Подсистема управления инцидентами в ИБ

Подсистема управления инцидентами в ИБ направлена на автоматизацию реагирования и расследования, а также на обеспечение эффективного взаимодействия между средствами защиты и ключевыми элементами ИТ-инфраструктуры компании. Подсистема также позволяет собирать статистику, проводить расследования и подготавливать необходимые отчётные документы.

В Innostage IRP реализована функциональность автоматизации реагирования на инциденты и выполнения блокирующих операций за счёт передачи команд в отдельный компонент оркестровки. За счёт этого реализуется принцип сервисной изолированности: отсутствует необходимость хранить административные учётные записи от ключевых ИТ-сервисов и элементов ИТ-инфраструктуры в системе управления инцидентами, поскольку управляющие команды передаются в вынесенную подсистему оркестровки, где и осуществляется хранение административных УЗ. Таким образом запуск санкционированных управляющих команд под локальными административными учётными записями становится возможен только из среды оркестратора.

В подсистеме управления ИБ-инцидентами можно выделить следующие функции:
- Ручная и автоматическая регистрация инцидентов, в т. ч. поступивших через почтовые сообщения.
- Автоматическое определение приоритета инцидента при его регистрации.
- Автоматическое и ручное назначение ответственных за реагирование и расследование инцидентов в ИБ. Есть возможность автоматического назначения инцидента на группу ответственных сотрудников, что позволяет организовать оперативное реагирование или расследование.
- Возможность добавления и хранения комментариев (командный чат) при работе группы ответственных лиц над инцидентом.
- Возможность настройки автоматического назначения ответственных сотрудников на определённый тип инцидентов / компьютерных атак.
- Возможность настройки допустимого времени обработки и решения выявленного инцидента в ИБ или его отдельного этапа (SLA) в зависимости от их критической значимости, а также отслеживание нарушений установленного времени.
- Создание и изменение сценариев реагирования (плейбуков) на разные типы инцидентов в ИБ с помощью встроенного конструктора с возможностью установки SLA по каждому блоку сценария.
- Реализация «сквозных» сценариев реагирования на инциденты, предусматривающих возможность разделения на отдельные блоки, выполнение которых поручается разным рабочим группам (например, 1-я и 2-я линии SOC) либо разным подразделениям компании. При этом работа осуществляется в рамках одной карточки инцидента без необходимости его передачи между рабочими группами.
- Группировка однотипных инцидентов в ИБ, связанных единым признаком, назначение родительского и дочернего инцидентов, одновременная работа с группами однотипных инцидентов.
- Поддержка иерархической архитектуры системы с центральной инсталляцией в головном офисе компании и самостоятельными подчинёнными инсталляциями на уровне филиалов. Такая архитектура предполагает возможность обмена информацией между инсталляциями (включая постановку задач из головного офиса в филиалы, распространение сценариев реагирования из головного офиса на филиалы и обратно), а также консолидации данных об инцидентах в ИБ и ИТ-активах на уровне головного офиса.
- Автоматическая проверка индикаторов компрометации для выявленных инцидентов.
- Оповещение ответственных сотрудников по электронной почте об обнаружении инцидента.
- Хранение результатов реагирования и расследования ранее выявленных инцидентов в ИБ.
- Поддержка различных инструментов визуализации и графических представлений по ключевым показателям процесса управления инцидентами: встроенных в систему информационных панелей с набором интерактивных блоков, а также отдельной среды визуализации с отображением ключевых трендов и показателей для вывода на крупные экраны центров мониторинга ИБ.
- Автоматическое создание и выгрузка отчётов о деятельности в области управления ИБ-инцидентами на уровне ЦА и филиалов, включая детализированный отчёт по конкретному инциденту и отчёт по инцидентам за выбранный период.

Автоматическая регистрация ИБ-инцидентов в Innostage IRP достигается путём интеграции с системой автоматического сбора и корреляции событий (SIEM), а автоматическая проверка индикаторов компрометации (IoC) для выявленных инцидентов — за счёт связи со внешней системой киберразведки (Threat Intelligence).

Подсистема визуализации эффективности реализованной стратегии ИБ компании

Подсистема визуализации обеспечивает отображение в виде диаграмм, графиков, таблиц и текста соответствующих её названию показателей, включая информацию:
- об общем количестве зарегистрированных инцидентов в ИБ (на уровне головного офиса, каждого отдельно взятого территориального органа, а также на уровне всей ИТ-инфраструктуры компании);
- о распределении инцидентов по способам регистрации (автоматическая регистрация или регистрация в ручном режиме);
- о распределении инцидентов по статусам, приоритетам и типам; о распределении инцидентов по территориальным органам компании, включая головной офис;
- о динамике возникновения инцидентов в ИБ по типам;
- о сравнении количества зарегистрированных инцидентов по типам; о сравнительном анализе динамики возникновения инцидентов в ИБ за определённый период времени и др.

Есть возможность оперативного перехода от обобщённых данных к детализированным. Поддерживается разграничение прав доступа к информационным панелям и показателям эффективности на основе ролевой модели.

Подсистема взаимодействия с центром ГосСОПКА

В части взаимодействия с центром ГосСОПКА Innostage IRP обеспечивает выполнение следующих функций:
- автоматическая передача информации о субъекте (наименование, тип, физический и юридический адреса, ответственные лица и т. д.) и данных об объекте КИИ, на котором был обнаружен инцидент;
- автоматическая передача сведений о выявленных инцидентах (описание, тип, статус и т. д.);
- ведение журнала взаимодействия, в котором отображается статус передачи информации.

Все функции в решении Innostage IRP направлены на привлечение специалистов различного уровня для оперативного и эффективного выявления, локализации, минимизации последствий инцидентов в ИБ, а также для дальнейшего их расследования.

Архитектура Innostage IRP

Innostage IRP является программным продуктом. Внутренние подсистемы позволяют максимально эффективно интегрироваться в существующую информационную инфраструктуру компании.
В Innostage IRP выделяют четыре внутренних подсистемы и одну внешнюю. К числу внутренних относятся те, которые мы только что разобрали: управление ИТ-активами, управление инцидентами в ИБ, визуализация эффективности, взаимодействие с центром ГосСОПКА.

Внешней является подсистема выполнения управляющих воздействий (система оркестровки). Она обеспечивает управление в рамках реагирования на выявленные инциденты в ИБ по запросу, поступающему из IRP. Такой подход реализует принцип сервисной изолированности, предполагающий отсутствие необходимости хранить административные учётные записи от ключевых ИТ-сервисов и элементов ИТ-инфраструктуры в IRP. Вместо этого привилегированные учётные записи хранятся в защищённом виде в вынесенной системе оркестровки, которая может функционировать под контролем ИТ-служб.
Сценарии использования Innostage IRP

Основной интерфейс продукта Взаимодействие системы с пользователем осуществляется посредством веб-интерфейса с использованием любого веб-обозревателя.

Работа с подсистемой «Учёт ИТ-активов»

В подсистеме «Учёт активов» помимо сведений по инвентаризации указана вся необходимая информация об организационной структуре компании (либо нескольких компаний, в случае использования в коммерческом SOC в режиме мультиарендности): о головном офисе, об обособленных и дочерних подразделениях, о департаментах и рабочих группах. Для этих сведений в подсистеме предусмотрен особый раздел — «Структура организации», который в свою очередь состоит из подразделов «Юридические лица», «Структура подразделения», «Подразделения», «Рабочие группы», «Работники» и «Адреса». Подразделы «Юридические лица», «Структура подразделения» и «Подразделения» содержат информацию о наименованиях юридических лиц, их реквизитах, юридических и фактических адресах, а также о структурных подразделениях компаний и о внутренних подразделениях головного офиса и филиалов.

Работа с подсистемой «Инциденты ИБ»

Данная подсистема является центральным звеном Innostage IRP и обеспечивает автоматизацию задач по управлению выявленными инцидентами. Напомним, что доступ в подсистему осуществляется на основе ролевой модели. Роль «Куратор ИБ» предполагает организацию работ по управлению инцидентами, в том числе и в нижестоящих подразделениях, а также общий контроль за состоянием этих работ. Роли «Ответственный за реагирование и расследование инцидентов» и «Ответственный за регистрацию инцидентов» обеспечивают своевременное выполнение соответствующих действий.

Работа с подсистемой «Визуализация ключевых показателей»

Визуализация ключевых показателей позволяет лучше оценивать использование информационных ресурсов компании и достижение поставленных целей, равно как и эффективность процессов обеспечения информационной безопасности и управления.

Напомним, что доступ в подсистему осуществляется на основе ролевой модели (роли «Руководитель» и «Ответственный»).

Главное окно подсистемы разделено на четыре информационных блока. Два из них отражают статистику по выявленным в компании инцидентам, а ещё два — по учёту информационных активов компании (в обоих случаях — раздельно по оперативному и стратегическому уровням).

Все данные можно вывести с учётом нужного чётко заданного периода или же за последний определённый промежуток времени. Для примера далее вся статистическая информация будет представлена за последние 30 дней.

Выводы

В существующих реалиях для эффективного и оперативного реагирования на возникающие инциденты в ИБ необходимо иметь решение, которое автоматизировало бы большинство действий по выявлению инцидентов и реагированию на них, равно как и работу по их расследованию.

Innostage IRP представляет собой набор подсистем, функции которых не только обеспечивают своевременное и адекватное реагирование вкупе с дальнейшим расследованием инцидентов в ИБ, но и позволяют выполнять отдельные требования регулятора по обеспечению безопасности ПДн, ГИС, АСУ ТП и КИИ.

Глубокая интеграция решения в ИТ-инфраструктуру компании, функция инвентаризации информационных активов предприятия, подробная визуализация ключевых показателей реализованной политики ИБ, а также взаимодействие с системами кадрового учёта и системой ГосСОПКА заметно выделяют Innostage IRP среди подобных продуктов и позволяют ему эффективно решать поставленные задачи по реагированию и расследованию инцидентов в ИБ.