Хабр, привет! Меня зовут Елена Петренко, я бизнес-аналитик по информационной безопасности в компании R-Vision. В прошлой статье мы подробно рассматривали интеграцию SOAR-системы с АСОИ ФинЦЕРТ для автоматизации взаимодействия с регулятором. Сегодня я расскажу, почему интеграции в целом являются ключевым элементом эффективного управления ИБ, какие бывают способы интеграции систем и рассмотрю практические кейсы интеграции SOAR с другими популярными сервисами: Telegram и Kaspersky Security Center, а также поделюсь опытом работы с АСОИ ФинЦЕРТ в более широком контексте.
Для эффективного обеспечения ИБ в организациях необходимо не только иметь набор ИС (информационная система) и СЗИ (Средство защиты информации), покрывающих все необходимые риски, но и уметь связывать такие системы и инструменты воедино. Именно здесь на помощь приходят интеграции как ключевой элемент, который позволяет объединить разрозненные данные, решения и максимально эффективно использовать их возможности.
Зачем нужны интеграции?
Интеграции позволяют различным системам и сервисам «общаться» между собой, обмениваться данными и автоматизировать процессы.
Интеграции предоставляют возможность:
работать с данными из различных систем в одном интерфейсе;
автоматизировать процессы, например, реагирование на инциденты;
повышать скорость реагирования за счёт мгновенной передачи данных и запуска заранее настроенных сценариев;
упрощать управление ИБ (информационная безопасность) через создание связей между различными системами, включая различные классы СЗИ, системы мониторинга, мессенджеры и регуляторные инструменты.
В зрелых организациях IT-ландшафт очень широкий, что логично приводит к необходимости внедрения защитных средств различных типов и классов, для обеспечения должного уровня ИБ активов.
Всегда важно видеть целостную картину. Чтобы не собирать разрозненные данные, не запускать различные задачи на СЗИ вручную, необходимо обеспечивать эффективное взаимодействие между всем множеством систем.
По способу взаимодействия можно выделить основные виды интеграций:
через API;
через брокер сообщений;
через интеграционную БД (база данных);
через файлы.
Один из самых популярных и удобных механизмов для интеграций — программный интерфейс приложения (далее — API) — набор способов и правил, по которым различные программы общаются между собой и обмениваются данными, именно с помощью API и строится большинство интеграций.
Таким образом, мы можем интегрироваться с любыми системами, которые имеют API, например, с мессенджерами, ИС, СЗИ и т. д. Далее, на примере трёх востребованных интеграций, рассмотрим их функциональные возможности.
В статье мы рассмотрим систему оркестрации и автоматизации реагирования на инциденты ИБ (SOAR) как единую точку управления интеграциями, а в качестве способа взаимодействия — API.
Интеграция с мессенджерами на примере Telegram
Интеграция с Telegram — инструмент оперативного управления инцидентами с помощью системы мгновенного обмена сообщениями Telegram, ориентированный на повышение удобства управления инцидентами.
Интеграция разработана с целью добавления дополнительного канала взаимодействия с SOAR и позволяет отправлять уведомления о регистрации инцидентов и их описание в Telegram, а также предоставляет возможность аналитикам принимать решения по инцидентам напрямую из чата в Telegram с помощью интерактивных кнопок.
Такая интеграция будет особенно полезна для следующих категорий пользователей:
Специалисты третьей линии центра мониторинга ИБ (SOC (Security Operations Center). Такие специалисты не работают постоянно в системе и подключаются только при возникновении сложных инцидентов, требующих их экспертных знаний. Интеграция позволяет им оперативно получать необходимую информацию для анализа и устранения проблем без необходимости заходить в SOAR.
Работники, ответственные за обработку инцидентов вне рабочего времени. Интеграция позволяет оперативно получать информацию об инцидентах и реагировать на возникшие проблемы, обеспечивая доступ к необходимым данным в любое время суток.
Работники без доступа в систему. Интеграция обеспечивает доступ к информации, необходимой для выполнения обязанностей, в случаях отсутствия доступа к системе, например, внешние эксперты, или удалённый работник организации без VPN (virtual private network).
В текущей версии интеграция позволяет реализовывать следующие процессы:
Какие задачи решает интеграция:
1. Направление информации по инцидентам из SOAR в Telegram. Сценарий реагирования направляет запрос из коннектора SOAR в сервис, приводящий полученные данные к необходимому формату и пересылающий в чат Telegram. Перечень полей для отправки задается в самом коннекторе и может редактироваться, таким образом происходит уведомление об инциденте в Telegram с настраиваем перечнем данных, необходимых пользователю для дальнейшей обработки инцидента.
2. Направление свидетельств, прикреплённых к инциденту в Telegram. Сценарий направляет запрос из коннектора, в котором задается отправка одного или нескольких вложений в сервис, пересылающий их в чат Telegram. Направление свидетельств можно осуществлять при отправке инцидента, или в случае, если свидетельство было прикреплено позже, отдельно от инцидента.
3. Принятие решения по инциденту. В чате Telegram вместе с информацией об инциденте, направленной из SOAR отображаются кнопки, к которым привязаны необходимые значения полей для карточки инцидента. После нажатия определенной кнопки, сервис передает информацию в SOAR, в карточке меняются поля, срабатывает триггер и таким образом запускается сценарий реагирования. Кроме нажатия кнопок, пользователь может передать значение поля с помощью функционала ответа на сообщение в Telegram. В текст сообщения при ответе на сообщение, содержащее информацию об инциденте, пользователь пишет значение, которое сервис передает SOAR. Примерами принятия решения является смена статуса инцидента или назначение ответственного за инцидент.
Пример кнопок в чате в Telegram:
Кнопки с дальнейшей привязкой к действию задаются и настраиваются в коннекторе:
В результате отображаются в чате Telegram:
4. Передача информации об инциденте в соответствующий Telegram-чат на основе заданных критериев. Задача решается c помощью указания в карточке инцидента ID Telegram-чата и ID Telegram-бота, куда необходимо передать информацию. Такие параметры могут задаваться в интерфейсе SOAR вручную в карточке инцидента или с помощью сценария реагирования с действием «модификация». В случае использования сценария реагирования можно указать критерии в виде значений полей, по которым информация об инциденте будет направляться в необходимый чат. Помимо настройки в интерфейсе SOAR, задать ID Telegram-чата и ID Telegram-бота можно в коннекторе.
5. Упоминание пользователя в чате. Сервис позволяет упоминать определенного пользователя при отправке информации об инциденте при помощи задачи Telegram-username в карточке инцидента или в коннекторе.
6. Напоминание об ожидании решения по инциденту от пользователя. В коннекторе задаётся время, через которое необходимо отправить уведомление в случае, если сервис не получил решение по направленному ранее инциденту.
7. Запись Telegram-username пользователя, который ответил на сообщение в карточке инцидента. Сервис может передавать Telegram-username пользователя, который принял решение по инциденту и записывать это значение в поле инцидента для поддержания историчности в системе SOAR.
8. Синхронизация переписки
Интеграция поддерживает синхронизацию переписки по инциденту, например, используя чат в Telegram типа «Канал», можно передавать сообщения из треда в раздел «Комментарии» карточки инцидента SOAR. Вместе с сообщениями интеграция предусматривает и синхронизацию вложений. Такая синхронизация работает в обе стороны.
Интеграция с серверными программами централизованного управления на примере KSC
Интеграция с KSC — инструмент оперативного управления инцидентами с помощью Kaspersky Security Center (далее — KSC), ориентированный на повышение эффективности обработки инцидентов ИБ, возникающих в информационной среде. Интеграция предоставляет возможность управления действиями по инцидентам в KSC непосредственно из SOAR.
Интеграция с KSC способствует оптимизации времени, затрачиваемого на обработку инцидентов, путем исключения необходимости переключения между различными системами информационной безопасности. Пользователи могут осуществлять все необходимые действия через единый интерфейс, что способствует повышению производительности работы аналитиков, снижению затрачиваемого времени на обработку и вероятности человеческих ошибок.
Кроме того, использование интеграции позволяет поддерживать полную историчность выполнения действий в KSC в SOAR. Это обеспечивает прозрачность и последовательность в работе с инцидентами, что является важным аспектом в обеспечении безопасности активов организации.
Задачи, решаемые интеграцией
В текущей версии интеграция помогает решить следующие задачи:
1. Получение атрибутов оборудования из KSC. Задача решается за счёт выполнения сценария реагирования по нажатию кнопки в карточке инцидента или автоматического запуска сценария по заданным критериям, например, изменению поля инцидента. Сценарий запускает коннектор, обращающийся к хосту для получения атрибутов, среди которых: время последнего обновления агента антивируса, название операционной системы, статус хоста и другие. Перечень атрибутов можно гибко настраивать в запросе в коннекторе в случае, если пользователю необходимо получать атрибуты, не заданные по умолчанию.
Пример настройки перечня атрибутов:
2. Запуск задач в KSC на вирусное сканирование оборудования. Сценарий запускает коннектор, обращающийся к сервису, который создает задачу в KSC на осуществление вирусного сканирования хоста.
3. Запуск задач в KSC на обновление сигнатур оборудования
Сценарий запускает коннектор, обращающийся к сервису, который создает задачу в KSC на осуществление обновления сигнатур хоста.
4. Установка тегов и управление политиками из SOAR
Из SOAR можно назначать определенные теги на хосты, и в дальнейшем оперировать тегами для заведения задачи/назначения политики в KSC.
5. Получение результата выполненных действий в KSC в карточку инцидента SOAR
С помощью сценария реагирования, который в автоматическом режиме запускает коннектор, сервис направляет запросы в KSC, осуществляет мониторинг выполнения задач и отображает результаты в SOAR. Кроме того, интеграция мониторит все открытые задачи в БД сервиса и синхронизирует информацию в SOAR.
Пример результата выполнения задачи на вирусное сканирование:
Пример результата выполнения задачи «получение атрибутов оборудования из KSC»:
6. Получение результата выполнения действий в KSC в свидетельства инцидента SOAR
С помощью сценария реагирования результаты действий можно записать в виде файла и добавить в раздел свидетельств. Сценарий запускается по нажатию кнопки или по настроенному критерию в автоматическом режиме.
Помимо описанных выше задач, интеграция предусматривает возможность расширения функционала. При возникновении необходимости доработки интеграции командой инженеров можно запускать на KSC любые задачи, которые заявлены в документации KSC. С помощью задач выполняются установка, запуск и остановка программ, проверка файлов, обновление баз и модулей программ, другие действия с программами. Имеется возможность создавать задачи следующих типов:
активация программы;
копирование обновлений;
обновление баз программы;
обновление модулей программы;
откат обновления баз программы;
проверка по требованию;
проверка целостности программы;
мониторинг целостности файлов на основе эталона;
формирование правил контроля запуска программ;
формирование правил контроля устройств.
Интеграция также позволяет создавать локальные и групповые задачи для отдельного защищаемого устройства, для группы администрирования, для набора защищаемых устройств.
Интеграция реализует работу с множеством серверов KSC, включая поддержку иерархической структуры, где основной сервер служит головным и обеспечивает доступ к его дочерним серверам и хостам без необходимости предоставления SOAR сетевого доступа к каждому дочернему серверу.
Благодаря поддержке иерархической структуры интеграция автоматически находит оптимальный сервер управления для заданного хоста, и агент с помощью которого обращается к хосту для выполнения на нем задачи, за счет написанных для каждой задачи шаблонов для сервиса и приоритезации таких шаблонов.
Интеграция с автоматизированными системами обработки инцидентов на примере интеграции с АСОИ ФинЦЕРТ
Интеграция с АСОИ ФинЦЕРТ — интеграция, реализующая взаимодействие с Автоматизированной системой обработки инцидентов ФинЦЕРТ (далее — АСОИ ФинЦЕРТ) непосредственно из R-Vision SOAR, ориентированная на повышение удобства и скорости обработки запросов АСОИ ФинЦЕРТ.
Обработка большого объема инцидентов и операций без согласий (далее — ОБС), ежедневно возникающих в банках, вручную – очень ресурсозатратный процесс, учитывая необходимость соблюдать нормативные требования по срокам уведомления ФинЦЕРТ, установленные в Федеральных законах № 161-ФЗ, №211-ФЗ и тд. Формы и сроки взаимодействия участников с Банком России определены в Стандарте Банка России "СТО БР БФБО-1.5-2023". Сроки уведомления об инцидентах ИБ и ОБС, если иное не предусмотренно нормативными актами Банка России, согласно СТО БР БФБО-1.5-2023:
в течение 3 часов с момента выявления инцидента защиты информации для участников информационного взаимодействия, реализующих усиленный или стандартный уровни защиты информации в соответствии с ГОСТ P 57580.1-2017;
в течение 24 часов с момента выявления инцидента защиты информации для остальных участников информационного взаимодействия.
Интеграция позволяет автоматизировать отправку и получение запросов АСОИ ФинЦЕРТ, поддерживать историчность с помощью синхронизации, обеспечивать коммуникацию по имеющимся запросам.
В текущей версии сервис позволяет реализовать следующие процессы:
Решаемые задачи:
1. Первичное получение данных из АСОИ ФинЦЕРТ
Запускается разово после установки сервиса при необходимости получения данных из АСОИ ФинЦЕРТ по ранее созданным через интерфейс или полученным от ЦБ в АСОИ ФинЦЕРТ запросам для поддержания историчности и дальнейшей работы с запросами в SOAR. Получение запускается коннектором, в коннекторе настраивается количество запросов, которые необходимо получить из АСОИ ФинЦЕРТ, и количество запросов, которые необходимо игнорировать. При наличии таких запросов в АСОИ ФинЦЕРТ, в SOAR создаются соответствующие карточки инцидентов. Сервис поддерживает полную синхронизацию с учетом версионирования электронных форм, вложений и комментариев к запросам.
Пример задания параметров в коннекторе:
2. Работа с входящими сообщениями АСОИ ФинЦЕРТ
Сервис раз в n минут проверяет наличие новых входящих сообщений в АСОИ ФинЦЕРТ, к которым относятся входящие формы ОБС, различные запросы информации. Частота проверки задается в конфигурационном файле сервиса. В случае наличия таких сообщений, в SOAR создаются соответствующие карточки инцидентов с заполненными полями. После дополнения полей вручную либо с помощью сценария реагирования запускается коннектор, направляющий ответ на входящие сообщения в АСОИ ФинЦЕРТ.
Результат ответа на входящую форму ОБС:
3.Направление исходящих запросов, инцидентов и форм ОБС в АСОИ ФинЦЕРТ
В SOAR при инсталляции сервиса добавляются специальные типы инцидентов: запрос, обращение, инцидент, влияние и исходящая форма ОБС. Сервис обеспечивает связывание таких сущностей и дальнейшую отправку запроса с электронной формой инцидента или без в АСОИ ФинЦЕРТ. После направления запроса в SOAR отображается Request ID запроса, как и в АСОИ ФинЦЕРТ. К запросу можно добавлять дополнительные электронные формы в SOAR и также направлять электронные формы в АСОИ ФинЦЕРТ в рамках уже созданного запроса. Помимо того, сервис поддерживает версионирование и позволяет направлять новые версии электронной формы, сохраняя значения полей прошлых версий в виде json-файлов в разделе свидетельств.
Пример запроса с электронной формой:
Пример сохранения версий электронных форм в свидетельствах:
4. Обеспечение двухсторонней коммуникации в рамках запроса
Сервис позволяет обмениваться комментариями в рамках запроса с оператором АСОИ ФинЦЕРТ, комментарии могут быть как с вложениями, так и без. При добавлении нового комментария к запросу срабатывает триггер, запускается коннектор, проверяющий, соответствует ли формат комментария формату, подлежащему передаче в АСОИ ФинЦЕРТ, и, если комментарий удовлетворяет формату, сообщение автоматически отправляется в АСОИ ФинЦЕРТ.
Пример переписки в рамках запроса:
В АСОИ ФинЦЕРТ наше сообщение отображается корректно вместе с вложением:
Важным преимуществом интеграции является динамическое сопоставление данных из полей АСОИ ФинЦЕРТ и их запись в поля R-Vision SOAR, опирающийся на наименовании ключей json файлов, получаемых от АСОИ ФинЦЕРТ. Такое сопоставление позволяет исключить статическую запись параметров в коде и, в случае появления в АСОИ ФинЦЕРТ новых полей, упростить их получение в R-Vision SOAR. Для получения данных из новых полей достаточно создать поля с соответствующими тегами в веб-интерфейсе R-Vision SOAR без необходимости переписывать сопоставление на уровне кода.
Вывод по статье
В статье были рассмотрены преимущества интеграции с различными классами систем, а также продемонстрированы примеры успешной реализации интеграционных решений на базе SOAR. Интеграции являются ключевым элементом для эффективного управления ИБ, позволяя объединять разрозненные решения, автоматизировать процессы и значительно ускорять реагирование на инциденты.
Благодаря внедрению интеграций, SOAR может взаимодействовать с такими системами, как KSC и АСОИ ФинЦЕРТ через API, автоматизируя задачи, например, управление инцидентами, вирусное сканирование и обновление сигнатур.
Интеграция с мессенджерами, такими как Telegram, позволяет расширить каналы взаимодействия, предоставляя возможность специалистам оперативно реагировать на инциденты вне системы, что особенно важно в условиях удаленной работы. Подобные решения повышают гибкость и адаптивность процессов реагирования на инциденты.
Таким образом, интеграции способствуют повышению эффективности работы ИБ-специалистов, минимизируют затраты времени на рутинные задачи и обеспечивают целостное и оперативное управление ИБ в организациях.
