Дмитрий Бабков, банк «Санкт-Петербург»: Сценарии реагирования на инциденты в IRP-платформе минимизируют человеческие ошибки
ИБ-специалистам банков необходимо успевать всё: выполнять многочисленные требования регуляторов и обеспечивать практическую безопасность. При этом кадров всегда не хватает, а злоумышленники непрерывно совершенствуют свои техники и тактики. Повысить удобство управления информационной безопасностью и справиться с большим количеством рутинных задач в этой области финансовым организациям помогают инструменты автоматизации ИБ-процессов. О выборе и опыте использования таких решений в интервью CNews рассказал Дмитрий Бабков, директор по информационной безопасности Банка «Санкт-Петербург».
CNews: Дмитрий, расскажите, как у вас назрела потребность в инструментах автоматизации ИБ-процессов?
Дмитрий Бабков: Шел 2013 год, мы столкнулись с необходимостью провести аудит нашей ИБ-системы на соответствие Положению Банка России № 382-П. Этот документ содержит более ста требований к тому, как нужно защищать информацию при проведении денежных переводов. Если смотреть сегодня, то задача по аудиту была довольно простая, но тогда нам совсем не хотелось решать ее с помощью Excel или других подручных средств. Поэтому мы задумались о специализированных инструментах. Проанализировали решения, которые были представлены на рынке, и остановились на продукте Audit Manager от российского разработчика R-Vision.
Со временем количество регуляторных требований увеличивалось, и наши потребности по управлению аудитами росли. Помимо этого, появилась задача охватить автоматизацией и процесс управления рисками. Так постепенно в 2015 г. мы подошли к необходимости перейти на полноценную SGRC-платформу. В то же время наша команда приступила к созданию собственного центра мониторинга инцидентов (Security Operation Center, SOC), и нам понадобилось автоматизировать процесс управления инцидентами. Каких-то специализированных инструментов для этого у нас не было. Мы могли доработать под нужды SOC нашу внутреннюю Help Desk систему, которую ИТ-специалисты использовали для управления заявками, но решили пойти по другому пути — выбрать IRP-платформу. Нам был важен учет активов, у нас развивалось управление уязвимостями, поэтому мы понимали, что функциональность специализированного продукта будет намного шире, чем у инструмента, который нам удалось бы придумать из подручных средств. В итоге мы выбрали оба продукта от компании R-Vision.
СNews: Какие требования вы предъявляли к решениям при выборе?
Дмитрий Бабков: Мы хотели найти решение, оптимальное по стоимости и функциональным возможностям. Ориентировались прежде всего на наличие встроенных алгоритмов управления аудитами и инцидентами и поддержку российских банковских стандартов. Еще одним важным для нас критерием было отсутствие необходимости дорабатывать продукты своими силами. Мы выбирали инструменты, которые помогли бы нам сделать нашу работу легче и не требовали бы с нашей стороны больших трудозатрат. Таким образом, нам нужна была определенная автоматизация «из коробки», что мы в итоге и получили. Если же говорить об IRP-платформе, то здесь в том числе важными были и готовые шаблоны инцидентов, шаблоны отчетности и графики, которые мы могли бы легко адаптировать под себя: какие-то поля добавить, какие-то — убрать. Мы смотрели разные продукты, в том числе и зарубежные, и остановились на варианте, который наиболее полно отвечал нашим запросам.
CNews: Насколько трудоемким было внедрение выбранных решений? Помогла ли вам экспертиза вендора?
Дмитрий Бабков: Внедрение было самой простой и быстрой частью. Вендор предоставил нам хорошо документированные, понятные инструкции. Всё разворачивалось на виртуальных мощностях, дальше мы настраивали системы по инструкции, подключали к ним источники различных событий и затем переводили их в «боевой» режим.
В дальнейшем, уже в процессе работы с системами, мы находили различные решения по их улучшению, которые бы повысили для нас удобство использования продуктов. И здесь экспертиза вендора нам действительно помогала и помогает до сих пор. Наша команда формулировала свои предложения по развитию продуктов, и если они были действительно полезны и востребованы рынком, то мы получали эти доработки. Такое взаимодействие с вендором у нас ведется постоянно, и за счет этого продукты для нас очень сильно развиваются. То, с чем мы работали в 2013 году, и сегодняшняя версия платформы — это две большие разницы.
CNews: Можете привести примеры взаимодействия с вендором по развитию продуктов?
Дмитрий Бабков: Например, мы провели большую интересную работу по упрощению связей между функциональными блоками по управлению аудитами и задачами. Дело в том, что кроме классических аудитов, во время которых мы проверяем нашу ИБ-систему на соответствие предварительно загруженным в SGRC-платформу нормативам, у нас есть еще и небольшие проверки. Их нам тоже хотелось связать с задачами, чтобы по результатам проверок в системе можно было выставлять коллегам поручения по устранению выявленных недостатков. Разобраться в связях между различными сущностями в функциональных блоках сходу было непросто, поэтому в рамках взаимодействия с вендором мы попытались их упростить. В итоге это помогло нам сделать управление задачами максимально эффективным.
Другой пример — из нашей сегодняшней практики. Сейчас с помощью платформы R-Vision мы пытаемся привязать оценку рисков к матрице MITRE и в процессе работы над задачей заметили, что в продукте для этого нужно выполнять большое количество действий. Чтобы упростить эту цепочку, сделать ее более понятной и прозрачной, мы обратились к вендору и сейчас обсуждаем с ним варианты решения этого кейса.
CNews: Какие задачи платформы SGRC и IRP помогают вам решать сегодня, и как вы оцениваете результат их использования с момента запуска в «боевой» режим?
Дмитрий Бабков: Если давать качественную оценку, то мы довольны результатом. С помощью платформы SGRC мы управляем всеми аудитами, а на базе IRP-продукта у нас выстроен полный цикл инцидент-менеджмента. Наш внутренний центр мониторинга работает в круглосуточном режиме с большим потоком событий безопасности, и система IRP помогает снизить нагрузку на специалистов. В ней у нас построены различные юзкейсы по реагированию на типовые инциденты для операторов первой линии SOC, и это позволяет минимизировать риск ошибок из-за человеческого фактора. Также на основе IRP мы организовали взаимодействие с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России — ФинЦЕРТ. С помощью продукта мы отправляем регулятору ежедневные отчеты об инцидентах, как это требуется законодательством. Кроме того, платформа позволяет всей нашей ИБ-команде работать в едином информационном пространстве. Это тоже очень ценно, поскольку все данные у нас хранятся в одной системе, и это делает выстроенные процессы информационной безопасности прозрачными для каждого сотрудника ИБ-дирекции.
СNews: Существует ли, на ваш взгляд, специфика применения этих инструментов, характерная именно для банковской индустрии?
Дмитрий Бабков: Специфика, конечно же, есть. Если говорить про инциденты, то она заключается в обязательном взаимодействии с регуляторами. Яркий пример — отчетность перед ФинЦЕРТ. На законодательном уровне прописаны требования и к стандарту отчетов об инцидентах, и к периодичности их отправки.
CNews: Как вы считаете, влияют ли отраслевые особенности на количество инцидентов, обрабатываемых в IRP-системе?
Дмитрий Бабков: Я бы не сказал, что сфера работы компании прямо влияет на количество инцидентов. На мой взгляд, их большое число может фиксироваться и в промышленных организациях, и у онлайн-ритейлеров. Всё зависит от того, есть ли в этих компаниях цели, представляющие высокий интерес для злоумышленников. Например, атаковать хорошо защищенный банк киберпреступникам может быть не так интересно, как медицинские организации, где защита слабее.
Надо понимать, что количество инцидентов зависит в том числе и от уровня зрелости системы информационной безопасности. Если она находится в зачаточном состоянии, мониторинг в ней не налажен, то и инциденты там будут попросту не видны. Можно провести аналогию с примером из жизни. Представьте, что вы заходите на кухню в коммуналке в темное время суток: можно посветить фонариком, и вокруг тут же начинает бегать очень много насекомых. Примерно такой же эффект вы увидите при появлении мониторинга там, где нет ИТ-стандартов, а информационная безопасность развита слабо. Когда в таких компаниях включают мониторинг, то сразу появляется большое количество событий.
CNews: Сталкивались ли вы с ростом количества инцидентов во время массового перехода на удаленку?
Дмитрий Бабков: У нас не было всплеска инцидентов, в том числе и потому, что у нас давно была выстроена безопасная инфраструктура для удаленной работы. Наши сотрудники и раньше практиковали дистанционный формат работы время от времени: кому-то нужно было поработать из дома вечером, кому-то — в выходные. Причина тут даже не столько в нашей готовности перейти на удаленку, сколько в том, что сама по себе инфраструктура удаленного доступа не вела к какому-либо росту инцидентов просто за счет реализованных ограничений.
CNews: Планируете ли вы расширять применение решений SGRC и IRP и каким образом?
Дмитрий Бабков: В наших ближайших планах — реализовать с помощью этих продуктов три активности, которые будут связаны с управлением рисками, активами и уязвимостями.
В частности, на базе SGRC-платформы мы планируем выстроить систему оценки киберрисков согласно Положению Банка России № 716-П. До появления этого документа мы исходили из экспертных оценок, например, по информационным системам и проектам. Теперь же, когда в стране действуют регуляторные требования по организации полного процесса управления рисками, мы будем отлаживать его внутри банка и приземлять на используемую платформу автоматизации. Возможно, с ее помощью мы сможем автоматизировать и процесс управления ИТ-рисками, поскольку мои коллеги, отвечающие за риск-менеджмент, тоже нуждаются в подобном инструменте.
Еще одна интересная задача — это автоматизация управления активами. В банке есть несколько различных источников информации об активах, и нам бы хотелось иметь наиболее полную и достоверную картину того, что у нас происходит в сети, какое у нас есть оборудование, программное обеспечение, и где всё это находится. Ранее мы пытались построить управление активами в полуручном режиме: вели базу активов в IRP-платформе. Однако это было неудобно, так как требовало от нас дополнительных ручных затрат. Поэтому в перспективе мы решили использовать продукт как единую мастер-систему, в которую будет автоматически подтягиваться информация из наших внутренних источников: базы данных управления конфигурациями (CMDB), инструментов управления ИТ-инфраструктурой, средств защиты и так далее.
Кроме того, с помощью IRP-платформы мы планируем автоматизировать и управление уязвимостями. В этом году вместе с вендором мы провели пилотный проект: настроили взаимодействие продукта с нашей внутренней системой CMDB и системой управления ИТ-задачами. Такая интеграция позволяет нам, исходя из информации об уязвимостях, ставить администраторам задачи по устранению выявленных дефектов и автоматически отслеживать их выполнение. На мой взгляд, результаты этой работы вместе с автоматизацией управления активами и данными, получаемыми со сканеров безопасности, могут дать нам мощный синергетический эффект.