Для банков, являющихся наиболее привлекательной мишенью для кибератак, обеспечение надежной защиты информационных активов — обязанность перед клиентами и значительное конкурентное преимущество. Решение этой задачи возможно путем комплексной автоматизации ключевых процессов информационной безопасности. CNews выяснил, каким был опыт не только автоматизации, но и роботизации реагирования на инциденты кибербезопасности банка «Открытие», входящего в топ-10 крупнейших банков России и список системообразующих банков ЦБ.
В июне этого года банк «Открытие» завершил внедрение автоматизированной системы реагирования на инциденты информационной безопасности Security Vision Incident Response Platform (Security Vision IRP). Партнером «Открытия» по запуску этого ИТ-решения стала компания «Интеллектуальная безопасность» — разработчик Security Vision IRP и ряда других ИТ-продуктов на базе платформы информационной безопасности Security Vision.
Начался проект в 2018 г., когда банк «Открытие» провел открытый многоэтапный конкурс среди российских и иностранных IRP-систем. Основным критерием, по которому оценивались системы, была их способность наиболее полно и оперативно решить следующие задачи, стоящие перед банком:
• Роботизация (24х7x365) выполнения дежурных процедур в режиме реального времени. После громких эпидемий зловредов (шифровальщиков, блокировщиков) стало очевидным, что реагирование — это не оповещение, а автоматическое выполнение действий оператора.
• Снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности. Именно с человеческим фактором связаны две трети киберинцидентов.
• Автоматическое насыщение инцидента информацией о событиях. Двусторонний обмен между ИТ и ИБ системами обеспечивает необходимые и достаточные условия отсутствия «белых пятен».
• Глубина проверок. Сотрудник в ручном режиме тратит на разбор стандартного инцидента 2 часа с минимальной глубиной проверок — до 10 различных источников, в то время как автоматический режим способен провести сотни проверок за несколько минут.
• Снижение негативного воздействия инцидентов ИБ за счет сокращения времени реагирования.
• Систематизация безопасных интеграций со средствами защиты.
• Удобство и наглядность:
- Построение картинки активных инцидентов на географической карте;
- Построение графических схем инцидентов (взаимосвязь объектов в рамках расследования);
- Интеграция с более чем одной SIEM-системой, зонтичная технология;
- Построение отчетов и дашбордов для разных ролей;
- Оповещение о критичных инцидентах — e-mail, смс, IM.
В конкурсе участвовали российские и иностранные производители IRP-систем. Победителем была признана российская система Security Vision Incident Response Platform (IRP), показавшая наилучшее соотношение цены и возможностей в решении перечисленных задач.
С помощью Security Vision Incident Response Platform (IRP) в банке «Открытие» теперь осуществляются автоматический сбор и формирование базы активов с регулярным обновлением и использованием в процессах реагирования. Автоматизированы более 30 процедур реагирования на инциденты ИБ, включая получение данных, сбор дополнительной информации и анализ во внешних и внутренних «песочницах» банка.
Внедрение Security Vision IRP в банке «Открытие» принесло заметные улучшения в области кибербезопасности. Теперь команда банка имеет действенный инструмент, который позволяет в условиях ограниченных человеческих ресурсов обеспечивать эффективное реагирование на инциденты кибербезопасности в объеме всей финансовой структуры с высокой глубиной расследований.
В ближайшее время банк совместно с командой специалистов Security Vision планирует осуществить запуск второго этапа проекта — развитие Security Vision IRP. Во второй этап входят такие задачи, как:
• Расширение области покрытия IRP-системы на множество систем защиты финансовой корпорации.
• Задачи, связанные с подключением аналитики безопасности в системах обработки больших данных с модулем семантического анализа инцидентов, содержащим модель машинного обучения. Модуль обладает возможностью автоматического определения команд реагирования на инцидент и передачи команд реагирования в подключенные внешние системы и устройства.
• Автоматизация взаимодействия с регуляторами — к примеру, обеспечение полного жизненного цикла во взаимодействии с FinCERT (АСОИ, Фид-АнтиФрод).
• Переход к вопросам Auto-Compliance на базе внедренных инструментов IRP, автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. Например, автосоответствие финансовым стандартам ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
«Подавляющее большинство кибератак в мире и в России приходится именно на финансовые учреждения, в первую очередь — на банки, — считает Владимир Журавлев, директор департамента информационной безопасности банка «Открытие». — Это обусловливает необходимость использования гибких и надежных средств защиты информации, предоставляющих оптимальные возможности в области противодействия киберугрозам. Security Vision IRP позволил роботизировать исполнение программно-технических функций оператора безопасности с долей автоматизации до 90%. Система обеспечивает автоматическое выполнение полного спектра дежурных процедур, что позволяет не только реагировать на киберугрозы в режиме 24/7, но и избежать влияния человеческого фактора».
«Security Vision IRP является инструментом обработки полного жизненного цикла инцидентов кибербезопасности — от идентификации до полного уничтожения, — объясняет Руслан Рахметов, генеральный директор компании «Интеллектуальная безопасность». — Созданная по типу конструктора, Security Vision IRP состоит из интеллектуально саморегулирующихся программно-технических модулей, что позволяет легко адаптировать систему под особенности бизнес-процессов заказчика, формируя структуру, логику и наполнение решения в соответствии с ними. Благодаря командной работе с банком «Открытие» удалось достигнуть высокой степени автоматизации в области реагирования на инциденты кибербезопасности. Потенциал развития системы не ограничен, мы проводим исследования и практические внедрения новых методов анализа больших данных в вопросах кибербезопасности и надеемся быть полезными в этом банку».