Современная кибербезопасность включает в себя множество различных аспектов, объектов и субъектов защиты: информационные активы компании (ИТ-системы, бизнес-приложения, серверы, рабочие станции, сетевое оборудование), файлы и данные в самых разных форматах (от структурированных в базах данных до "озер данных" и накапливаемых огромных объемов Big Data), процессы компании (основные бизнес-процессы, вспомогательные, ИТ-процессы, процессы кибербезопасности), персонал (от уборщиц до топ-менеджеров), различные используемые технологии (разнообразное программное и аппаратное обеспечение). Все данные сущности подлежат анализу с точки зрения кибербезопасности, которая в современной компании сфокусирована на защите процессов, персонала, технологий, данных. Основными процессами кибербезопасности являются:
управление активами (включая облачные и on-prem элементы инфраструктуры), уязвимостями, конфигурациями, учетными данными;
управление киберрисками (включая специфические отраслевые требования, например, управление операционными рисками по требованиям ЦБ РФ);
управление соответствием законодательству (защита персональных данных по 152-ФЗ, защита объектов критической информационной инфраструктуры по 187-ФЗ, защита АСУТП, выполнение многочисленных требований ЦБ РФ, соответствие требованиям отраслевых регуляторов);
управление проведением внутренних и внешних аудитов;
управление документами, регламентирующими деятельность по защите информации в компании (политики, положения, регламенты, инструкции по ИБ) и управление задачами ИБ и взаимодействием со смежными подразделениями;
управление взаимодействием с поставщиками, подрядчиками, аутсорсерами, партнерами и прочими контрагентами (в части обеспечения защиты информации);
управление непрерывностью бизнеса и восстановлением работоспособности (совместно с ИТ-подразделением);
управление киберинцидентами (включая подготовку к реагированию на инциденты ИБ, разработку планов и сценариев реагирования на киберинциденты, сбор событий ИБ и корреляция их в инциденты ИБ, сбор информации о методах атакующих, управление данными аналитики киберугроз, выявление инцидентов и аномалий в инфраструктуре, противодействие атакующим, минимизация последствий инцидентов, восстановление после инцидентов ИБ);
формирование разнообразной отчетности по ИБ (визуализация данных на дашбордах, создание отчетов по внутренним и внешним формам и требованиям, измерение эффективности кибербезопасности, обеспечение ситуационной осведомленности руководителям компании).
Все данные процессы и некоторые дополнительные формируют систему управления ИБ в компании, сокращенно СУИБ. В случае небольшой компании или при низкой степени цифровизации бизнеса все данные процессы могут управляться в "ручном режиме", а ИБ-служба может пользоваться самыми простейшими инструментами для обеспечения своей деятельности (например, записывая все активности в Excel-файл). Однако, в последнее время почти все направления бизнеса активно диджитализируются - этот тренд стал особо заметен по время пандемии, когда выросла потребность и в удаленной работе, и в предоставлении потребителям услуг через Интернет. В итоге, даже небольшие компании теперь в достаточно высокой степени зависят от цифровизированных бизнес-процессов, в основе корректной работы которых лежит надежность и безопасность информационной инфраструктуры. Как результат, процессы ИБ компании растут в сложности, повышается общая зрелость СУИБ, возрастают потребности ИБ-департамента в автоматизации деятельности. На помощь приходят уже продвинутые системы автоматизации процессов ИБ, такие как SGRC-системы (сокращение от Security Governance, Risk Management, Compliance), т.е. системы автоматизации управлением процессами ИБ, киберрисками и соответствием законодательству.
Решения класса SGRC изначально представляли из себя надстройку над системами GRC, которые используются для автоматизации бизнес-процессов компании без специализации на конкретной области. Далее, с развитием ИТ и кибербезопасности постепенно появился спрос на специализированные решения для автоматизации именно процессов защиты информации, сложность которых возрастала с каждым годом.
Системы класса SGRC заточены именно под кибербезопасность, хотя продвинутые SGRC позволяют автоматизировать почти любые процессы в компании: ИТ, экономическую безопасность, решение кадровых и юридических вопросов, высокоуровневое стратегическое управление. Эффективность SGRC напрямую зависит от количества и качества релевантной для ИБ информации, собираемой в компании и передаваемой в SGRC. Например, данные об активах могут собираться в различных системах и слабо коррелировать друг с другом - в таком случае в SGRC придется настраивать интеграцию и получение данных из множества источников, например, из службы каталогов, системы мониторинга производительности, бухгалтерские системы, возможно также придется обрабатывать заявки, email-сообщения или даже разрозненные документы.
Напротив, если данные об активах структурированы и централизованно обрабатываются, например, в ITAM-системе (IT Asset Management, система управления ИТ-активами), то и в SGRC будут передаваться полные и непротиворечивые данные, которые легко можно будет обогатить данными из других релевантных источников. Таким образом, департамент ИБ получает возможность знать и видеть больше информации о защищаемых активах, что важно для выстраивания эффективной СУИБ и критично при реагировании на киберинциденты: мгновенный доступ к данным об ИТ-активе, на котором обнаружена вредоносная активность, позволит принять правильное и оперативное решение о способе реагирования. То же самое относится и к другим процессам ИБ - чем в большей степени они автоматизированы, тем проще будет ими управлять через систему SGRC. Однако, даже в случае, когда нужные данные разрознены, продвинутые SGRC-платформы позволяют выполнить интеграцию с различными источниками, собрать информацию и скоррелировать собранные данные между собой, выдавая полную картину специалистам и руководителям ИБ.
Современные продвинутые SGRC-решения не ограничиваются только сбором информации и её централизованной обработкой - они позволяют еще и активно управлять контролируемой инфраструктурой и выявлять в ней аномалии, которые могут свидетельствовать о кибератаке. Так, некоторые SGRC-продукты позволяют подключаться к объектам инфраструктуры (серверам, рабочим станциям, сетевым устройствам) и выполнять их переконфигурацию для приведения их в соответствие с требованиями регуляторов, рекомендациями производителей по защищенной настройке, лучшими практиками по обеспечению эффективной ИБ. Такая перенастройка позволит не только обеспечить формальное выполнение внутренних или внешних (законодательных) требований по ИБ, но и защитить инфраструктуру от разнообразных кибератак, которые зачастую эксплуатируют уязвимости небезопасной / некорректной настройки ОС или ПО.
Выявление аномалий же осуществляется на основе получаемой и сохраняемой информации об инфраструктуре - например, если на определенном сервере периодически меняется список администраторов или членов специальных групп (например, Backup Operators в Windows), запускаются неизвестные скрипты или выполняются сетевые подключения к / от неизвестных ресурсов, то это может свидетельствовать о вредоносной активности или несанкционированных действиях администраторов.
В обоих случаях подобные метаморфозы могут быть сложны для выявления стандартными средствами, которые следят за состоянием защиты в статике и не предназначены для выявления редких или незначительных событий. Однако продвинутые SGRC-решения могут увидеть подобные изменения, скоррелировать такие события и дать сигнал службе ИБ.
Самый последний писк ИБ-моды - это использование систем искусственного интеллекта (ИИ) для решения задач кибербезопасности, таких как формирование рекомендаций по защите инфраструктуры, выполнение проверок на соответствие применимым законодательным требованиям, выявление недостатков и ошибок в выстроенных процессах ИБ, создание отчетности, визуализация данных. В продвинутых SGRC-решениях также активно применяется ИИ для помощи ИБ-специалистам, недостаток которых ощущают компании по всему миру. ИИ помогает не заменить ИБ-эксперта полностью, а выполняет роль помощника - условного второго пилота (copilot), который никогда не спит, непрерывно обучается на решаемых задачах и обрабатывает огромные объемы информации. Такой помощник может дать рекомендации по настройке сбора дополнительной информации об инфраструктуре, помочь сформировать сложный отчет для руководства или посоветовать, как правильно отреагировать на тот или иной киберинцидент. Развитие систем ИИ активно идет, и самые продвинутые ИИ-решения уже сейчас могут автономно выполнить большинство действий для обеспечения защиты информации, однако самые критичные действия все равно пока что нуждаются в согласовании и подтверждении живым сотрудником.
