Разделы

Безопасность

Василий Часовской, Почта России: Для каждого изменения в ИТ-инфраструктуре должны автоматически проверяться ИБ-требования

Инфраструктура компаний постоянно обновляется. Поэтому очень важно контролировать, как эти обновления влияют на уровень кибербезопасности. Ведь появление уязвимости даже в одном элементе может привести к снижению кибербезопасности всей компании и катастрофическим последствиям для бизнеса. В Почте России при поддержке Security Vision решили автоматизировать процесс экспертизы информационной безопасности в ходе управления изменениями. О том, как развивается проект, в интервью CNews рассказали Василий Часовской, руководитель отдела аудита политик ИБ и анализа активов Почты России, и Роман Овчинников, директор департамента внедрения Security Vision.

CNews: Как актуальные вызовы и киберугрозы изменили подход к управлению процессами ИБ?

Василий Часовской: Российская кибербезопасность столкнулась с рядом вызовов за последние несколько лет: ускорение цифровизации, резкое увеличение числа и сложности кибератак, проекты по импортозамещению, а также дефицит кадров в ИТ и ИБ, усложняющий решение этих задач.

Нехватка специалистов и необходимость заниматься модернизацией инфраструктуры в условиях агрессивной киберсреды повышает значимость автоматизации системы управления ИБ, в которой взаимосвязаны все процессы кибербезопасности. Снижение эффективности даже одного процесса оказывает негативное влияние на киберустойчивость всей компании, что может катастрофически сказаться на бизнесе. Так, для снижения вероятности реализации и эффективного реагирования на кибератаки, должны быть выстроены и автоматизированы процессы управления активами, уязвимостями, конфигурациями, непрерывностью бизнеса, а также изменениями. Последнее становится все более актуальным в свете текущих вызовов, а также с учетом высокой скорости изменений инфраструктуры в современных, быстро развивающихся в цифровом плане компаниях.

Например, в Почте России необходимость автоматизации управления изменениями обусловлена востребованностью внутренней разработки различного ПО, информационных систем и их компонентов, а также регулярными обновлениями элементов ИТ-инфраструктуры, достигаемых за счет применения DevOps-подходов, в частности автоматизации с помощью CI/CD-платформ, формирования бизнес-функциональных требований для разработки в едином формате и начала их обработки в рамках единой системы.

Василий Часовской, руководитель отдела аудита политик ИБ и анализа активов Почты России: Нехватка специалистов и необходимость заниматься модернизацией инфраструктуры в условиях агрессивной киберсреды повышает значимость автоматизации системы управления ИБ

ИТ-инфраструктура компании быстро меняется, и при этом силами загруженных и дефицитных специалистов необходимо обеспечить как потребности бизнеса, так и выполнение законодательных и внутренних требований, сформулированных соответственно в нормативных правовых актах (НПА) и локальных нормативных актах (ЛНА). Для эффективного управления изменениями этот процесс должен быть автоматизирован в высокой степени, все релевантные технические данные по ИТ-инфраструктуре должны быть агрегированы и взаимно обогащены, а требования по ИБ декомпозированы, дедуплицированы, скоррелированы между собой и связаны с информационными системами и иными элементами ИТ-инфраструктуры, подпадающими под них.

Роман Овчинников: Мы видим значительное увеличение интереса наших заказчиков к кибербезопасности в общем и к автоматизации процессов ИБ в частности. Например, за последние 3-4 года нашим клиентам стало заметно проще согласовывать бюджеты на ИБ — популяризация кибербезопасности в СМИ и широкое освещение разрушительных киберинцидентов, взломов, утечек данных произвели большое впечатление на лиц, принимающих решения в компаниях.

Мы также заметили, что с уходом зарубежных вендоров заказчики стали предъявлять российским производителям аналогичные высокие требования как в части технического функционала продуктов, так и в части заложенной в них экспертизы. Подход к выбору решений стал более зрелым: клиенты четко знают, какие задачи должны быть решены в рамках проектов, сами активно участвуют в их реализации, делятся своим видением и компетенциями, предлагают улучшения в продуктах.

Роман Овчинников, директор департамента внедрения Security Vision: На проектах мы всегда стремимся к, наверное, недостижимому идеалу: единый удобный центр управления ИБ, в котором все данные обогащены, очищены, дедуплицированы и актуальны, а все процессы ИБ автоматизированы и взаимосвязаны друг с другом

Мы в Security Vision предлагаем клиентам решения по автоматизации ИБ уже более 10 лет. В нашем портфеле продуктов есть самые продвинутые системы, но в последние 2-3 года мы заметили ажиотажный спрос на решения, считающиеся базовыми, а именно на продукты для автоматизации управления активами и уязвимостями. Причем спрос формируют и крупные, и СМБ-компании. Что же касается процесса управления изменениями, то до него надо дорасти — внедрение процесса и его последующая автоматизация интересны в основном самым крупным игрокам, таким как Почта России.

CNews: Для каких компаний актуальны задачи автоматизации процесса управления изменениями?

Василий Часовской: Логично, что автоматизировать процесс Change Management целесообразно в крупных, гетерогенных инфраструктурах, где изменения происходят непрерывно: появляются новые приложения, API-интеграции, контейнеры, меняются информационные системы и их архитектура, разрабатываются различные ИТ-инициативы. В динамичных, высокотехнологичных компаниях с высоким уровнем цифровизации управление изменениями становится одним из базовых процессов — в противном случае управлять ИТ и кибербезопасностью просто не получится.

Автоматизация — это прежде всего снижение рутинной нагрузки и трудозатрат работников, уменьшение влияния человеческого фактора на принятие решений, единообразие и объективность в подходах. Роботизация действий особенно важна в геораспределенных организациях, которые чаще других сталкиваются с дефицитом специалистов. Например, в отдаленных регионах, где требуются люди на местах, в том числе на предприятиях и производственных площадках, будет сложнее привлечь экспертов по ИТ или ИБ по сравнению с мегаполисами.

Разумеется, реализация проектов по автоматизации любой деятельности сами по себе требуют ручного труда и привлечения компетентных кадров: руководителя и менеджеров проекта, экспертов по предметным областям, представителей бизнес-подразделений и производства. Однако подобные инвестиции в автоматизацию процессов при грамотном планировании окупятся в разумные сроки.

Роман Овчинников: Автоматизация ИБ-процессов интересна многим. У Security Vision есть заказчики из самых разных отраслей и сегментов — и крупнейшие, и средние российские компании. Но всем нужны надежные базовые процессы ИБ и их автоматизация.

В случае с крупным бизнесом процесс управления изменениями становится одним из центрообразующих, и по мере увеличения количества изменений в своих инфраструктурах, клиенты начинают проявлять интерес к его автоматизации. При этом в промышленности, энергетике, транспорте, связи, телекоме есть разделение на OT и ИТ- инфраструктуры, в которых нужно учитывать критичность вносимых изменений и цену возможной ошибки.

Чем крупнее и неоднороднее инфраструктура организации, тем выше риск, что даже малейшее изменение может нарушить весь производственный цикл. Поэтому крайне важно выстраивать и автоматизировать процедуры проверки и согласования вносимых изменений, контролировать фактически сделанные настройки, проверять безопасность модифицированных систем и выполнение законодательных норм (например, в части выполнения требований приказов ФСТЭК №31, №21 и №239).

В целом, процесс управления изменениями тесно связан с управлением соответствием. Например, помимо законодательных требований в части ИСПДн, КИИ и АСУТП, есть и отраслевые стандарты, и нормы обеспечения безопасности окружающей среды, и требования охраны труда на производстве, а также внутренние корпоративные требования, обязательные для исполнения (особенно для разветвленных структур, холдингов, ДЗО).

CNews: Как задача управления изменениями сейчас решается в Почте России? Что послужило триггером для автоматизации этого процесса?

Василий Часовской: В настоящий момент процесс управления изменениями находится на среднем уровне зрелости — мы переходим с уровня «управляемый» на уровень «регламентированный». Требования ИБ предъявляются как к создаваемым, так и к модифицируемым системам, начиная со стадии задумки внесения изменений, но определяются эти требования непосредственным работником подразделения ИБ на основе информации о применимых к процессам НПА и ЛНА. Нет единой точки входа и контроля предъявляемых требований — каждое предполагаемое изменение оценивается отдельно и вручную.

Технически процесс изменений сейчас обеспечен несколькими разрозненными решениями. Например, интеграции систем и схемы их реализации согласовываются в одной тикет-системе, а заявки на предоставление сетевого доступа для реализации этой же интеграции создаются и ведутся уже в другой системе. Параллельно существует подсистема автоматизации процесса управления изменениями, которая выполняет функции CMDB. В ней ведется учет изменений, связанных с созданием или обновлением информационной системы, ее компонентов и состава прикладного ПО, но план технических работ и процедура согласования фиксируются в уже четвертой по счету, сторонней, системе. Таким образом, сейчас фактически отсутствует прозрачная и бесшовная связь между всеми компонентами и этапами внесения изменений, нет единого рабочего процесса, а управление временем и релизами осуществляется в ручном режиме.

Задача, которую мы решаем вместе с коллегами из Security Vision, заключается в создании новой централизованной системы управления изменениями, в которой требования по ИБ будут автоматически формироваться и проверяться для каждого планируемого изменения в ИТ-инфраструктуре. По сути, мы автоматизируем управление экспертизой ИБ в рамках управления изменениями.

Одной из предпосылок для автоматизации всего процесса управления изменениями можно обозначить заинтересованность бизнеса в снижении показателя Time-to-Market (срок разработки и поставки продукта внутренним или внешним заказчикам) и в автоматизации процедур согласования, а также мнение работников направлений ИБ и ИТ, которым важно снизить процент ручных действий в рамках предъявления требований по кибербезопасности, их последующего выполнения и контроля реализации.

Роман Овчинников: Security Vision работает с «Почтой России» с 2019 года. мы уже внедрили ряд систем (IRP/SOAR, TIP, SGRC) и сейчас выполняем работы по созданию новых систем для автоматизации процессов. На ближайшее время запланированы работы по интеграции нашего модуля с подсистемой автоматизации процесса управления изменениями, которая уже функционирует у Заказчика, и настройка интеграций с другими системами, которые на текущий момент задействованы в процессе управления изменениями - например, тикетинг-системой и AppSec-решениями, включающими в себя анализаторы SAST/DAST. Создаваемая нами в «Почте России» система управления экспертизой ИБ в рамках процесса управления изменениями будет «взрослеть» и донастраиваться вместе с повышением уровня зрелости соответствующих процессов Заказчика.

CNews: Какого результата планируется достичь по итогам реализации проекта?

Василий Часовской: В конечном итоге у нас будет создана система, объединяющая в едином интерфейсе весь процесс внесения изменений в элементы ИТ-инфраструктуры с точки зрения ИБ: от создания концепции до релиза проекта. Два ключевых процесса — управление изменениями и экспертиза ИБ в рамках управления изменениями — будут тесно интегрированы. Решение от Security Vision, отвечающее за экспертизу ИБ в управлении изменениями, будет получать данные о планируемых изменениях, анализировать их и сверять с реестром декомпозированных применимых требований НПА и ЛНА. Автор инициативы по созданию или модернизации системы должен будет заполнять сведения о ней. В зависимости от предоставленной информации будут выбраны необходимые требования НПА и ЛНА, которые также будут подгружаться в карточку информационной системы и далее сопровождать весь ее жизненный цикл.

Например, если в системе предполагается обрабатывать персональные данные, то будут выбраны соответствующие требования из приказа ФСТЭК №21, а если она будет обрабатывать информацию, отнесенную к коммерческой тайне, то будут предъявлены требования из различных ЛНА. Кроме того, для ПО, разрабатываемого самостоятельно, будет использоваться интеграция между имеющимся AppSec-решением и создаваемой Security Vision подсистемой автоматизации экспертизы ИБ в процессе управления изменениями. В зависимости от конкретной информационной системы и предъявляемых к ней ИБ-требований НПА/ЛНА будут обозначены и требования к разработке ПО с учетом используемого технологического стека.

Еще один процесс, тесно связанный с созданием новых систем — это управление уязвимостями. Перед прохождением приемо-сдаточных испытаний создаваемая система проходит проверку с помощью сканера уязвимостей, а ее исходный код проверяется анализаторами SAST/DAST. Результаты этих проверок, полученные в рамках реализуемых интеграций, будут использоваться для принятия решений о возможности ввода решения в промышленную эксплуатацию в зависимости от выполненных критериев по ИБ.

Агрегация всех требований безопасности из НПА и ЛНА поможет обосновывать затраты на ИБ и защищать бюджет — юридические риски невыполнения законодательных требований оцениваются весьма тщательно. Кроме того, централизация и систематизация всех ИБ-требований поможет выбрать корректный архитектурный подход и стек технологий. Например, требования по шифрованию данных при передаче сразу ограничивают круг возможных технических реализаций сетевого взаимодействия между компонентами системы.

Один из самых интересных моментов в управлении требованиями ИБ в процессе изменений — это возможность автоматизировать проведение проверок выполнения требований НПА/ЛНА. Уже сейчас все ИБ-требования в Почте России формируются с детальным техническим описанием того, какие именно настройки и параметры нужно применить в системах и их компонентах для выполнения предъявляемых требований. Детально расписаны и процедуры проверки того, как мероприятие или техническое требование были выполнены.

Такой подход позволяет вывести уровень автоматизации комплаенс-проверок на кардинально новый уровень. Например, в рамках приемо-сдаточных испытаний должна проводиться проверка того, что выполняется одно из требований ЛНА — на всех компонентах системы должно быть настроено логирование событий и их отправка в SIEM-систему. Создаваемая система автоматизации экспертизы ИБ в рамках процесса управления изменениями будет самостоятельно обращаться к узлам создаваемой системы и проверять параметры конфигурационных файлов, определяющих параметры логирования, сравнивания их с эталонными, а затем, вызвав метод API, получит подтверждение из SIEM-системы, что все события со всех узлов новой системы действительно «долетают».

Роман Овчинников: Хочется подчеркнуть, что система, которую сейчас Security Vision создает в Почте России, позволит автоматизировать и унифицировать процесс проведения проверок соответствия. Фактически, решается глобальная задача контроля соответствия любым нормативным требованиям, которую можно экстраполировать на произвольную компанию — достаточно сформулировать машиночитаемые требования и проверки, настроить интеграции с проверяемыми системами и обработать результаты.

Результатом нашего проекта в «Почте России» будет создание централизованной системы контроля ИБ в рамках процесса управления изменениями. Мы реализуем в логике рабочих процессов Security Vision все процедуры предъявления и контроля выполнения требований ИБ, включая получение данных о новых инициативах и изменениях в информационных системах, обработку результатов заполнения опросников ответственными, проведение приемо-сдаточных испытаний, обработку замечаний.

Будут настроены коннекторы, которые позволят обращаться к создаваемым или изменяемым системам для автоматического выполнения проверок соответствия требованиям. Для этого будут задействованы универсальные механизмы и протоколы взаимодействия. Результатом многолетней интеграции Security Vision в инфраструктуру «Почты России» будет централизованная система для управления активами, соответствием, изменениями, что позволит проводить внутренние аудиты, оценивать состояние киберзащищенности и здоровья инфраструктуры, контролировать важные метрики и визуализировать автоматизированные процессы. Например, отображать круговую диаграмму пройденных приемо-сдаточных испытаний и график compliance-динамики всей компании. За счет использования low code/no code конструкторов мы позволяем заказчику в дальнейшем самостоятельно перенастраивать и логику процессов, и отчеты, и элементы визуализации.

CNews: Какой должна быть идеальная автоматизированная система управления изменениями? К чему можно стремиться?

Василий Часовской: Наверное, любой специалист в компании-заказчике стремится к тому, чтобы было меньше консолей различных решений, меньше исключений в процессах и меньше однотипных действий, совершаемых вручную. При этом все хотят больше централизации и автоматизации, больше возможностей для кастомизации под уникальные потребности, если автоматизированный процесс изменится.

В условиях дефицита кадров повышается важность автоматизированного оперативного реагирования на несанкционированные изменения, особенно на критичные с точки зрения ИБ. Это может быть автоматический возврат к безопасным настройкам или как минимум отправка уведомления ответственным лицам. А если требования ЛНА/НПА к тем или иным системам изменились, системы ИБ, участвующие в процессе управления соответствием, должны обеспечивать незамедлительную реакцию: анализ изменений в требованиях, актуализация сведений об элементе ИТ-инфраструктуры, запуск процедуры пересогласования или повторных приемо-сдаточных испытаний, автоматическая проверка соответствия контролируемых систем новым требованиям.

Процесс управления изменениями тесно перекликается с процессом управления соответствием, в рамках которого отслеживаются все изменения в требованиях к обеспечению ИБ в законодательстве. Сейчас такие изменения в большинстве организаций отслеживаются вручную, однако в идеальной картине мира требования ИБ можно было бы собирать из различных источников в машиночитаемом или строго структурированном формате, и это бы сильно помогло организациям ускорить процессы внедрения и принятия мер защиты. В нашем случае подсистема автоматизации экспертизы ИБ совместно с подсистемой SGRC могла бы автоматически разбирать их и распределять по применимости к ИТ-инфраструктуре, гарантируя инициацию изменений элементов ИТ-инфраструктуры для реализации требований ИБ в минимально возможные сроки. Важным является также обмен информацией в профессиональном сообществе, причем лучше даже не об историях успеха, а о неудачных изменениях, неверно выбранных стратегиях и архитектурных ошибках — подобные «истории фейлов» помогут другим учиться на чужих ошибках.

Роман Овчинников: На проектах мы всегда стремимся к, наверное, недостижимому идеалу: единый удобный центр управления ИБ, в котором все данные обогащены, очищены, дедуплицированы и актуальны, а все процессы ИБ автоматизированы и взаимосвязаны друг с другом. Очевидна и польза от такой идеальной автоматизированной системы: актуальная и оперативно обновляющаяся информация, единое хранилище достоверной информации об инфраструктуре, немедленное выявление даже самых незначительных изменений в системах. За счет этого не только повышается уровень ИБ, способность контролировать внутреннюю и внешнюю поверхности атаки и адекватно реагировать на киберинциденты, но также растет ценность такой системы для бизнеса. Руководители получают возможность принятия риск-ориентированных решений с учетом состояния киберзащищенности инфраструктуры.

В промышленном секторе при управлении изменениями важно видеть все элементы OT и ИТ-инфраструктуры и не допускать белых пятен, например, исключать ситуации, когда часть сегмента АСУТП управляется вне общего процесса. На однозначно несанкционированные изменения в технологическом сегменте следует реагировать быстро и автоматически возвращать конфигурации систем в безопасное состояние — тут может сказаться и критичность подобных вредоносных изменений, и дефицит специалистов, которые не смогут оперативно отреагировать в ручном режиме.