Как UiPath автоматизирует операции кибербезопасности для более разумной защиты от угроз

Планируя предстоящий год, директора по информационным технологиям (ИТ-директора) уделяют приоритетное внимание кибербезопасности, чтобы защитить свои организации от все более сложных угроз.

В исследовании Foundry's State of the CIO Study 2022 сообщается, что "в течение всего предстоящего года ИТ-директора будут сосредоточивать свое время и опыт на управлении безопасностью. 76% ожидают, что их участие в кибербезопасности увеличится в следующем году, а 51% говорят, что в настоящее время они сосредоточены на управлении безопасностью в своей роли". Увеличение возможностей удаленной работы и проникновение цифровых решений во время пандемии поставили перед командами безопасности еще больше проблем кибербезопасности.

Специалисты по безопасности в настоящее время могут использовать различные приложения искусственного интеллекта (ИИ) для ИТ-операций (AIOps) и инструменты операций безопасности (SecOps), чтобы постоянно улучшать состояние безопасности своих организаций. Но эти инструменты не обеспечивают комплексную автоматизацию операций по обеспечению безопасности. В любой день инженер по кибербезопасности может потратить много времени:

<ли>

Определение и обеспечение соблюдения правил и политик безопасности для всех областей инфраструктуры/среды

<ли>

Сканирование угроз, мониторинг уязвимостей и смягчение атак

<ли>

Проведение постоянного аудита безопасности и отслеживание контроля доступа к критически важным ресурсам

Усталость от оповещений по-прежнему остается проблемой

Команда может обработать определенное количество оповещений, прежде чем они начнут пропадать.

Одно исследование показало, что «более трети менеджеров по ИТ-безопасности и аналитиков безопасности игнорируют предупреждения об угрозах, когда очередь заполнена».

Благодаря мероприятиям по автоматизации ИТ UiPath обеспечивает простые в использовании, независимые от поставщика и надежные возможности обеспечения безопасности. В этой статье будут описаны эти возможности и то, как они обеспечивают полномасштабную оркестрацию, автоматизацию и реагирование на безопасность (SOAR).

Жизненный цикл удостоверения

В большинстве компаний ИТ-аналитики управляют профилями пользователей, ролями и контролем доступа сотрудников. Некоторые из их действий могут включать регистрацию пользователей, добавление/удаление доступа к приложениям, сброс паролей пользователей и разблокировку учетных записей пользователей.

UiPath имеет автоматизацию пользовательского интерфейса (UI) и интеграцию API с основными инструментами управления доступом к удостоверениям (IAM), такими как Microsoft Azure AD, для автоматизации действий по управлению удостоверениями, подобных описанным выше.

В сочетании с возможностями пользовательского интерфейса и API, распространяющимися на область управления услугами, робот UiPath также может отслеживать билеты управления ИТ-услугами (ITSM). Робот может запускать задания на основе определенного триггера, выполнять необходимые действия по управлению пользователями, обновлять билет ITSM и информировать пользователя о решении.

Этих роботов можно интегрировать с чат-ботами и коммуникационными платформами, такими как Slack, чтобы обеспечить сотрудникам возможность общения в режиме реального времени. На следующей диаграмме поясняется процесс управления пользователями:

Использует ли UiPath UiPath?

Абсолютно! Мы автоматизируем процессы, описанные в пункте выше, внутри компании.

Автоматизируя действия по управлению пользователями, наша команда ITOps смогла снизить рабочую нагрузку более чем на 15 %. Кроме того, среднее время обработки билетов ITSM сократилось с двух часов до двух минут на билет. Это означает сокращение времени, затрачиваемого на решение заявок, на 98 %, что освобождает команду для более сложных задач.

У нас также есть чат-бот IT Service Desk, интегрированный со Slack. Чат-бот позволяет сотрудникам общаться без участия человека и решает действия по управлению пользователями и лицензиями за считанные минуты без необходимости привлечения сотрудников службы поддержки.

Обнаружение и предотвращение угроз

Еще одним ключевым направлением деятельности специалистов по безопасности является деятельность по обнаружению и предотвращению атак. Согласно недавнему исследованию IBM, «средние затраты на взлом в организациях с «полностью развернутой» стратегией автоматизации безопасности составили 2,90 миллиона долларов США, тогда как у организаций без автоматизации затраты выросли более чем вдвое и составили 6,71 миллиона долларов США».

UiPath расширяет возможности автоматизации безопасности существующих инструментов обеспечения безопасности. Используя возможности автоматизации на основе событий, робот UiPath может запускаться из средств обнаружения и реагирования конечных точек (EDR), расширенного обнаружения и реагирования (XDR), управления информацией о безопасности и событиями (SIEM) или других инструментов мониторинга безопасности для выполнения действий по исправлению ситуации.

Поскольку инструменты мониторинга безопасности определяют индикатор компрометации (IoC), эти инструменты могут не иметь возможности выполнять действия в сетевых системах, таких как брандмауэры, из-за отсутствия интеграции API или проблем с маршрутизацией. В этих случаях аналитику безопасности необходимо вручную выполнять такие действия, как блокировка IP-адресов в системах межсетевого экрана.

Аналогичным образом, анализаторы безопасности могут выполнять оценку правил брандмауэра, но не иметь возможности отключать или удалять правила брандмауэра или трансляции сетевых адресов (NAT) и объекты NAT. Робот UiPath может выполнять эти действия вручную, используя возможности пользовательского интерфейса и API для любого продукта благодаря нашим возможностям автоматизации, не зависящим от поставщика. 

А как насчет фишинга по электронной почте?

Наши роботы могут автоматически помещать потоки электронной почты в карантин и инициировать действия по исправлению ситуации. Некоторые области обнаружения и предотвращения угроз, которые можно автоматизировать с помощью UiPath:

<ли>

Элементы управления обнаружением

<ли>

Сортировка потенциальных угроз

<ли>

Автоматическое исправление

<ли>

Управление уязвимостями

<ли>

Защита конечных точек

Мы используем такую автоматизацию внутри компании для управления оповещениями об атаках методом перебора, генерируемыми из таких источников, как Azure Security Orchestration. Мы также блокируем более 20 000 атак методом перебора каждый год с помощью наших собственных средств автоматизации.

UiPath может помочь автоматизировать процессы, затрагивающие несколько систем. Например, в демонстрационном видеоролике ниже UiPath открывает заявки на основные уязвимости системы. Для завершения процесса робот использует четыре корпоративные системы — Tableau, Tenable, ServiceNow и SharePoint.

Реакция на инцидент

Даже лучшие организационные инструменты, которые обнаруживают и предотвращают угрозы безопасности, не являются надежными. Инциденты безопасности случаются часто, и управление реагированием на инциденты – это настоящая проверка надежности команды безопасности.

В случае любого нарушения время имеет решающее значение. Вышеупомянутое исследование IBM подтверждает, что инвестиции в действия по реагированию на инциденты сокращают затраты на взломы:«Компании с командой реагирования на инциденты, которая также протестировала свой план реагирования на инциденты, имели средние затраты на нарушение в размере 3,25 миллиона долларов США, в то время как те, у которых не было ни того, ни другого, столкнулись со средними затратами в размере 5,71 миллиона долларов США (что представляет собой разницу в 54,9%).»

Вот некоторые действия, которые ваша служба безопасности может автоматизировать в рамках реагирования на инциденты: 

<ли>

Удалите или поместите в карантин подозрительные файлы, зараженные вредоносным ПО.

<ли>

Выполнить поиск геолокации по заданному IP-адресу

<ли>

Поиск файлов на определенной конечной точке

<ли>

Заблокируйте URL-адрес на устройствах периметра

<ли>

Поместить устройство в карантин

<ли>

Получить информацию о скомпрометированных пользователях

Эти действия помогают ускорить устранение неполадок, а также стандартизировать процессы реагирования на инциденты.

Аудит и соблюдение требований

Все организации должны проводить различные аудиты и обеспечивать соответствие отраслевым стандартам, таким как SOX, HIPAA и GDPR. В рамках аудита командам необходимо собрать доказательства, сопоставить информацию и провести тестирование и оценку средств контроля. Вы можете автоматизировать многие из этих действий, особенно связанных с общим контролем ИТ, следующим образом:

<ли>

Получение списка всех пользователей AD по группам, членству в ролях и владельцам ресурсов 

<ли>

Проверка разделения обязанностей в процессах разработки и развертывания приложений

Мы не просто помогаем с аудитами — наши роботы также могут отслеживать потребности в соблюдении требований. Вместо того, чтобы дожидаться ежегодного аудита, роботы могут заранее предотвращать любые сбои в управлении и предупреждать соответствующих менеджеров.

UiPath Robot может автоматически уведомлять вас в случае каких-либо нарушений соответствия. Например, использование медицинской информации, которая может идентифицировать человека (так называемая защищенная медицинская информация), не разрешено и не разрешено в соответствии с правилом конфиденциальности, соответствующим требованиям HIPAA. Это снижает риск простых ошибок или упущений, которые могут свести на нет усилия по обеспечению соблюдения требований. 

Платформа автоматизации UiPath также помогает с механизмами внутренней отчетности. Заинтересованные стороны могут собирать необходимую информацию, создавать подробные отчеты и распространять эти документы среди соответствующих сторон быстрее и проще, чем раньше.

Мы используем роботов внутри компании для тестирования на соответствие SOX и сбора доказательств с помощью многочисленных средств автоматизации, включая более 2000 сверок лицензий. Мы также предоставляем аудиторские доказательства для оценки полноты, точности и существования более 1000 счетов, зарегистрированных в нашей системе NetSuite.

Пакеты активации безопасности и партнерские продукты

Помимо встроенного пользовательского интерфейса UiPath и возможностей интеграции API, у нас есть различные готовые пакеты действий и пакеты рабочих процессов, которые помогут начать автоматизацию операций по обеспечению безопасности. Эти готовые к использованию пакеты легко понять и использовать.

UiPath также имеет стратегическое партнерство с основными платформами безопасности, такими как CyberArk, CrowdStrike и eSentire. Роботы UiPath могут естественным образом интегрироваться с CrowdStrike, чтобы обеспечить обнаружение конечных точек и реагирование с помощью Falcon Insight. Интеграция с eSentire обеспечивает комплексную автоматизацию политики безопасности для нескольких служб безопасности Microsoft.

Прочтите нашу недавнюю публикацию в блоге и технический документ, чтобы узнать, как UiPath автоматизирует другие области ИТ, включая эксплуатацию и разработку.