В сентябре на Хабре я написал большой материал про мониторинг ИБ облаков ( первая и вторая части). Среди прочего я описывал достаточно частую ситуацию, встречающуюся у облачных провайдеров. Журналы регистрации событий доступны, но выгрузить их можно только в ручном режиме - сформировать лог за интересующий временной интервал и скачать к себе на компьютер в виде таблички Excel или CSV-файла. При этом делать это на регулярной основе непросто и можно в какой-то момент времени забыть сделать выгрузку, потеряв часть данных для анализа. Можно ли автоматизировать выгрузку таких данных при полном отсутствии API?
Оставим пока в стороне ответ на этот вопрос. Зададимся другим. Точнее я им задавался достаточно долгое время, наблюдая за реализацией сервиса CAPTCHA на разных сайтах. Какое-то время считалось, что этот простой механизм позволяет отсечь ботов и пройти его может только человек. Но если посмотреть на то, как реализуется CAPTCHA, то будет понятно, что мы всегда повторяем одни и те же действия - вводим увиденный на картинке текст в соответствующее поле или нажимаем на картинки, показывающие то, что нас спрашивает сервис CAPTCHA (светофоры, машины, вывески, мосты, гидранты и т.п.). Можно ли автоматизировать действия по нажатию клавиш или движению мыши? Ведь в конце концов мы это делаем не сами, а просто даем команды компьютеру, которые он и реализует. Но куда вбивать текст и куда кликать мышью указывает человек! Да, но эти действия тоже можно автоматизировать. Помогает решить эту задачу технология RPA (Robotics Process Automation), которая позволяет автоматизировать различные процессы, использую настраиваемых программных роботов, имитирующих действия человека за счет взаимодействия с информационной системой и она не видит разницы между роботом и человеком.
Что умеют роботы RPA? Они работают с Web-формами, приложениями, почтой, документами, базами данных, файлами на диске или в Интернет, которые могут быть преобразованы по заданному сценарию или алгоритму. Такой робот:
В кибербезопасности RPA может найти достаточно широкое распространение, особенно в российских условиях, когда многие отечественные решения не имеют API и не умеют взаимодействовать между собой. Я попробовал набросать сценарии, в которых могут быть применены RPA:
Что умеют роботы RPA? Они работают с Web-формами, приложениями, почтой, документами, базами данных, файлами на диске или в Интернет, которые могут быть преобразованы по заданному сценарию или алгоритму. Такой робот:
- позволяет снизить число ошибок
- работает круглосуточно, без выходных и не требует сверхурочных
- объединяет данные из разных систем, сокращая время на работу с ними
- легко подстраивается под изменчивый процесс
- не требует интеграции в существующую инфраструктуру.
Внедрение робота занимает немного времени - от 2-х дней уходит на изучение процесса, определение необходимых приложений и ИС, с которыми нужно работать, и снятие скриншотов действий пользователя. От 5-ти дней уходит на настройку робота - сценариев его работы и взаимодействия с нужными системами. От 3-х дней уходит на тестирование и доработку робота. Для простых случаев автоматизации внедрение робота займет около 10 дней - в более сложных может понадобиться 1-2 месяца.
Теперь вернемся к первоначальной задаче. Робот справляется с ней элементарно - будучи установленной на компьютере пользователя или на сервере, он сам через заданные интервалы сгружает журналы регистрации из облачной платформы и преобразовывает в нужный формат и подгружает их в ваш SIEM. Ту же задачу можно было бы возложить на скрипт, написанный на каком-либо языке программирования, но только при условии, что вы умеете это делать, и ваше облако поддерживает API, который можно вызывать из скрипта. В противном случае вы не сможете сделать ничего. А вот робот не требует ни знаний программирования, ни наличия API. С помощью визуального конструктора (схожая идея реализуется в различных SOAR) вы описываете ваши действия, ответы систем и их интерпретацию.
В кибербезопасности RPA может найти достаточно широкое распространение, особенно в российских условиях, когда многие отечественные решения не имеют API и не умеют взаимодействовать между собой. Я попробовал набросать сценарии, в которых могут быть применены RPA:
- Заход в личный кабинет ФинЦЕРТ или ГосСОПКА для получения бюллетеней или уведомлений
- Обогащение событий безопасности из источников TI
- Заведение тикетов в IRP / SOAR
- Анализ заявок на предоставление доступа к корпоративным ресурсам
- Организация фишинговых симуляций
- Сбор облачных логов в Excel/CSV и загрузка их в SIEM
- Анализ входящих сообщений от пользователей
- Работа с унаследованными или legacy системами ИБ
- Тестирование защищенности Web-приложений
- Сбор инвентаризационных данных из десятка источников и приведение к единому формату с загрузкой в CMDB
- Мониторинг Интернет-ресурсов, а также анализ новостей по ИБ и отправка ключевых во внутреннюю рассылку
- Построение dashboard
- Получение согласий на обработку ПДн от клиентов
- Уведомление о нарушении прав субъекта ПДн.
Это неполный перечень, но он достаточно показательный. С помощью RPA можно автоматизировать многие рутинные задачи, возникающие в деятельности ИБ. Кто выпускает RPA-платформы? Вот список некоторых вендоров, которых можно встретить в России, - UiPath, Automation Anywhere, Blueprism, WorkFusion, Pegasystems, NICE, Kryon, Kofax, Contextor, Softomotive, Redwood Software, EdgeVerve, Another Monday, Antworks, Toughtonomy, SAP iRPA, Datamatics Trubot, Jacada, NTT-AT, Helpsystems, Servicetrace, Robin, PIX, HyperUp, electroNeek.
