Контакты
Подписка 2024

IRP в межвузовском SOC: формат проактивной ИБ-стратегии

Илья Лорич, 03/08/23

О роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани.

Автор: Илья Лорич, ведущий инженер отдела информационной безопасности Innostage

Зачем это все?

Security Operations Center (SOC) – централизованное подразделение, которое отвечает за мониторинг, обнаружение, анализ и реагирование на инциденты безопасности в информационных системах и сетях компании.

Основная роль SOC заключается в предоставлении в реальном времени информации об угрозах и защите от них.

Команда сотрудников центра ведет круглосуточный мониторинг сети и систем организации, выявляя такие признаки подозрительной активности, как попытки несанкционированного доступа, заражение вредоносным ПО и прочие виды кибератак. Для этого используются различные инструменты и технологии, включая системы обнаружения и предотвращения вторжений (IDPS), системы управления информацией и событиями безопасности (SIEM), инструменты защиты конечных точек (EDR), специальные выделенные среды для исполнения компьютерных программ (Sandbox), а также инструменты автоматизации реагирования на инциденты (IRP).

Как только потенциальный инцидент обнаружен, команда SOC начинает анализировать и расследовать все его обстоятельства, чтобы определить масштабы влияния на системы и данные организации. Специалисты центра могут предпринять шаги по локализации инцидента и смягчению его последствий, например блокировать вредоносный трафик, поместить зараженные системы в карантин и применить исправления (апдейт) безопасности.

Помимо реагирования на инциденты, команда SOC играет важную роль в проактивном поиске угроз и управлении уязвимостями.

desk-female-sitting-student-bookshelf-education-799419-pxhere.com

IRP-эффект

Автоматизация рутинных задач стала заметной тенденцией в области кибербезопасности. Она освобождает сотрудников от необходимости вручную управлять процессами и позволяет им повысить эффективность работы в других областях, одновременно снижая негативное влияние человеческого фактора.

Этот тренд сформировал формат платформы реагирования на инциденты (Incident Response Platform, IRP), которая содержит все необходимое для запуска стандартной последовательности действий (плейбука), автоматически выполняя определенные шаги на различных этапах ответа на угрозу. Для различных типов инцидентов могут быть созданы индивидуальные сценарии действий.

IRP автоматизирует процессы SOC и собирает всю необходимую информацию в одном месте. С помощью IRP можно собирать данные об инцидентах, активах, организационной структуре и уязвимостях.

Это как централизованный узел или агрегатор, объединяющий команду SOC, ИБ и ИТ, а также руководство для быстрого реагирования на инциденты, эффективного контроля поверхности потенциальной компьютерной атаки и общего управления безопасностью в организации.

При должном уровне функциональности IRP и правильном подходе к использованию платформы она становится основой для работы SOC, вокруг которой формируются все остальные аспекты деятельности центра.

SOC в вузах: предпосылки

Рассмотрим кейс реализации центра операционного управления и мониторинга ИБ с применением IRP в рамках проекта межвузовского MSSP SOC. Он был "собран" на базе четырех университетов Казани – КНИТУ-КАИ, КФУ, КГЭУ и Университета Иннополис.

Исходя из опыта взаимодействия с вузами, в 90% случаев выделенной команды для обеспечения информационной безопасности в них нет. Задачи по противодействию компьютерным атакам возложены на ИТ-специалистов либо на непрофильные подразделения с подходом исполнения требований регуляторов.

Если рассматривать модели, при которых хакерам становится интересно атаковать инфраструктуру учебных заведений, то мы увидим следующие сценарии, наносящие существенный как репутационный, так и финансовый вред организациям при реализации:

  • шифрование либо другие действия, направленные на саботаж либо полную остановку процесса обучения;
  • кража персональных данных студентов и преподавателей – особенную заинтересованность у хакеров вызывают вузы, ведущие подготовку кадров для значимых в государстве отраслей (оборонная и научная отрасли);
  • кража патентов и изобретений – множество вузов занимаются разработками и инновациями, получение доступа к таким данным может нанести значительный ущерб вузу и государству.

В 2022 г. вузы часто становились жертвами атак хакеров и хактивистов, причем ИБ-обострение практически для всех известных высших учебных заведений произошло в момент начала активной работы приемных комиссий  [1]. Целями атак были веб-сервисы, позволяющие автоматизировать процессы проверки и приема абитуриентов.

Основным способом атак стал уже проверенный метод затруднения работы веб-сервисов – DDoS-атаки. Фиксировались и более сложные типы атак, например атаки через цепочки поставок с целью осуществления Deface – подмены отображаемого содержимого для пользователя.

В плоскости практики

Межвузовский SOC в Казани задумывался в качестве центра компетенций, несущего основную ответственность за информационную безопасность в университетах. При этом цель его создания подразумевала организацию SOC как части учебного процесса для организации непрерывного пополнения кадрами из числа обучающихся и повышения их компетенции.

Основой, или "ядром", межвузовского центра выступает технологическая платформа, использующая систему сбора и корреляции событий информационной безопасности Positive Technologies, а также система автоматизации реагирования на инциденты Innostage IRP.

Зачастую системы класса IRP воспринимаются как инструмент для организованных команд SOC, который позволяет улучшить/оптимизировать/автоматизировать существующие процессы SOC. И это действительно так, ведь IRP является реализацией лучших практик организации процессов SOC согласно международным и отечественным стандартам и пожеланиям заказчиков. Но на этом проекте команда SOC смогла постичь бизнес-процессы посредством дружелюбного интерфейса IRP, в котором многие методики автоматизированы. Иными словами, IRP стала платформой для обучения.

Для данного проекта была подготовлена соответствующая специфике инфраструктурная и обучающая архитектура. На площадках вузов реализованы интерфейсы доступа к платформе IRP, обеспечивающие безопасную передачу информации. Оборудование и программное обеспечение для сбора и обмена необходимой информацией между компонентами ИТ-инфраструктуры и платформой предоставляются университетам бесплатно.

При этом задача мониторинга ИБ-инцидентов SOC возложена на студентов, а реагировать на них и контролировать их действия будут преподаватели и ИТ-сотрудники вузов. Менторы Центра противодействия киберугрозам Innostage CyberART предоставляют вузам сценарии противодействия атакам. Система защиты, основанная на этих сценариях, протестирована на реальной университетской инфраструктуре, а студенты прошли обучение для распознавания аномальной и вредоносной активности. Если ситуация носит чрезвычайный характер, будут подключаться специалисты компаний, обеспечившие техническое решение SOC, – через удаленное подключение к системам центра.

Управление проектом опирается на менторинг. На сегодняшний день в межвузовском проекте реализуется контроль за обработкой инцидентов информационной безопасности со стороны внешнего и более опытного SOC, а также корректности использования IRP. Помимо постоянного менторинга, организовано четыре канала для оперативного решения возникающих проблем.

Детали под углом IRP

Внедрение IRP – это всегда адаптация под архитектуру и структуру заказчика. В этом отношении адаптация IRP в межвузовском SOC несильно отличается подходом и техническими моментами от проектов для других заказчиков.

Главная адаптация происходит на методическом уровне: были разработаны ролевые и процессные модели функционирования центра, в которых сотрудники Innostage выступают в качестве экспертов и менторов, а также плейбуки реагирования, позволяющие отрабатывать основные типы инцидентов без обширного опыта. Для интеграции IRP в процессы была разработана серия лабораторных работ, направленная на изучение функциональности системы, методов и вариантов ее использования под процессинговые модели. Помимо этого, лабораторные работы направлены на применение лучших практик мониторинга и генерацию собственных экспертных тактик реагирования, то есть лабораторные работы выступают связующим звеном между инструментами, процессами и теорией.

Учитывая специфику проекта, из случаев применения с другими ИБ-системами межвузовского SOC представлено только SIEM-направление. Сейчас благодаря интеграции с IRP система наполняется инцидентами, детектируемыми в ИТ-контурах вузов, где имеется свой SIEM-агент и своя организационная структура, что позволяет архитектурно разделить обработку инцидентов IRP в каждом из учебных заведений.

Реализован также функционал IRP, который позволяет получить технические характеристики информационных активов в качестве базы знаний для минимизации ручного труда по сбору и занесению этой информации. Данный механизм инвентаризации предоставляет дополнительный контекст об участниках инцидентов для операторов, обрабатывающих инциденты информационной безопасности.

Распределенная архитектура с использованием агентов сбора событий безопасности позволяет передавать информацию о них на центральный сервер, в наш периметр, где они проходят этап корреляции и далее поступают в IRP. Доступ осуществляется посредством веб-технологий, так как IRP для пользователя является, по сути, веб-приложением.

При этом посредством использования межсетевого экранирования предоставляется точечный доступ как сотрудникам Innostage, так и сотрудникам вузов. Взаимодействие происходит по шифрованным каналам связи.

Организация защищенной сетевой архитектуры была одной из задач реализации межвузовского SOC. Определенная специфика существует также на уровне выявления и реагирования на инциденты, возникающие в ИТ-инфраструктуре вузов.

Этап наполнения источниками событий и инвентаризацией еще идет, но особенности проекта проявляются как минимум в предоставлении пакета экспертизы правил корреляции SIEM и плейбуков реагирования на типовые инциденты, в сопровождении образовательных мероприятий, технической и организационной поддержки.

Ведущая роль методологии

Важно понимать, что в любой инфраструктуре, как правило, выделяются две причины возникновения инцидентов: неаккуратные нелегитимные действия пользователей, а также уязвимости в архитектуре и программном обеспечении ИТ и ИБ, которые являются лакомым кусочком цифрового пирога как для хактивистов, так и для хакерских группировок.

Для любого инцидента требуется точка входа – это либо человек, либо ошибка человека, допущенная и не устраненная ранее. IRP в данном контексте всего лишь инструмент, который без экспертизы и методик применения бесполезен. Однако если имеется доступ к таким источникам знаний и основным инструментам мониторинга, то IRP может выступать ключевым звеном в организации обучения и процессов мониторинга. IRP-платформа позволяет выстроить процессинг и предоставить контекст для команд реагирования.

Реализация плейбуков помогает определить и автоматизировать действия операторов для типовых инцидентов. База знаний дает возможность сохранить в удобном, читаемом виде позитивный и негативный опыт обработки инцидентов, тем самым позволяя постичь процессы SOC и обработать преимущественную часть поступающей информации.

В итоге IRP-система дает множество положительных эффектов не только для образовательного процесса, но и для процесса обеспечения комплексной безопасности вузов, таких как:

  • наглядное понимание процессов мониторинга инцидентов безопасности;
  • кратное снижение времени реагирования;
  • повышение эффективности процессов SOC/групп работы с инцидентами за счет автоматизации основных процессов (плейбуков);
  • снижение количества препятствий с целью получения значимой информации командой SOC за счет типовых плейбуков;
  • единая точка коммуникации и координации между всеми сотрудниками, задействованными в обработке инцидентов ИБ;
  • повышение осведомленности руководителей и контроля результатов деятельности SOC/групп реагирования посредством реализации автоматизированных дашбордов и рассчитываемых KPI.

  1. https://realnoevremya.ru/articles/254040-kak-vuzy-kazani-otbivayut-ddos-ataki-ili-gosuslugi-v-pomosch-vypusknikam 
Темы:ОбразованиеSIEMSOCIRPЖурнал "Информационная безопасность" №4, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • SIEM – это ядро системы информационной безопасности
    Максим Степченков, совладелец компании RuSIEM
    Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – рассказал основатель и совладелец компании RuSIEM Максим Степченков.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"
    Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...