Контакты
Подписка 2024
Статьи по информационной безопасности

IRP в межвузовском SOC: формат проактивной ИБ-стратегии

Илья Лорич, 03/08/23

О роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани.

Автор: Илья Лорич, ведущий инженер отдела информационной безопасности Innostage

Зачем это все?

Security Operations Center (SOC) – централизованное подразделение, которое отвечает за мониторинг, обнаружение, анализ и реагирование на инциденты безопасности в информационных системах и сетях компании.

Основная роль SOC заключается в предоставлении в реальном времени информации об угрозах и защите от них.

Команда сотрудников центра ведет круглосуточный мониторинг сети и систем организации, выявляя такие признаки подозрительной активности, как попытки несанкционированного доступа, заражение вредоносным ПО и прочие виды кибератак. Для этого используются различные инструменты и технологии, включая системы обнаружения и предотвращения вторжений (IDPS), системы управления информацией и событиями безопасности (SIEM), инструменты защиты конечных точек (EDR), специальные выделенные среды для исполнения компьютерных программ (Sandbox), а также инструменты автоматизации реагирования на инциденты (IRP).

Как только потенциальный инцидент обнаружен, команда SOC начинает анализировать и расследовать все его обстоятельства, чтобы определить масштабы влияния на системы и данные организации. Специалисты центра могут предпринять шаги по локализации инцидента и смягчению его последствий, например блокировать вредоносный трафик, поместить зараженные системы в карантин и применить исправления (апдейт) безопасности.

Помимо реагирования на инциденты, команда SOC играет важную роль в проактивном поиске угроз и управлении уязвимостями.

desk-female-sitting-student-bookshelf-education-799419-pxhere.com

IRP-эффект

Автоматизация рутинных задач стала заметной тенденцией в области кибербезопасности. Она освобождает сотрудников от необходимости вручную управлять процессами и позволяет им повысить эффективность работы в других областях, одновременно снижая негативное влияние человеческого фактора.

Этот тренд сформировал формат платформы реагирования на инциденты (Incident Response Platform, IRP), которая содержит все необходимое для запуска стандартной последовательности действий (плейбука), автоматически выполняя определенные шаги на различных этапах ответа на угрозу. Для различных типов инцидентов могут быть созданы индивидуальные сценарии действий.

IRP автоматизирует процессы SOC и собирает всю необходимую информацию в одном месте. С помощью IRP можно собирать данные об инцидентах, активах, организационной структуре и уязвимостях.

Это как централизованный узел или агрегатор, объединяющий команду SOC, ИБ и ИТ, а также руководство для быстрого реагирования на инциденты, эффективного контроля поверхности потенциальной компьютерной атаки и общего управления безопасностью в организации.

При должном уровне функциональности IRP и правильном подходе к использованию платформы она становится основой для работы SOC, вокруг которой формируются все остальные аспекты деятельности центра.

SOC в вузах: предпосылки

Рассмотрим кейс реализации центра операционного управления и мониторинга ИБ с применением IRP в рамках проекта межвузовского MSSP SOC. Он был "собран" на базе четырех университетов Казани – КНИТУ-КАИ, КФУ, КГЭУ и Университета Иннополис.

Исходя из опыта взаимодействия с вузами, в 90% случаев выделенной команды для обеспечения информационной безопасности в них нет. Задачи по противодействию компьютерным атакам возложены на ИТ-специалистов либо на непрофильные подразделения с подходом исполнения требований регуляторов.

Если рассматривать модели, при которых хакерам становится интересно атаковать инфраструктуру учебных заведений, то мы увидим следующие сценарии, наносящие существенный как репутационный, так и финансовый вред организациям при реализации:

  • шифрование либо другие действия, направленные на саботаж либо полную остановку процесса обучения;
  • кража персональных данных студентов и преподавателей – особенную заинтересованность у хакеров вызывают вузы, ведущие подготовку кадров для значимых в государстве отраслей (оборонная и научная отрасли);
  • кража патентов и изобретений – множество вузов занимаются разработками и инновациями, получение доступа к таким данным может нанести значительный ущерб вузу и государству.

В 2022 г. вузы часто становились жертвами атак хакеров и хактивистов, причем ИБ-обострение практически для всех известных высших учебных заведений произошло в момент начала активной работы приемных комиссий  [1]. Целями атак были веб-сервисы, позволяющие автоматизировать процессы проверки и приема абитуриентов.

Основным способом атак стал уже проверенный метод затруднения работы веб-сервисов – DDoS-атаки. Фиксировались и более сложные типы атак, например атаки через цепочки поставок с целью осуществления Deface – подмены отображаемого содержимого для пользователя.

В плоскости практики

Межвузовский SOC в Казани задумывался в качестве центра компетенций, несущего основную ответственность за информационную безопасность в университетах. При этом цель его создания подразумевала организацию SOC как части учебного процесса для организации непрерывного пополнения кадрами из числа обучающихся и повышения их компетенции.

Основой, или "ядром", межвузовского центра выступает технологическая платформа, использующая систему сбора и корреляции событий информационной безопасности Positive Technologies, а также система автоматизации реагирования на инциденты Innostage IRP.

Зачастую системы класса IRP воспринимаются как инструмент для организованных команд SOC, который позволяет улучшить/оптимизировать/автоматизировать существующие процессы SOC. И это действительно так, ведь IRP является реализацией лучших практик организации процессов SOC согласно международным и отечественным стандартам и пожеланиям заказчиков. Но на этом проекте команда SOC смогла постичь бизнес-процессы посредством дружелюбного интерфейса IRP, в котором многие методики автоматизированы. Иными словами, IRP стала платформой для обучения.

Для данного проекта была подготовлена соответствующая специфике инфраструктурная и обучающая архитектура. На площадках вузов реализованы интерфейсы доступа к платформе IRP, обеспечивающие безопасную передачу информации. Оборудование и программное обеспечение для сбора и обмена необходимой информацией между компонентами ИТ-инфраструктуры и платформой предоставляются университетам бесплатно.

При этом задача мониторинга ИБ-инцидентов SOC возложена на студентов, а реагировать на них и контролировать их действия будут преподаватели и ИТ-сотрудники вузов. Менторы Центра противодействия киберугрозам Innostage CyberART предоставляют вузам сценарии противодействия атакам. Система защиты, основанная на этих сценариях, протестирована на реальной университетской инфраструктуре, а студенты прошли обучение для распознавания аномальной и вредоносной активности. Если ситуация носит чрезвычайный характер, будут подключаться специалисты компаний, обеспечившие техническое решение SOC, – через удаленное подключение к системам центра.

Управление проектом опирается на менторинг. На сегодняшний день в межвузовском проекте реализуется контроль за обработкой инцидентов информационной безопасности со стороны внешнего и более опытного SOC, а также корректности использования IRP. Помимо постоянного менторинга, организовано четыре канала для оперативного решения возникающих проблем.

Детали под углом IRP

Внедрение IRP – это всегда адаптация под архитектуру и структуру заказчика. В этом отношении адаптация IRP в межвузовском SOC несильно отличается подходом и техническими моментами от проектов для других заказчиков.

Главная адаптация происходит на методическом уровне: были разработаны ролевые и процессные модели функционирования центра, в которых сотрудники Innostage выступают в качестве экспертов и менторов, а также плейбуки реагирования, позволяющие отрабатывать основные типы инцидентов без обширного опыта. Для интеграции IRP в процессы была разработана серия лабораторных работ, направленная на изучение функциональности системы, методов и вариантов ее использования под процессинговые модели. Помимо этого, лабораторные работы направлены на применение лучших практик мониторинга и генерацию собственных экспертных тактик реагирования, то есть лабораторные работы выступают связующим звеном между инструментами, процессами и теорией.

Учитывая специфику проекта, из случаев применения с другими ИБ-системами межвузовского SOC представлено только SIEM-направление. Сейчас благодаря интеграции с IRP система наполняется инцидентами, детектируемыми в ИТ-контурах вузов, где имеется свой SIEM-агент и своя организационная структура, что позволяет архитектурно разделить обработку инцидентов IRP в каждом из учебных заведений.

Реализован также функционал IRP, который позволяет получить технические характеристики информационных активов в качестве базы знаний для минимизации ручного труда по сбору и занесению этой информации. Данный механизм инвентаризации предоставляет дополнительный контекст об участниках инцидентов для операторов, обрабатывающих инциденты информационной безопасности.

Распределенная архитектура с использованием агентов сбора событий безопасности позволяет передавать информацию о них на центральный сервер, в наш периметр, где они проходят этап корреляции и далее поступают в IRP. Доступ осуществляется посредством веб-технологий, так как IRP для пользователя является, по сути, веб-приложением.

При этом посредством использования межсетевого экранирования предоставляется точечный доступ как сотрудникам Innostage, так и сотрудникам вузов. Взаимодействие происходит по шифрованным каналам связи.

Организация защищенной сетевой архитектуры была одной из задач реализации межвузовского SOC. Определенная специфика существует также на уровне выявления и реагирования на инциденты, возникающие в ИТ-инфраструктуре вузов.

Этап наполнения источниками событий и инвентаризацией еще идет, но особенности проекта проявляются как минимум в предоставлении пакета экспертизы правил корреляции SIEM и плейбуков реагирования на типовые инциденты, в сопровождении образовательных мероприятий, технической и организационной поддержки.

Ведущая роль методологии

Важно понимать, что в любой инфраструктуре, как правило, выделяются две причины возникновения инцидентов: неаккуратные нелегитимные действия пользователей, а также уязвимости в архитектуре и программном обеспечении ИТ и ИБ, которые являются лакомым кусочком цифрового пирога как для хактивистов, так и для хакерских группировок.

Для любого инцидента требуется точка входа – это либо человек, либо ошибка человека, допущенная и не устраненная ранее. IRP в данном контексте всего лишь инструмент, который без экспертизы и методик применения бесполезен. Однако если имеется доступ к таким источникам знаний и основным инструментам мониторинга, то IRP может выступать ключевым звеном в организации обучения и процессов мониторинга. IRP-платформа позволяет выстроить процессинг и предоставить контекст для команд реагирования.

Реализация плейбуков помогает определить и автоматизировать действия операторов для типовых инцидентов. База знаний дает возможность сохранить в удобном, читаемом виде позитивный и негативный опыт обработки инцидентов, тем самым позволяя постичь процессы SOC и обработать преимущественную часть поступающей информации.

В итоге IRP-система дает множество положительных эффектов не только для образовательного процесса, но и для процесса обеспечения комплексной безопасности вузов, таких как:

  • наглядное понимание процессов мониторинга инцидентов безопасности;
  • кратное снижение времени реагирования;
  • повышение эффективности процессов SOC/групп работы с инцидентами за счет автоматизации основных процессов (плейбуков);
  • снижение количества препятствий с целью получения значимой информации командой SOC за счет типовых плейбуков;
  • единая точка коммуникации и координации между всеми сотрудниками, задействованными в обработке инцидентов ИБ;
  • повышение осведомленности руководителей и контроля результатов деятельности SOC/групп реагирования посредством реализации автоматизированных дашбордов и рассчитываемых KPI.
  1. https://realnoevremya.ru/articles/254040-kak-vuzy-kazani-otbivayut-ddos-ataki-ili-gosuslugi-v-pomosch-vypusknikam 
Темы:ОбразованиеSIEMSOCIRPЖурнал "Информационная безопасность" №4, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Основные вызовы в развитии и совершенствовании коммерческих SOC
    Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 
  • Каких знаний не хватает у соискателей в операторы и аналитики SOC?
    Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции
  • Коммерческие SOC в 2023 году: мотивация и развитие. Часть 2
    Каким должен быть первый шаг для подключения к SOC, если принципиальное решение уже принято, и что SOC точно не сделает за заказчика?
  • Киберразведка по методу Innostage – CyberART TI
    Камиль Садыков, ведущий аналитик информационной безопасности Innostage
    Выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска
  • Коммерческие SOC в 2023 году: мотивация и развитие
    Какая мотивация приводит заказчиков в SOC? Где должна проходить граница между SOC и заказчиком? Редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.
  • SOC для защиты бизнес-процессов
    Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
    У центров мониторинга есть возможность защищать бизнес не только путем выявления и реагирования на кибератаки, но и путем защиты бизнес-процессов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"