Контакты
Подписка 2025
Статьи по информационной безопасности

IRP в межвузовском SOC: формат проактивной ИБ-стратегии

Илья Лорич, 03/08/23

О роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани.

Автор: Илья Лорич, ведущий инженер отдела информационной безопасности Innostage

Зачем это все?

Security Operations Center (SOC) – централизованное подразделение, которое отвечает за мониторинг, обнаружение, анализ и реагирование на инциденты безопасности в информационных системах и сетях компании.

Основная роль SOC заключается в предоставлении в реальном времени информации об угрозах и защите от них.

Команда сотрудников центра ведет круглосуточный мониторинг сети и систем организации, выявляя такие признаки подозрительной активности, как попытки несанкционированного доступа, заражение вредоносным ПО и прочие виды кибератак. Для этого используются различные инструменты и технологии, включая системы обнаружения и предотвращения вторжений (IDPS), системы управления информацией и событиями безопасности (SIEM), инструменты защиты конечных точек (EDR), специальные выделенные среды для исполнения компьютерных программ (Sandbox), а также инструменты автоматизации реагирования на инциденты (IRP).

Как только потенциальный инцидент обнаружен, команда SOC начинает анализировать и расследовать все его обстоятельства, чтобы определить масштабы влияния на системы и данные организации. Специалисты центра могут предпринять шаги по локализации инцидента и смягчению его последствий, например блокировать вредоносный трафик, поместить зараженные системы в карантин и применить исправления (апдейт) безопасности.

Помимо реагирования на инциденты, команда SOC играет важную роль в проактивном поиске угроз и управлении уязвимостями.

desk-female-sitting-student-bookshelf-education-799419-pxhere.com

IRP-эффект

Автоматизация рутинных задач стала заметной тенденцией в области кибербезопасности. Она освобождает сотрудников от необходимости вручную управлять процессами и позволяет им повысить эффективность работы в других областях, одновременно снижая негативное влияние человеческого фактора.

Этот тренд сформировал формат платформы реагирования на инциденты (Incident Response Platform, IRP), которая содержит все необходимое для запуска стандартной последовательности действий (плейбука), автоматически выполняя определенные шаги на различных этапах ответа на угрозу. Для различных типов инцидентов могут быть созданы индивидуальные сценарии действий.

IRP автоматизирует процессы SOC и собирает всю необходимую информацию в одном месте. С помощью IRP можно собирать данные об инцидентах, активах, организационной структуре и уязвимостях.

Это как централизованный узел или агрегатор, объединяющий команду SOC, ИБ и ИТ, а также руководство для быстрого реагирования на инциденты, эффективного контроля поверхности потенциальной компьютерной атаки и общего управления безопасностью в организации.

При должном уровне функциональности IRP и правильном подходе к использованию платформы она становится основой для работы SOC, вокруг которой формируются все остальные аспекты деятельности центра.

SOC в вузах: предпосылки

Рассмотрим кейс реализации центра операционного управления и мониторинга ИБ с применением IRP в рамках проекта межвузовского MSSP SOC. Он был "собран" на базе четырех университетов Казани – КНИТУ-КАИ, КФУ, КГЭУ и Университета Иннополис.

Исходя из опыта взаимодействия с вузами, в 90% случаев выделенной команды для обеспечения информационной безопасности в них нет. Задачи по противодействию компьютерным атакам возложены на ИТ-специалистов либо на непрофильные подразделения с подходом исполнения требований регуляторов.

Если рассматривать модели, при которых хакерам становится интересно атаковать инфраструктуру учебных заведений, то мы увидим следующие сценарии, наносящие существенный как репутационный, так и финансовый вред организациям при реализации:

  • шифрование либо другие действия, направленные на саботаж либо полную остановку процесса обучения;
  • кража персональных данных студентов и преподавателей – особенную заинтересованность у хакеров вызывают вузы, ведущие подготовку кадров для значимых в государстве отраслей (оборонная и научная отрасли);
  • кража патентов и изобретений – множество вузов занимаются разработками и инновациями, получение доступа к таким данным может нанести значительный ущерб вузу и государству.

В 2022 г. вузы часто становились жертвами атак хакеров и хактивистов, причем ИБ-обострение практически для всех известных высших учебных заведений произошло в момент начала активной работы приемных комиссий  [1]. Целями атак были веб-сервисы, позволяющие автоматизировать процессы проверки и приема абитуриентов.

Основным способом атак стал уже проверенный метод затруднения работы веб-сервисов – DDoS-атаки. Фиксировались и более сложные типы атак, например атаки через цепочки поставок с целью осуществления Deface – подмены отображаемого содержимого для пользователя.

В плоскости практики

Межвузовский SOC в Казани задумывался в качестве центра компетенций, несущего основную ответственность за информационную безопасность в университетах. При этом цель его создания подразумевала организацию SOC как части учебного процесса для организации непрерывного пополнения кадрами из числа обучающихся и повышения их компетенции.

Основой, или "ядром", межвузовского центра выступает технологическая платформа, использующая систему сбора и корреляции событий информационной безопасности Positive Technologies, а также система автоматизации реагирования на инциденты Innostage IRP.

Зачастую системы класса IRP воспринимаются как инструмент для организованных команд SOC, который позволяет улучшить/оптимизировать/автоматизировать существующие процессы SOC. И это действительно так, ведь IRP является реализацией лучших практик организации процессов SOC согласно международным и отечественным стандартам и пожеланиям заказчиков. Но на этом проекте команда SOC смогла постичь бизнес-процессы посредством дружелюбного интерфейса IRP, в котором многие методики автоматизированы. Иными словами, IRP стала платформой для обучения.

Для данного проекта была подготовлена соответствующая специфике инфраструктурная и обучающая архитектура. На площадках вузов реализованы интерфейсы доступа к платформе IRP, обеспечивающие безопасную передачу информации. Оборудование и программное обеспечение для сбора и обмена необходимой информацией между компонентами ИТ-инфраструктуры и платформой предоставляются университетам бесплатно.

При этом задача мониторинга ИБ-инцидентов SOC возложена на студентов, а реагировать на них и контролировать их действия будут преподаватели и ИТ-сотрудники вузов. Менторы Центра противодействия киберугрозам Innostage CyberART предоставляют вузам сценарии противодействия атакам. Система защиты, основанная на этих сценариях, протестирована на реальной университетской инфраструктуре, а студенты прошли обучение для распознавания аномальной и вредоносной активности. Если ситуация носит чрезвычайный характер, будут подключаться специалисты компаний, обеспечившие техническое решение SOC, – через удаленное подключение к системам центра.

Управление проектом опирается на менторинг. На сегодняшний день в межвузовском проекте реализуется контроль за обработкой инцидентов информационной безопасности со стороны внешнего и более опытного SOC, а также корректности использования IRP. Помимо постоянного менторинга, организовано четыре канала для оперативного решения возникающих проблем.

Детали под углом IRP

Внедрение IRP – это всегда адаптация под архитектуру и структуру заказчика. В этом отношении адаптация IRP в межвузовском SOC несильно отличается подходом и техническими моментами от проектов для других заказчиков.

Главная адаптация происходит на методическом уровне: были разработаны ролевые и процессные модели функционирования центра, в которых сотрудники Innostage выступают в качестве экспертов и менторов, а также плейбуки реагирования, позволяющие отрабатывать основные типы инцидентов без обширного опыта. Для интеграции IRP в процессы была разработана серия лабораторных работ, направленная на изучение функциональности системы, методов и вариантов ее использования под процессинговые модели. Помимо этого, лабораторные работы направлены на применение лучших практик мониторинга и генерацию собственных экспертных тактик реагирования, то есть лабораторные работы выступают связующим звеном между инструментами, процессами и теорией.

Учитывая специфику проекта, из случаев применения с другими ИБ-системами межвузовского SOC представлено только SIEM-направление. Сейчас благодаря интеграции с IRP система наполняется инцидентами, детектируемыми в ИТ-контурах вузов, где имеется свой SIEM-агент и своя организационная структура, что позволяет архитектурно разделить обработку инцидентов IRP в каждом из учебных заведений.

Реализован также функционал IRP, который позволяет получить технические характеристики информационных активов в качестве базы знаний для минимизации ручного труда по сбору и занесению этой информации. Данный механизм инвентаризации предоставляет дополнительный контекст об участниках инцидентов для операторов, обрабатывающих инциденты информационной безопасности.

Распределенная архитектура с использованием агентов сбора событий безопасности позволяет передавать информацию о них на центральный сервер, в наш периметр, где они проходят этап корреляции и далее поступают в IRP. Доступ осуществляется посредством веб-технологий, так как IRP для пользователя является, по сути, веб-приложением.

При этом посредством использования межсетевого экранирования предоставляется точечный доступ как сотрудникам Innostage, так и сотрудникам вузов. Взаимодействие происходит по шифрованным каналам связи.

Организация защищенной сетевой архитектуры была одной из задач реализации межвузовского SOC. Определенная специфика существует также на уровне выявления и реагирования на инциденты, возникающие в ИТ-инфраструктуре вузов.

Этап наполнения источниками событий и инвентаризацией еще идет, но особенности проекта проявляются как минимум в предоставлении пакета экспертизы правил корреляции SIEM и плейбуков реагирования на типовые инциденты, в сопровождении образовательных мероприятий, технической и организационной поддержки.

Ведущая роль методологии

Важно понимать, что в любой инфраструктуре, как правило, выделяются две причины возникновения инцидентов: неаккуратные нелегитимные действия пользователей, а также уязвимости в архитектуре и программном обеспечении ИТ и ИБ, которые являются лакомым кусочком цифрового пирога как для хактивистов, так и для хакерских группировок.

Для любого инцидента требуется точка входа – это либо человек, либо ошибка человека, допущенная и не устраненная ранее. IRP в данном контексте всего лишь инструмент, который без экспертизы и методик применения бесполезен. Однако если имеется доступ к таким источникам знаний и основным инструментам мониторинга, то IRP может выступать ключевым звеном в организации обучения и процессов мониторинга. IRP-платформа позволяет выстроить процессинг и предоставить контекст для команд реагирования.

Реализация плейбуков помогает определить и автоматизировать действия операторов для типовых инцидентов. База знаний дает возможность сохранить в удобном, читаемом виде позитивный и негативный опыт обработки инцидентов, тем самым позволяя постичь процессы SOC и обработать преимущественную часть поступающей информации.

В итоге IRP-система дает множество положительных эффектов не только для образовательного процесса, но и для процесса обеспечения комплексной безопасности вузов, таких как:

  • наглядное понимание процессов мониторинга инцидентов безопасности;
  • кратное снижение времени реагирования;
  • повышение эффективности процессов SOC/групп работы с инцидентами за счет автоматизации основных процессов (плейбуков);
  • снижение количества препятствий с целью получения значимой информации командой SOC за счет типовых плейбуков;
  • единая точка коммуникации и координации между всеми сотрудниками, задействованными в обработке инцидентов ИБ;
  • повышение осведомленности руководителей и контроля результатов деятельности SOC/групп реагирования посредством реализации автоматизированных дашбордов и рассчитываемых KPI.
  1. https://realnoevremya.ru/articles/254040-kak-vuzy-kazani-otbivayut-ddos-ataki-ili-gosuslugi-v-pomosch-vypusknikam 
Темы:SIEMSOCIRPЖурнал "Информационная безопасность" №4, 2023Образование
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • От гипотезы к инсайту: пора ли внедрять Threat Hunting?
    Владислав Бурцев, руководитель отдела анализа киберугроз в BI.ZONE
    Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикла публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена Threat Hunting – проактивному поиску угроз.
  • Управление командой: как организовать работу дежурной смены
    Роман Одегов, руководитель отдела оперативного обнаружения киберугроз в BI.ZONE
    Шестая статья цикла публикаций посвящена управлению командой на примере дежурной смены. Работа в ней связана с регулярным выполнением однотипных задач, что в условиях высокой нагрузки может приводить к пропуску инцидентов из-за снижения концентрации, а также к демотивации и выгоранию аналитиков. Как же этого не допустить?
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.
  • Прожектор перестройки SIEM
    SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных