Использование функционала SIEM для практического построения SOC

SOC (Security Operations Center) выступает как центр противодействия кибератакам на любом этапе инцидента, от разведки и выявления интереса злоумышленников к компании до реагирования и ликвидации последствий.

Автор: Максим Степченков, совладелец компании RuSIEM

Одно из важнейших преимуществ SOC заключается в осуществлении непрерывного контроля всей инфраструктуры компании. Ведь главный вопрос заключается не в том, взломают вас или нет, а в том, когда это произойдет. Рост количества информационных систем и сложность используемых технологий рождает проблему одновременного контроля множества каналов, а также организации централизованной обработки и хранения данных о вторжениях и киберугрозах. Атаки стали более комплексными, в связи с чем требуется введение определенных бизнес-процессов и увеличение их скорости – самые критичные активы необходимо защищать в первую, но не единственную очередь.

В настоящее время SOC бывают собственными, гибридными и аутсорсными. SOC – единый механизм, который держится на трех базовых принципах: команда, процессы (функционал), технологии.

Ключевые параметры базовых принципов SOC

Чем занимается команда:

• первая линия – осуществляет анализ SIEM и первичный анализ;
• вторая линия – проводит расследование инцидентов;
• третья линия – осуществляет глубокий анализ инцидентов и артефактов;
• аналитики SOC – занимаются написанием плейбуков, правил корреляции и т.д.;
• Специалисты по реагированию на инциденты.

К процессам относятся:

• мониторинг (Security Monitoring);
• управление уязвимостями (Vulnerability Management);
• реагирование на инциденты (отработка происшествий);
• форензика (криминалистика);
• Compliance (соответствие стандартам);
• Threat Intelligence (киберразведка);
• внутренний пентест (оценка защищенности);
• Threat Hunting.

К технологиям относятся:

• Security Information and Event Management (SIEM);
• SOAR (IRP);
• Knowledge Database;
• Service Desk;
• Vulnerability Management;
• Threat Hunting Automation (+ EDR);
• Threat Intelligence Feeds;
• Threat Intelligence Platform;
• Forensic Laboratory (Sandbox);
• датчики (IDS/IPS, FW, e-mail, Proxy и т.д.).

К задачам можно отнести:

• сбор событий с различных источников;
• нормализацию;
• поиск по событиям;
• корреляцию;
• управление инцидентами;
• систему отчетности;
• управление рисками;
• аналитику;
• UEBA;
• управление активами;
• управление уязвимостями;
• многое другое.

Ядром SOC, как правило, выступает SIEM-система, так как решения именно этого класса позволяют анализировать огромные объемы данных в режиме реального времени. Для минимизации человеческого фактора при расследовании и реагировании на инциденты подходят IRP- и SOAR-системы. Они позволяют автоматизировать процесс реагирования на инциденты и предоставляют наборы плейбуков (шаблонов с рекомендациями по реагированию), которые существенно облегчают работу Incident Response – команды.

То есть в первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. После того как этот этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии центра управления информационной безопасностью. Если в Security Operations Center правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен.

Говоря о повышении эффективности работы SOC, необходимо отметить, что одними из наиболее значимых инструментов являются SOAR-системы, так как они предлагают множество техник для автоматизации процесса реагирования.

Своевременное выявление инцидентов информационной безопасности и оперативное реагирование на них является важнейшей задачей для компаний из любой сферы деятельности. Финансовые организации, безусловно, больше подвержены хакерским атакам, так как представляют наибольший интерес для злоумышленников. Именно поэтому построение единого центра реагирования и управления информационной безопасностью может стать эффективным решением для финансовой организации.

На текущий момент на базе SIEM-системы RuSIEM построены несколько коммерческих SOC, предлагаемых на рынке ПАО "МегаФон", Эр-Телеком, Калуга Астрал и Информационный Центр. Решения внедрены у ряда заказчиков и успешно выполняют поставленные задачи.

Какие есть альтернативы?

Что касается полноценных альтернатив SOC, то их практически нет. Даже если заказчик внедряет SIEM-систему для выявления и расследования инцидентов ИБ – это уже не столько альтернатива, сколько первый шаг к построению своего SOC.

Существует несколько причин, почему наблюдается рост интереса именно к коммерческим SOC.

1. Во-первых, найти квалифицированных специалистов в штат сложно, а содержать их дорого.
2. Во-вторых, даже при использовании средств защиты ИБ нет 100% уверенности в защищенности конфиденциальных данных.
3. В-третьих, большинство решений на рынке не обладают гибкостью и предназначены для крупных компаний с большим бюджетом.
4. В-четвертых, необходимо соблюдение требований No 187-ФЗ об обязательном уведомлении об инцидентах ИБ.
5. В-пятых, организация собственного SOC влечет за собой большие затраты (в среднем от 15 млн руб.).
6. В-шестых, необходимо обеспечивать круглосуточный мониторинг и поддержку экспертов по информационной безопасности.

RuSIEM Monitoring

В ноябре 2022 г. компания RuSIEM официально выпустила новый модуль собственной разработки RuSIEM Monitoring, который позволяет контролировать работу ИТ-решений заказчиков. С его помощью можно следить за параметрами всех компонентов, оповещать специалистов, если их значения оказываются вне заданных рамок, детально анализировать производительность оборудования, оперативно устранять и предотвращать сбои в его работе.

Новый модуль позволяет заказчикам компании RuSIEM решать следующие задачи:

• мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы, сетевое оборудование и рабочие станции;
• мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы;
• мониторинг информационных систем и бизнес-критичных серверов;
• улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде;
• удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат;
• простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время.

Модуль RuSIEM Monitoring прост во внедрении и использовании. Он не требует установки агентов на серверы (запуск системы в работу осуществляется за 10 минут), а подключение к серверам и сетевому оборудованию совершается в прямом смысле в один клик. Предусмотрена удаленная поддержка пользователей через внутреннюю систему HelpDesk с доменной авторизацией и подключением к пользователю в один клик из тикета.