О роли SOC, EDR и XDR на пути к оптимальной безопасности
Артем Кириллин, 05/12/24
Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
BI.ZONE является одним из ключевых игроков на российском рынке SOC и помогает компаниям обеспечивать безопасность с 2016 г. Сервис по мониторингу и реагированию на инциденты BI.ZONE TDR обрабатывает более 250 тыс. "сырых" событий кибербезопасности в секунду. В результате срабатывания правил корреляции эти события ежемесячно генерируют около 26 тыс. алертов – подозрений на инциденты, обрабатываемых специалистами.
– Артем, начнем с фундаментального вопроса. Что посоветуете – строить свой собственный SOC или подключаться к MSSP? Как сделать этот выбор [1]?
– Создание собственного SOC требует большого количества высококвалифицированных специалистов по кибербезопасности, которые должны не просто владеть методологией, но и хорошо знать ландшафт угроз, актуальных для конкретной отрасли, страны, региона.
Таких специалистов на рынке труда не хватает, поэтому многие компании выбирают подключение к коммерческому SOC. Чтобы работа с провайдером была эффективной, важно еще на этапе планирования сотрудничества ответить на несколько вопросов.
Во-первых, необходимо определиться с перечнем функций, которые будет выполнять MSSP. Тут возможны разные варианты. Например, сервис BI.ZONE TDR можно использовать не только в рамках выявления и анализа инцидентов 24 часа в сутки, но и в контексте активного реагирования на конечных устройствах (посредством решения BI.ZONE EDR), реагирования на средствах защиты информации (с помощью эксплуатации СЗИ), а также путем взаимодействия c НКЦКИ в качестве сертифицированного центра ГосСОПКА и т.д.
Во-вторых, следует оценить текущие ресурсы – количество сотрудников, которые будут взаимодействовать с внешним SOC и выполнять его рекомендации, а также уровень компетенций этих специалистов. На этом же этапе нужно понять, какие функции вы планируете оставить внутри компании, а какие – передать провайдеру.
Если хотите создать собственный SOC, обеспечив при этом должный уровень безопасности в переходный период, то есть решения, которые позволяют бесшовно перейти от MSSP к собственному центру мониторинга без потери качества. Например, BI.ZONE в течение переходного периода предлагает вариант подключения к сервису BI.ZONE TDR с обучением сотрудников и дальнейшей миграцией функций и технологий в собственный SOC заказчика. В этом случае нужно определить схему размещения технологической платформы SOC, а также длительность использования функций провайдера.
– Как выбрать подходящего MSSP-провайдера?
– Провайдер должен определить актуальный ландшафт угроз для компании, чтобы правильно приоритизировать подключение источников событий и подобрать необходимый инструментарий SOC. У MSSP должны быть собственные компетенции по цифровой криминалистике и реагированию на инциденты (DFIR), а также подразделение исследования киберугроз. Кроме того, провайдер должен иметь грамотно выстроенную детектирующую логику для разработки актуальных правил корреляции, YARA-правил, набора сигнатур и т.д.
Второй принципиальный вопрос: что именно входит в состав технологической платформы SOC MSSP, на какую инфраструктуру он ориентирован? Технологическая платформа SOC может состоять из решений различных вендоров, ПО с открытым исходным кодом или продуктов собственной разработки. В первом случае возникает зависимость от продуктов стороннего вендора, а MSSP не может вносить в них низкоуровневые изменения. Во втором случае вы получаете узкоспециализированную платформу, для которой смена команды может оказаться серьезным препятствием для дальнейшей поддержки и развития.
Оптимальным является подход, при котором MSSP использует собственные коммерческие продукты на своей платформе, что позволяет ему быть для заказчика единой точкой входа. При оказании услуг по мониторингу и реагированию провайдер при необходимости может без потери качества обеспечить миграцию собственных решений в инфраструктуру заказчика, предоставив поддержку, в том числе и по этим продуктам.
Технологическая платформа SOC, которая используется в сервисе BI.ZONE TDR, состоит из коммерческих продуктов собственной разработки. Если потребности заказчика в какой-то момент изменятся, то все решения могут быть перенесены в его инфраструктуру.
– Какие технологические возможности сервиса BI.ZONE TDR можно выделить?
– Наш сервис показывает наибольшую эффективность при использовании современных средств мониторинга. Это агенты BI.ZONE EDR на конечных точках, а также подключенные к SIEM наиболее приоритетные источники событий кибербезопасности.
С точки зрения EDR наше преимущество в том, что сервис выполняет периодический анализ в режиме инвентаризации всей подключенной инфраструктуры, чтобы выявлять возможные мисконфигурации. Клиенты получают еженедельный отчет и рекомендации, как повысить уровень защищенности. Об этом мы подробно рассказываем в статье "Threat Prediction: превентивная работа с угрозами в BI.ZONE TDR" [2]. В рамках сервиса мы также предоставляем заказчикам доступ к консоли EDR для самостоятельного решения собственных задач.
Отдельно хотелось бы остановиться на модуле Deception [3] и возможностях, которые он дает для обнаружения злоумышленников на ранних этапах атаки. Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, поскольку представляет собой потенциально полезную для развития атаки информацию. BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в Active Directory. Таким образом, преступник попадает в ловушку, и мы обнаруживаем его на раннем этапе – до начала перемещений внутри сети.
– Можно ли осуществлять мониторинг без доступа EDR-агентов в Интернет?
– Да, такая возможность есть. Для этого разработана схема подключения с возможными модификациями в зависимости от конкретного клиента и его особенностей. В рамках сервиса всегда используется продукт BI.ZONE Secure SD-WAN, который недавно получил сертификат ФСБ России. Но возможны и альтернативные способы подключения для государственных заказчиков или заказчиков с особым регулированием (PSI DSS, ГИС К1 и др.).
У нас есть сертифицированная зона ГИС К1 и PCI DSS, а также возможность подключать заказчиков с использованием сертифицированных ФСТЭК России средств защиты и с шифрованием каналов связи по ГОСТ 28147-89.
Источником соединения в таких случаях всегда является сам закрытый сегмент, мы не можем инициировать подключение со своей стороны. Это делает процесс безопасным, поскольку заказчику не нужно прописывать входящие соединения – только исходящие соединения с SOC с минимизированными протоколами, и все они при этом шифруются. Взаимодействие с EDR-сервером происходит по защищенному каналу.
– Каким образом BI.ZONE TDR помогает ускорить реакцию со стороны заказчиков?
– Во-первых, именно на ускорение принятия решений по инцидентам в конечном счете нацелена работа ML-аналитиков. Инциденты обогащаются максимальным объемом информации, чтобы у заказчика была полная и репрезентативная картина происходящего.
Во-вторых, в BI.ZONE TDR есть сервис автоматического уведомления о наиболее достоверных юзкейсах. Это означает, что инциденты с типовыми рекомендациями регистрируются автоматически. По желанию заказчик может настроить сервис так, чтобы не только получать уведомления об инцидентах, но и сразу осуществлять автоматическое реагирование средствами EDR.
Мы разработали специальный TDR-бот в Телеграм. Его цель – дать заказчику доступ к возможностям TDR со смартфона (получать уведомления, задавать вопросы, создавать задачи и т.д.). В Телеграм создается чат с заказчиком, туда добавляют сотрудников, которые отвечают за реагирование. Они должны специальным образом авторизоваться на портале, чтобы получать в чате уведомления об инцидентах. Для каждого уведомления в боте есть кнопки: "Взять в работу", "Написать комментарий", "Посмотреть карточку инцидента".
Телеграм-бот будет особенно полезен при внедрении функциональности SOAR, которую мы сейчас активно развиваем и планируем предоставлять в рамках наших сервисов.
– Набирают популярность системы XDR для расширенного обнаружения и реагирования на сложные угрозы и целевые атаки. Что сейчас представляет собой XDR от BI.ZONE и как он будет выглядеть в будущем?
– XDR – история про то, что с помощью других сервисов кибербезопасности мы можем выявить инцидент, получив богатый контекст для принятия решения. То есть мы получаем максимально полную информацию об инциденте, что дает нам возможность активного реагирования в различных сервисах и продуктах BI.ZONE.
Допустим, у нас есть подозрение на инцидент, например попытка эксплуатации уязвимости на хосте, который находится на периметре. Из BI.ZONE CPT (решения для контроля внешней инфраструктуры и управления поверхностью атаки) мы получаем информацию обо всех имеющихся уязвимостях. С помощью BI.ZONE WAF и BI.ZONE Secure SD-WAN определяем, откуда идет атака. Так, погружаясь в контекст при помощи разных инструментов, мы получаем целую цепочку событий и настраиваем политики защиты в BI.ZONE WAF и BI.ZONE Secure SD-WAN.
Наше представление об XDR строится на двух принципах. Во-первых, в XDR мы видим прообраз унифицированной платформы кибербезопасности, реализующей принцип Cyber Security Mesh Architecture. Во-вторых, на базе XDR мы планируем воплощать в жизнь метацель – создание автономной платформы кибербезопасности, способной защитить организацию без участия человека, но под его контролем.
Система XDR должна обеспечивать ряд ключевых возможностей:
- унифицированное обнаружение и реагирование в гетерогенных средах (on-prem, cloud и mobile);
- покрытие доменов Endpoint, Network, Identity, Cloud, Containers, а также автоматизированное и автоматическое реагирование во всех доменах;
- автоматическое восстановление хронологии атак и выявление корневых причин. Важным преимуществом системы XDR может стать ее открытость: возможность интегрировать в один клик решения BI.ZONE и сторонних вендоров, а также инфраструктурные сервисы. И конечно, XDR-платформа и полноценные SIEM и SOAR должны быть объединены в одном продукте.
Необходимость противостоять сложным целевым атакам приводит к тому, что все больше компаний внедряют у себя мониторинг событий кибербезопасности. Мы предлагаем комплексные решения для защиты ИТ-инфраструктуры компании, которые позволяют не только обеспечить регулярный мониторинг и реагирование на инциденты, но и адаптировать продукты под потребности бизнеса.
- https://bi.zone/catalog/services/soc-consulting/
- https://bi.zone/expertise/blog/threat-prediction-preventivnaya-rabota-s-ugrozami-v-bi-zone-tdr/
- https://bi.zone/news/bi-zone-rasshirila-funktsionalnost-bi-zone-edr/
Реклама. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjefdxvf