Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Развитие SOC на базе продуктов R-Vision

Полина Руэда-Маэстро, 21/12/21

Все чаще к нам за помощью обращаются ведущие компании российского рынка, расширяющие границы сервисов, предоставляемых силами центров мониторинга и обеспечения информационной безопасности (Security Operations Center, SOC), давно развивающие у себя процессы ИБ и обладающие значительными компетенциями в этом направлении, а также те, кто занимается обеспечением безопасности не так давно. Последние особенно остро нуждаются в консультациях по вопросам: как строить SOC, с чего начать, на что делать основной упор, а что реализовать на более поздних этапах или обходным путем? И тут очень кстати приходится наша накопленная за 10 лет работы экспертиза.

Автор: Полина Руэда-Маэстро, ведущий продакт-менеджер R-Vision

Известно, что технологическим фундаментом любого SOC являются SIEM- и SOAR-системы.

С помощью SIEM обрабатывается весь объем данных о событиях в ИТ-инфраструктуре компании, чтобы на выходе получить подозрения на инциденты в удобном для обработки людьми виде.

SOAR выступает основой всего SOC и позволяет выстроить процесс реагирования на инциденты (workflow). Когда мы только выводили на рынок IRP-систему, были первопроходцами в этом направлении, то часто получали вопросы о ее необходимости, если у заказчиков уже были SIEM и Service Desk. Ответ был прост.

  1.  SIEM- и IRP-системы имеют разное предназначение и разработаны совершенно по-разному. SIEM "заточена" на обработку больших объемов сырой информации и их корреляцию согласно правилам, а IRP – для удобного и гибкого выстраивания процессов для аналитиков и специалистов по ИБ.
  2. Мы развиваем IRP с акцентом на задачи ИБ и расследование инцидентов. И наделили ее всеми необходимыми узкоспециализированными инструментами: сбора инвентаризационной информации с учетом задач ИБ, автоматизации реагирования на инциденты, включая динамические сценарии реагирования (плейбуки), а также средствами оркестрации.

Реализованные в IRP механизмы оркестрации позволяют работать с инцидентами безопасности в одном окне без необходимости переключения в интерфейсы других систем и сервисов, в том числе внешних для заказчика. Использование инструментов оркестрации позволяет рассматривать IRP как систему класса SOAR. Для многих заказчиков необходима возможность своевременного обмена информацией об инцидентах с регуляторами и внешними организациями, например CERT или коммерческими SOC.

По мере развития темы SOC мы заметили интересную тенденцию: заказчики не всегда выбирали один способ реализации – развивать только внутреннюю команду или приобретать услуги внешнего центра мониторинга. Все чаще поднимался вопрос гибридных SOC, когда какие-то критичные вещи остаются внутри компании, а менее важные или узкоспециализированные услуги приобретаются у коммерческого SOC. Например, обработка закрытой информации может остаться на стороне заказчика, а расследование инцидентов корпоративного сегмента сети, не касающихся таких данных, передано внешнему провайдеру. Еще один пример – отказ от развития своей команды по Threat Hunting (проактивному поиску угроз. – Прим. ред.) и использование внешней глубокой экспертизы. Это отличный пример реализации внешних взаимодействий для заказчиков SOC и использования инструментов оркестрации, в том числе для совместной работы с провайдером услуг над инцидентами.

Чем больше мы помогали нашим клиентам строить SOC, тем очевиднее становилось, что вместе с развитием заказчиков растут и их требования к зрелости и функциональности технологических решений, используемых в SOC. Повышались и требования к отказоустойчивости используемых платформ. Началось все с простейших архитектур, например с использования холодного резервирования систем. Сегодня заказчики строят SOC с режимом работы 24/7 и жесткими SLA, отдавая себе отчет в том, что недоступность систем и несвоевременное реагирование на инциденты может привести к значительному ущербу для организации. Все чаще мы участвуем в проектах построения больших катастрофоустойчивых центров на разных площадках в разных городах и часовых поясах. Потребовались принципиально новые решения, которые позволяли бы нашим заказчикам совершать следующие шаги в экономии трудозатрат специалистов, автоматизации процессов и, конечно же, получении преимущества в бесконечной гонке со злоумышленниками.

Так был задуман и выпущен в свет первый из наших продуктов для раннего обнаружения угроз – R-Vision TIP, который до сих пор не имеет полноценных аналогов на российском рынке. Продукт предназначен для работы с данными TI, собранными от поставщиков и сгенерированными самостоятельно. В зависимости от количества каналов (фидов), на которые подписывается заказчик, число поступающих индикаторов компрометации может составлять миллионы. Понятно, что ни одна команда с обработкой такого объема данных не справится. И тут приходят на помощь инструменты автоматизации R-Vision TIP, позволяющие снизить трудозатраты в разы. Продукт эффективен даже при первоначальном отсутствии у заказчика аналитиков SOC, специализирующихся на TI, так как выступает источником обогащения по индикаторам компрометации карточек инцидентов в IRP.

TIP можно использовать не только как репозиторий и витрину всех данных TI, но и для дополнительного выявления инцидентов за счет автоматического поиска в инфраструктуре интересующих заказчика индикаторов компрометации. Это применимо за счет отделяемых сенсоров TIP как в централизованном внутреннем SOC, когда заказчик строит его только для себя, так и в распределенных или внешних SOC, которые могут обслуживать свою группу компаний, когда сенсоры могут разворачиваться у внешних коммерческих заказчиков.

Решения IRP и TIP в паре дают возможность перевести SOC на следующий этап развития. Но чем больше становится SOC и поток обрабатываемых им событий, тем чаще компании сталкиваются с тем, что очень сложно достаточно качественно настроить правила корреляции для выявления инцидентов. В итоге большая часть команды занимается бесконечным тюнингом правил в SIEM и разбором False Positive (ложных срабатываний. – Прим. ред.). Такая рутинная работа может сильно демотивировать команду, которую и так нелегко набрать в сфере ИБ. И для бизнеса это дополнительная трата ресурсов.

В качестве решения этой проблемы мы предложили рынку продукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машинного обучения – "программных экспертов". Они выявляют отклонения в поведении всех объектов инфраструктуры, информация о которых содержится в журналах событий, и автоматически дообучаются. Пограничное использование технологий дает синергетический эффект. С одной стороны, система работает при минимальном человеческом вмешательстве за счет автоматического выявления аномалий в поведении инфраструктуры. С другой стороны, у пользователя всегда есть возможность добавить собственное правило. Таким образом, система позволяет выявить инциденты на самой ранней стадии независимо от интенсивности атаки, реализованной за считанные минуты или растянутой во времени, когда злоумышленник может вернуться к скомпрометированному узлу или УЗ намного позже. Благодаря работе с различными источниками событий SENSE легко применим как в SOC, где внедрена SIEM-система, так и в компаниях, где процесс Log Management построен без использования SIEM.

Со временем, когда SOC заказчика "обрастает" десятком различных решений, возникает вопрос: а как теперь этим, уже ставшим практически самостоятельным живым организмом, SOC управлять? Естественно, у каждой системы есть своя консоль управления и практически у каждой есть различные средства контроля показателей эффективности, как графические, так и в виде отчетов. Но как понять, действительно ли весь SOC работает в соответствии с требованиями компании и защищен ли он сам всеми необходимыми средствами?

Отличным решением для такого верхнеуровневого контроля являются системы класса SGRC: они позволяют видеть, какие требования к функционированию SOC выполняются, в какой степени и по каким из них есть замечания. Помимо использующихся для этого аудитов, SGRC обладает функциональностью оценки рисков, позволяющих смотреть в будущее, оценивать, каким образом необходимо развивать систему защиты и как это сделать максимально эффективно. Различные метрики позволят отобразить общее состояние и качество работы SOC в цифрах.

Мы и наши партнеры шаг за шагом строим и развиваем SOC заказчиков с помощью технологий R-Vision. Несмотря на различные отрасли и масштабы проектов, зачастую мы сталкиваемся со схожими задачами. Одна из самых распространенных – построение SOC для группы компаний. Позволяют ли используемые решения применять одну инсталляцию для работы с данными нескольких юридических лиц? В этом нашим заказчикам помогает режим multitenancy (мультиарендности), дающий возможность еще "на входе" в систему автоматически разделить данные по организациям. В этом случае, если SOC предоставляет подключенным организациям доступ к системе, каждая из них видит только свои данные, а SOC – данные всех подключенных организаций с указанием, к какой организации относится каждая сущность, заведенная в системе.

Еще одна необходимая для SOC возможность – гибкая настройка используемых решений "под себя", но так, чтобы это не требовало больших трудозатрат. Конечно, это зависит от принципов разработки продуктов. Когда системы изначально разрабатываются как конструктор, позволяющий гибко настроить необходимые поля, карточки и целые разделы под конкретного пользователя, не прибегая к помощи разработчика и без написания какого-либо кода, это сильно облегчает администрирование всей системы. Сюда же относится журналирование изменений всех сущностей в системе, возможность настройки плейбуков из графической формы и масштабирование их на такое количество подключенных организаций, которому это необходимо.

Раз уж мы заговорили о средствах контроля метрик, большое преимущество этих систем в том, что IRP и SGRC работают на одной программной платформе, это позволяет выводить статистику и графики в одном интерфейсе.

Все продукты R-Vision складываются в цельную прозрачную экосистему, где каждый продукт занимает свое место для решения определенных задач. Наши продукты можно использовать как для автоматизации работы SOC, так и для контроля защищенности всей организации и самого SOC как еще одного элемента инфраструктуры организации. Например, SENSE и TIP помогут выявить инциденты ИБ, произошедшие и внутри SOC, IRP – выстроить работу по ним и своевременно отреагировать. SGRC тоже имеет два вектора использования, как для предоставления всей организации услуги проведения аудитов силами SOC, так и в качестве инструмента верхнеуровневого контроля информационной безопасности для самого SOC.

Уверены, что и дальше технологии SOC и информационной безопасности будут развиваться, как и продукты R-Vision.

Темы:SOCIRPЖурнал "Информационная безопасность" №5, 2021
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...