Бизнес-ландшафт меняется с развитием таких технологий, как мобильные и облачные решения, большие данные, Интернет вещей. Вместе с ними эволюционируют и киберугрозы. Злоумышленники используют новые методы, чтобы нарушить конфиденциальность, целостность и доступность информации и при этом избежать обнаружения, совершенствуют свои инструменты, ищут пути сокращения расходов и быстрой монетизации. Новая нормальность стимулирует цифровую трансформацию с ее потенциальными составляющими – искусственным интеллектом, автоматизацией и другими. Это открывает новые возможности для роста бизнеса, но также увеличивает и количество векторов для кибератак.
Автор: Александр Носарев, руководитель отдела систем мониторинга и реагирования группы компаний Angara
Все эти факторы требуют от организаций повышения киберустойчивости. Одним из ее важных элементов является направление Security Operations и SOC как его составляющая. SOC – это функциональная структура, созданная для обеспечения потребностей заказчиков, как внутренних, так и внешних, посредством предоставления необходимых услуг и сервисов, а также информации для анализа и принятия обоснованных решений в процессах обеспечения ИБ и управления рисками. Допустимо сказать, что SOC является нервной системой всего организма ИБ и по-своему оказывается связкой между кибербезопасностью (Cyber Security) и киберустойчивостью (Cyber Resilience), становясь центром информационных рисков. SOC даже можно назвать интегрированным операционным центром угроз (ITOC, Integrated Threat Operations Center).
Традиционный SOC имеет определенные системные слабости, избежать которых можно только за счет качественного изменения структуры и составляющих процесса управления инцидентами:
По мере роста зрелости SOC и при наличии соответствующих запросов со стороны бизнеса он может абсорбировать в себя следующие технологии.
Стоит выделить основные шаги на пути зрелости SOC, которые необходимо выполнить и внедрить в рамках всего направления Security Operations.
При построении и дальнейшей оценке качества работы SOC важно определить подходящую видимость сети и инфраструктуры клиента. Эффективность обнаружения угроз подразделениями SOC прямо пропорциональна их видимости в сети. Однако это может привести к исчерпанию возможностей производительности, если детектирующая логика и соответствующие инструменты не адаптированы должным образом. Количество контролируемых объектов информационной инфраструктуры играет важную роль в расширении видимости активностей в сети. Помимо информации о количестве событий, SOC получает доступ к картам топологии сети, которые описывают, как подключены различные устройства, и к карте активов в целом.
Чтобы действовать проактивно, SOC должен быть осведомлен об активах организации, в том числе и об их ценности. Эта оценка может строиться исходя из финансовых и операционных рисков. Здесь важно отметить, что без проведения регулярной оценки и анализа рисков в том или ином виде, с той или иной степенью детализации и результативности невозможно получать и актуализировать знания о контролируемой инфраструктуре, актуальных угрозах и допустимой стоимости применяемых контрмер. Важная часть ИБ – это управление уязвимостями. И с учетом того, что процесс их устранения и обновления ПО достаточно трудоемкий по ресурсам и времени, целесообразно корректировать эти приоритеты исходя из критичности находимых уязвимостей.
Направлений для увеличения глубины событийной видимости SOC сейчас достаточно много. Это и обогащение событий средствами XDR и других расширенных практик, и увеличение сетевой прозрачности средствами мониторинга сетевых аномалий (NBAD, Network Behavior Anomaly Detection). Для обогащения информации об инцидентах применяются различные фиды средствами платформ Cyber Threat Intelligence (CTI).
Объем доступных данных вынуждает подразделения SOC использовать автоматизированные инструменты. Системы оценки поведения пользователей и объектов (UEBA) применяют алгоритмы машинного обучения и статистический анализ для поиска отклонений в действиях, выполняемых людьми. Системы UEBA могут обнаруживать в том числе внутренние угрозы и учетные записи пользователей, контролируемые злоумышленниками. Кроме того, объединение SIEM и UEBA может быть полезным, поскольку позволяет организовать централизованную точку принятия решений.
Процессы SOC должны быть гибкими и постоянно развиваться с учетом текущих угроз. Их следует регулярно оптимизировать, чтобы SOC мог обрабатывать инциденты в короткие сроки с растущим качеством. Чтобы по-настоящему проверить возможности подразделения SOC, можно подумать о найме "красной" команды (Red Team). Ее функции заключаются в имитации полноценной кибератаки. Оценка "красной" команды похожа на тест на проникновение, но более обширна и охватывает все векторы атаки. Тщательное тестирование помогает сформировать единицу SOC и повысить качество плейбуков – инструкций по реагированию на инциденты, описывающих правильный порядок действий аналитиков SOC с самого начала обнаружения, четкие процессы эскалации. Их использование и оптимизация сокращают время отклика SOC на киберугрозу и, значит, степень ее негативного влияния.
Хотя многие инструменты помогают подразделениям SOC быстрее реагировать и обеспечивать лучшую видимость, люди по-прежнему являются наиболее важной частью SOC. Автоматизация повторяющихся задач не снижает значимости специалистов-аналитиков. Однако мотивировать сотрудников SOC достаточно сложно. Рабочие задачи специалистов нижнего уровня рутинны, что может привести к высокой текучке кадров, если отсутствуют перспективы карьерного роста. Квалифицированный аналитик SOC должен иметь обширные теоретические и практические знания об общей ИТ-инфраструктуре, включая сетевые устройства, устройства безопасности, протоколы, серверы и распространенные операционные системы. Кроме того, аналитики должны знать механику систем управления и обработки событий и тактики, техники и процедуры противников (TTP). Этим навыкам можно научиться в том числе с помощью тестирования на проникновение и редтиминга.
Поскольку угрозы становятся все более изощренными и могут за короткое время перерасти в крупномасштабные инциденты, киберзащита должна поддерживаться на всех стадиях рабочего процесса и строиться по многоуровневому принципу. Это обязывает подразделения SOC стать более гибкими и активными. В то же время они борются с огромными объемами данных и неуправляемыми рабочими нагрузками. Переход к более оперативной защите требует изменений в технологиях и процессах подразделения SOC.
При создании SOC организация уже должна иметь зрелую политику безопасности, которую она выполняет. SOC способен только дополнять программу безопасности, но не заменять ее. Подразделения SOC зависят от существующих технологий защиты, для блокирования обычных угроз и сбора данных с целью дальнейшего анализа.
Для повышения эффективности своей работы подразделения SOC должны использовать новые технологии, прежде всего с целью минимизации количества повторяющихся событий, которые необходимо анализировать вручную, увеличения качества их анализа и скорости реагирования на инциденты.
Так, на сегодняшний день Центр киберустойчивости группы компаний Angara включает следующие практики:
Некоторые средства реактивной защиты можно автоматизировать, но организация должна знать и осознавать свои риски в части ИБ и иметь качественную экспертизу. Возможно предоставление внешней экспертизы путем замещения функциональных ролей SecOps сотрудниками Центра киберустойчивости по различным моделям партнерского взаимодействия. У нас также есть опыт выполнения функций реагирования на подозрения на инциденты ИБ, которые направляет сторонний SOC.