SOC CyberART: сделать недопустимые события невозможными

Обычно SOC предлагает меню сервисов, из которого заказчику предлагается самостоятельно выбрать тот или иной комплект услуг. Это не совсем корректно, поскольку не дает возможности связать получаемые услуги с бизнес-целями самого заказчика. CyberART придерживается другого подхода: с самого начала вместе с заказчиком определяются так называемые недопустимые события, то есть действительно критичные для компании, которые могут нанести серьезный ущерб как операционной деятельности, так и стратегическим целям, а иногда даже привести к краху компании.

Автор: Владимир Дмитриев, руководитель центра предотвращения киберугроз CyberART ГК Innostage

Далее все недопустимые события рассматриваются в контексте инфраструктуры, определяя системы, на которых потенциальный злоумышленник может реализовать их. Аналитики CyberART выявляют сегменты, в которых находятся эти системы, таким образом строя потенциальные сценарии реализации недопустимых событий.

Затем в дело вступает "красная" команда CyberART, одной из основных задач которой является проверка текущего уровня защиты. Проверяется собственная инфраструктура заказчика, ее текущее состояние, устойчивость к угрозам, имеющиеся уязвимости, исследуется периметр, через который потенциальный злоумышленник может проникнуть в систему. Исходя из результатов проверки настраивается сервис мониторинга на уровне инфраструктуры, объектов, сети, бизнес-приложений и т.д.

В дальнейшем недопустимые события исключаются соответствующими технологиями, работами и экспертизой специалистов CyberART. Данный подход основан на концепции практической безопасности стратегического партнера ГК Innostage – компании Positive Technologies.

CyberART предлагает разные модели взаимодействия с SOC:

1. Если у заказчика нет собственной службы ИБ, то CyberART работает как внешний SOC.
2. Довольно часто встречаются модели, когда специалисты службы информационной безопасности на стороне заказчика выполняют оговоренный ряд задач. Мы стараемся развивать гибридные форматы, предоставляя при этом услуги SOC как классический сервис-провайдер.
3. Самый распространенный формат – это построение центров SOC на стороне заказчика. Как правило, крупный бизнес стремится иметь такую службу в собственной структуре. В этой модели мы решаем задачи разработки архитектуры, внедрения средств защиты и последующей их эксплуатации. По мере появления у заказчика собственных специалистов мы передаем им опыт, экспертизу, знания, обучаем, поддерживаем и постепенно перемещаемся на вторую и третью линии.

SOC CyberART технологически во многом основывается на решениях своего стратегического партнера – компании Positive Technologies. Используются также и доработанные нашей командой системы на базе продуктов Open Source, включая специализированные утилиты для киберзащиты, стэк технологий больших данных и др. Для того чтобы связать все продукты и процессы в единое целое, в ядре SOC CyberART используется собственная платформа реагирования на инциденты ИБ Innostage IRP [1].

Защита технологического сегмента

Во многих отраслях недопустимые события, как правило, должны быть исключены в первую очередь на производстве. Стоит отметить, что в зарубежной практике разделены понятия ИТ-SOC и ОТ-SOC, они смотрят на корпоративный и технологический сегмент соответственно. Однако опыт показывает, что такое разделение не оптимально, поскольку технологии и там, и там используются одни и те же, тактики и техники злоумышленников во многом совпадают, разве только цели различаются. С учетом этого в CyberART есть команды аналитиков, которые специализируются на защите технологического сегмента, и есть команды, которые специализируются на корпоративных сетях. При этом они обмениваются знаниями и умением делать недопустимые события невозможными.

Ни одна атака не происходит мгновенно, она, как правило, проходит стадии разведки, закрепления, проникновения, продвижения, и только потом происходит целенаправленное воздействие. В рамках нашего подхода о недопустимости неприемлемых событий ИБ мы стремимся сократить количество точек возможного проникновения в защищаемую систему. Для этого увеличивается число шагов от периметра до целевой системы, то есть возрастает сложность возможной атаки.

Технически подключить к SOC можно любую инфраструктуру. Но в тривиальном случае это ничего не даст, кроме потока событий и уведомлений, не приводящего к какому-либо полезному результату. Поэтому не любую инфраструктуру можно подключить к SOC эффективно, и могут потребоваться определенные работы по ее трансформации.

Как правило, у заказчика не бывает много недопустимых событий и все они локализуются на известных целевых системах. В этом случае SOC может сконцентрироваться на контроле и защите именно этих целевых систем. Иными словами, если у заказчика есть филиальные сети от Кореи до Карелии, но при этом руководство определяет первоочередной задачей защиту от определенных событий только в значимых системах, то можно сконцентрироваться на защите именно данных систем, не "размазывая" функциональность SOC на всю инфраструктуру. В противном случае может получиться долго, дорого и без должного уровня качества. Если заказчик знает, что конкретно он хочет защитить, то получает возможность выделить бюджет именно на защиту необходимых систем, не ввязываясь в подключение тысяч источников во внутреннюю или внешнюю SIEM.

Рис. Изменение целеполагания в ИБ

Для совершенствования внутренних процессов SOC CyberART использует три инструмента:

1. Threat Hunting – выявление новых угроз у заказчиков.
2. Полевые киберучения, в том числе на киберполигонах, например на таких, как The Standoff, в результате которых появляется новая информация о подходах атакующих, выявленных уязвимостях и используемых инструментах. Аналитики CyberART разбирают полученную информацию и затем используют ее на реальных объектах.
3. Threat Intelligence – сбор данных о киберугрозах из закрытых и открытых источников. Аналитики собирают новую информацию о тактике атак, известных брешах и уязвимостях, инструментарии и применяют эти знания в рамках нашей работы.

Три типовые ошибки при взаимодействии с SOC

Опыт CyberART подсказывает, что существуют три распространенные проблемы при взаимодействии заказчика с внешними SOC.

1. Заказчик должен изначально быть готовым, что использование внешнего SOC обязательно потребует значительных усилий с его, заказчика, стороны. Чтобы SOC был эффективным, требуется выстраивание хорошего взаимодействия и с бизнес-пользователями, и с функциональными, и с ИТ, и со службами безопасности. Единого простого рецепта для повышения эффективности этих коммуникаций нет, и важно не забывать, что даже в случае использования таких высокотехнологичных услуг в итоге всегда люди работают с людьми.
2. SOC не должен восприниматься как просто служба оповещения о нештатных ситуациях. Если SOC начинает считать, что его работа ограничивается только отправкой тревожного сообщения заказчику, его деятельность неэффективна. Цель SOC заключается в том, чтобы вместе с заказчиком дойти до корня возникающих проблем и помочь ему и в аспекте реагирования. Это кропотливая работа с обеих сторон, включающая в том числе тренировки службы заказчиков для повышения готовности к поступающей информации и запросам от SOC. SOC должен стать ресурсом, экспертизой и помощью заказчику в деле защиты от киберугроз.
3. SOC – не волшебная пилюля, которая защитит всегда и от всего. Неправильное целеполагание со стороны заказчика может не позволить SOC сконцентрироваться на действительно важных для него задачах. Заказчик должен четко определить те самые недопустимые события, которые SOC должен предотвращать.

Вовлечение топ-менеджмента

Как объяснить топ-менеджменту, зачем организации нужен SOC и почему за это нужно платить? Разумеется, отчеты с техническими метриками о количестве поступивших в систему событий, отработанных правилах, временных характеристиках – все это бизнесу неинтересно ни в режиме реального времени, ни постфактум. Для коммуникации с топ-менеджментом как раз прекрасно подходит практическая концепция недопустимых событий. Она позволяет SOC говорить на языке бизнеса: для вас выделены конкретные недопустимые события, наступление которых чревато финансовыми потерями, остановкой производства, репутационными издержками. И SOC в этой концепции занимается не просто мониторингом, а именно предотвращением киберугроз.

Формы представления информации для руководства заказчика могут быть различными, они меняются от компании к компании, от отрасли к отрасли и совсем не обязательно должны быть эстетически приятными. Достаточно доступно рассказать бизнесу про риски и реализацию функции предотвращения того, что действительно для него недопустимо.

Что ж, рассмотрим более конкретную ситуацию: прошел очередной год использования SOC, за который не произошло ни одного инцидента. Как в этих условиях обосновать топ-менеджменту заказчика целесообразность дальнейшего использования SOC? Как доказать, что недопустимое для заказчика на самом деле невозможно? На помощь приходят регулярные киберучения, в рамках которых привлекаются независимые команды атакующих. Таким способом демонстрируется, что SOC действительно способен обнаруживать потенциальные атаки, а также блокировать действия атакующих до того, как они дошли до целевой системы и смогли реализовать неприемлемое.

Но мы пошли еще дальше, предусмотрев опцию в контракте на обслуживание, активирующуюся в случае, если за период не произошло атак. Дело в том, что часть стоимости сервиса закладывается как раз на активную фазу противодействия, в которой наши аналитики занимаются разбором и реагированием в усиленном режиме. Если подобных атак за время оказания сервиса не зафиксировано, мы можем вернуть часть стоимости сервиса либо в виде снижения суммы счета, либо в форме зачета оплаты за будущие периоды. Это честно и всегда прекрасно воспринимается топ-менеджментом.

Заключение

К сожалению, часто в конкурсах заказчики, исходя из сложившейся практики, начинают требовать те параметры, которые на самом деле им не нужны: реакцию на инцидент в течение 20–30 мин., поток в 10 тыс. событий в секунду, предоставления 97% доступности сервиса. Да, конечно, все это в конечном счете имеет значение, но это лишь технические параметры, которые не отвечают на главный вопрос: а зачем, собственно, SOC нужен?

Рынок ждет следующий шаг в развитии концепции SOC, когда сервис станут выбирать не по численным характеристикам, а по понятной пользе – защите собственных объектов от недопустимых событий. Мы преследуем цель исключить реализацию недопустимых событий и киберрисков за счет создания центра предотвращения киберугроз, под который мы трансформируем наш SOC. Он решает главную потребность заказчиков – недопущение рисков и бесперебойную работу бизнеса.

1. https://www.itsec.ru/articles/soar-i-problema-racionalnogo-ispolzovaniya-srzi