Контакты
Подписка 2025
Статьи по информационной безопасности

SOC для защиты бизнес-процессов

Андрей Дугин, 01/12/23

Рассказывая о возможностях своих SOC, большинство сервис-провайдеров фокусируются на технической стороне вопроса. В результате у многих складывается мнение, что область применения SOC – исключительно инфраструктура и мониторить можно только события с систем защиты или операционной системы. Отчасти такое мнение обусловлено и тем, что SIEM – технологическое ядро SOC имеет готовые интеграционные модули, в основном для сбора информации с операционных систем, сетевых сервисов и средств защиты информации. Однако у центров мониторинга есть возможность защищать бизнес не только путем выявления и реагирования на кибератаки, но и путем защиты бизнес-процессов.

Автор: Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED

Контроль безопасности бизнес-процессов с помощью SOC

Любой бизнес-процесс, который реализован в информационной системе, может быть описан на языке SOC. Если говорить в общем виде, то любой процесс имеет данные на вход, последовательность действий и данные на выход (результат). Все эти этапы имеют свои следы в ИТ-системах. Это значит, что SOC может отслеживать соответствующие логи и выявлять аномалии, то есть фактически вмешательства внутреннего или внешнего злоумышленника в процесс или нарушение его нормального функционирования по иным причинам. Таким образом, SOC может мониторить не только стандартные события информационной безопасности, но и отклонения от нормы в логах, описывающих ход бизнес-процесса. Это позволяет обнаружить и обезвредить на ранней стадии инциденты, не всегда связанные с кибербезопасностью напрямую, но влияющие на бизнес и грозящие ему финансовым ущербом.

В качестве наглядного примера возьмем процесс предоставления сотруднику доступа к информационной системе. В норме процесс имеет следующие этапы:

  1. Возникновение бизнес-потребности.
  2. Определение необходимого уровня доступа.
  3. Создание заявки.
  4. Согласование заявки.
  5. Исполнение заявки.
  6. Результат: доступ получен.
  7. Использование информационной системы.

Аномалии процесса предоставления доступа в информационную систему, которые можно рассматривать как инциденты ИБ, – это, например, получение доступа без оформленной заявки или назначение уровня доступа, не соответствующего запрошенному. Соответственно, правильная последовательность этапов процесса может обрабатываться метриками времени, количества и т.п., а отклонения от нормы будут приравниваться к инцидентам ИБ разной степени критичности.

Возьмем другой пример, значимый для компаний, чей бизнес связан с электронной коммерцией. В 2021 г. человек купил через мобильное приложение ЦУМ 19 наименований товаров ценой от 19 до 129 тыс. руб. В этот день из-за технического сбоя цены на товары в интернет-магазине отражались некорректно – в сотни раз ниже их реальной стоимости. В результате клиент приобрел вещи в 846 раз дешевле, чем магазин готов был их продать. ЦУМ отказался выдать заказ покупателю, и тот подал иск против магазина. Пройдя несколько инстанций, дело было передано в Верховный суд РФ. Он встал на сторону клиента, поскольку в силу действующего законодательства покупатель имеет право на получение товара по цене, заявленной в интернет-заказе.

Если нелегитимное изменение цен на сайте или в мобильном приложении ретейлера было связано не со взломом, а, скажем, с действиями сотрудника магазина, SOC не смог бы выявить инцидент. Однако если бы изменение цен на сайте и в мобильном приложении было заведено в мониторинг как бизнес-процесс, SOC бы своевременно уведомил об изменении цены на сайте без предшествующих в норме действий в информационных системах. В этом примере "красным флагом" могло стать отсутствие задокументированного в ИТ-системах прохождения этапов согласования снижения цен, подозрительный IP-адрес хоста, который инициирует изменения, или изменение цен пользователем, не указанным в описании бизнес-процесса.

Требования к бизнес-процессу для постановки его на мониторинг SOC

Для того чтобы завести бизнес-процесс на контроль в SOC, необходимо соблюдать несколько условий. Прежде всего процесс должен быть прогнозируемым и систематизируемым, то есть всегда включать одни и те же этапы в одной и той же последовательности. К таким процессам относятся, например, закупочные процедуры. Разумеется, SOC может контролировать только те этапы бизнес-процессов, которые отражаются в информационных системах и генерируют логи достаточной полноты и интерпретируемости. Очень сложно с высокой точностью определять, что является инцидентом ИБ бизнес-процесса в SOC, если не все информационные системы, задействованные в процессе, логируют действия на необходимом уровне.

Если эти условия соблюдаются, необходимо описать для аналитиков SOC все особенности процесса, признаки нормы и аномалий. После этого можно будет сгенерировать тестовые шаги нормы и аномалий, которые рассматриваются как инциденты ИБ.

Реализация контролей безопасности бизнес-процессов с помощью SOC

Основная сложность состоит в том, что при контроле бизнес-процессов с помощью SOC огромная часть логов собирается на уровне приложений. Выполнять интеграцию "из коробки" для всего существующего ПО в корпоративном сегменте производителю проблематично, поэтому интеграционные модули готовятся, исходя из популярности тех или иных приложений в корпоративном секторе либо по запросу крупных заказчиков. Остальное придется выполнять MSSP-провайдеру, интегратору или самостоятельно заказчику.

Интегрировать приложения с SIEM не сложно, если оно дает логи разумной полноты и синтаксиса на каждый тип событий, который можно использовать для определения признака инцидента ИБ.

ris1-Dec-01-2023-08-35-45-5347-AM

Генерируемые на каждом уровне события необходимо собирать, хранить и обрабатывать. Обработка событий представляет из себя разнообразные действия, от фильтрации и парсинга до применения метрик и алгоритмов корреляции. При этом метрики могут по сложности варьироваться от банального подсчета интенсивности генерируемых событий до выведения интегральных показателей уровня защищенности компании. Алгоритмы так же разнообразны, в зависимости от задач и используемых технологий, начиная с grep pattern и заканчивая ретроспективным анализом, предиктивной аналитикой и т. п.

Помимо метода сбора информации в SIEM, важно определить частоту проверки, уровень критичности для тех или иных аномалий, который будут считаться инцидентом, круг лиц, оповещаемых об инциденте, и каналы коммуникации с ними.

Результаты применения метрик и алгоритмов к собираемым данным формируют показатели либо инциденты ИБ, которые дают специалистам и руководству основания для принятия решений.

Таким образом, если есть необходимость контролировать тот или иной бизнес-процесс, SOC с высокой вероятностью сможет это сделать, если предоставить аналитикам описание процесса, его реализацию в информационных системах, соответствующее логирование и требования к генерации инцидентов ИБ – описание легитимный показателей и аномалий.

ris2-Dec-01-2023-08-35-14-6876-AM

Выводы

Кибербезопасность – это в первую очередь функция бизнеса, обеспечивающая его непрерывность и защиту от финансового или репутационного ущерба, который могут нанести кибератаки. Поэтому и SOC должен мыслить категориями бизнеса и расширять свою сферу контроля от защиты непосредственно ИТ-инфраструктуры до защиты критически важных бизнес-процессов.
Темы:SOCМТС REDЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • О роли SOC, EDR и XDR на пути к оптимальной безопасности
    Артем Кириллин, Заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
    Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"
    Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"