Оценка зрелости центров мониторинга

Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий.

При его неверном выполнении анализе событий последующие действия с инцидентом в рамках SOC могут усугубить ситуацию и вместо предотвращения кибератаки на ранней стадии привести к более серьезному ущербу для бизнеса. От чего же зависит эффективность анализа событий?

Факторы, определяющие качество и скорость

BI.ZONE TDR ежедневно обрабатывает более 300 тыс. сырых событий кибербезопасности в секунду и за 2024 г. выявил более 13 тыс. инцидентов. У нас накопился обширный опыт анализа событий, поэтому мы можем поделиться практическими советами.Качество и скорость анализа инцидента зависят от того, насколько компетентны сотрудники центра мониторинга и доступны ли им профильные инструменты SOC, в том числе для сбора дополнительного контекста.

На компетенциях персонала не останавливаемся – этой теме будет посвящен один из следующих материалов. Поговорим об инструментах для сбора дополнительного контекста. Без него невозможно определить, насколько достоверно сработало правило обнаружения, какова природа выявленной активности, как она соотносится с актуальным ландшафтом угроз и какое влияние оказывает на бизнес-процессы.

Применение IRP/SOAR

Поток событий постоянно растет, и нам важно выполнять их анализ без потери качества. Для этого мы применяем средство класса SOAR (BI.ZONE SOAR). Это решение помогает выстраивать работу с событиями и инцидентами по единому алгоритму, избегать ошибок персонала, реализовывать сложные многосоставные задачи, получать автоматизированный контроль шагов (метрики) и т. д. Кроме того, SOAR позволяет аккумулировать информацию об активах и обогащать события и инциденты данными. В итоге аналитик SOC оперативно получает дополнительный контекст о событии или инциденте.

Приведем пример. На межсетевом экране обнаружено сканирование внутри сети – как правило, в SOC создается алерт, который содержит информацию о сетевых соединениях. Но этой информации может быть недостаточно, чтобы оперативно идентифицировать хост – инициатор сканирования. Благодаря обогащению в SOAR в карточку инцидента автоматически добавилась информация о VPN-подсети, которой принадлежит хост, а также об активном пользователе, которому этот адрес был выдан. В итоге сразу видно, в отношении какого сотрудника и актива осуществлять реагирование. Аналитик не тратит время на ручной сбор информации – это облегчает и ускоряет процесс.

Использование EDR

Чтобы идентифицировать инцидент среди событий безопасности, мы собираем дополнительный контекст с помощью специализированных средств. В арсенале SOC могут быть различные утилиты для сбора криминалистических артефактов (системные события, дампы оперативной памяти, журналы приложений и т. д.), помогающие детально изучить активность. Собирать необходимые данные также позволяет решение класса EDR (BI.ZONE EDR). Если оно используется в инфраструктуре компании, то даже внешний SOC по согласованию с клиентом сможет вести сбор нужных данных без привлечения сотрудников организации. Это значительно ускоряет процесс анализа активности.

В кейсе из нашей практики EDR-решение выявило событие, связанное с запуском подозрительного файла, который собирал информацию о системе. Нередко такое событие говорит о попытке компрометации хоста, но возможны варианты. Так, причиной активности может быть легитимный скрипт сотрудников ИТ-отдела, используемый для инвентаризации. С помощью EDR аналитики провели углубленный анализ: детально изучили дельта-окрестность события по поступающей телеметрии, а подозрительный файл выгрузили в SOC на анализ. В итоге удалось однозначно установить, что активность была вредоносной, а хост пытались скомпрометировать.

Данные от киберразведки

Киберразведданные позволяют превентивно реагировать на угрозы благодаря дополнительному контексту, например оперативно атрибутировать атакующего и соотнести его с кластером активности. А знание тактик, техник, процедур и инструментов злоумышленников позволяет быстро принимать решения о том, как реагировать в рамках инцидента.

Рассмотрим пример: на хосте сработал антивирус на подозрительное вложение в письме. Но лишь по этому событию трудно понять, что это за письмо и насколько можно верить антивирусу. Обогащение событий киберразведданными помогло оперативно обнаружить фишинговую атаку, поскольку хеш вложенного файла был в базе индикаторов компрометации на портале киберразведки.

Заключение

Ключевая задача аналитика SOC при анализе событий – установить правильный контекст активности. Перечисленные в статье инструменты и процессы позволяют сделать это точно и быстро. Они необходимы для качественного обнаружения угроз и своевременного реагирования.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjc7fgBQ

Четвертая статья цикла публикаций о ключевых аспектах функционирования SOC посвящена реагированию на инциденты и их расследованию. Автор подготовил чек-лист, который поможет вам оценить свою готовность к реагированию.

Готовим сани летом

Аналитики внутреннего SOC сталкиваются с инцидентами не так часто, как специалисты коммерческих центров мониторинга, которые работают с разными клиентами. Поэтому инцидент нередко оказывается для первых стрессовой ситуацией. Допущенные ошибки стоят времени и снижают шансы на реагирование без последствий.

Важно заранее проанализировать, насколько компания готова к реагированию. Исходя из полученной оценки, можно скорректировать процессы в собственном SOC или порядок действий при работе с внешним провайдером.

Компания BI.ZONE предлагает бесплатный инструмент для самостоятельной оценки эффективности SOC1. Тестирование позволяет оценить уровень зрелости центра мониторинга по семи основным направлениям его деятельности. После прохождения вы получите подробный отчет с практическими рекомендациями.

1. Знают ли сотрудники SOC, что делать при возникновении инцидента?

План реагирования помогает быстрее принимать решения и избегать ошибок, несмотря на стрессовую ситуацию. Он позволит оперативно восстановить работу бизнеса, даже когда компания перестает контролировать инфраструктуру.

В первую очередь нужно описать:

• процесс реагирования;
• ролевые модели сотрудников разных подразделений, которых нужно привлечь;
• уровни ответственности;
• каналы коммуникаций, в том числе резервные в случае сбоя.

2. Применяют ли сотрудники SOC плейбуки для основных типов инцидентов?

Разные типы инцидентов требуют разных действий. Детально опишите процедуры для основных типов инцидентов. Это избавит от лишних размышлений в стрессовой ситуации, позволит сделать реагирование четким, слаженным и продуманным, а также избежать ошибок.

3. Владеет ли персонал SOC дополнительными экспертными навыками, чтобы реагировать на масштабные инциденты и расследовать их?

При масштабных инцидентах часто применяют методы форензики. Они помогают собрать артефакты в нетронутом виде, чтобы восстановить цепочку событий. Могут быть также полезны знания в реверс-инжиниринге, чтобы разобраться с функциональностью использованного при атаке вредоносного ПО или даже обнаружить ошибки в его реализации. Это позволит, например, восстановить зашифрованные файлы. При отсутствии таких навыков заранее предусмотрите возможность привлечь сторонних экспертов, например из коммерческого SOC.

4. Используют ли сотрудники SOC решение класса EDR?

EDR позволяет искать дополнительные артефакты на конечных точках, изолировать устройство, пока угрозу анализируют, проверять его на вредоносную активность и т. д. В отсутствие EDR некоторые задачи вообще не получится решить или придется использовать не предназначенные для этого инструменты (например, инструменты централизованного администрирования ИТ) и разрабатывать под задачи различные скрипты.

5. Знают ли сотрудники SOC, какие системы в масштабе всей инфраструктуры доступны для реагирования и как в них действовать?

В рамках реагирования не все может выполняться на уровне конечных точек – часто требуются действия на уровне инфраструктуры: блокировка учетных записей, изоляция на уровне периметра или целых сегментов и т. д. Нужно заранее идентифицировать все доступные системы и прописать действия в них в момент инцидента. Заявки на выполнение операций должны выполняться оперативно, а не как стандартные заявки на текущие изменения. Поэтому важно заранее отработать взаимодействие со смежными подразделениями.

В идеале все сторонние системы должны быть интегрированы с SOAR-решением (например, BI.ZONE SOAR).

6. Анализируют ли сотрудники SOC результаты реагирования регулярно и документируете ли выводы?

Действия персонала должны сопровождаться постанализом. Документируйте выводы: что привело к возникновению инцидента конкретного типа, как и с помощью чего были выявлены действия злоумышленника, что предприняли для устранения. Впоследствии опирайтесь на предыдущий опыт, чтобы повысить качество мониторинга и реагирования.

7. Проводятся ли в организации практические учения по реагированию минимум раз в год?

Киберучения позволяют отработать реагирование, увидеть проблемы в конфигурациях СЗИ и в работе сотрудников. Проводите учения не менее раза в год. При подготовке сценариев киберучений учитывайте ландшафт угроз, актуальный для вашей компании и отрасли. Получать такие данные можно в открытых источниках или через коммерческие порталы киберразведки (например, BI.ZONE Threat Intelligence).

Выводы

Правильно выстроенные процессы реагирования – один из ключевых факторов эффективности SOC. Вне зависимости от того, пользуетесь вы услугами внешнего провайдера или построили собственный SOC, от грамотных действий ваших сотрудников будет зависеть успешность отражения кибератаки.

1. https://bi.zone/promo/samootsenka-zrelosti-tsentrov-monitoringa 

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcw8d8A

Шестая статья цикла публикаций посвящена управлению командой на примере дежурной смены. Работа в ней связана с регулярным выполнением однотипных задач, что в условиях высокой нагрузки может приводить к пропуску инцидентов из-за снижения концентрации, а также к демотивации и выгоранию аналитиков. Как же этого не допустить?

Распределение нагрузки

Наш отдел оперативного обнаружения киберугроз в классической модели SOC совмещает всю функциональность L1 и часть функций L2. Но чтобы не усложнять, дальше будем говорить только об L1 SOC. Основные обязанности – круглосуточный мониторинг алертов, оповещение об инцидентах, выдача первичных рекомендаций и первичное реагирование.

Чтобы равномерно распределить нагрузку и обеспечить своевременное реагирование, мы ввели разделение на роли: аналитик в смене, старший аналитик, ответственный смены.

Аналитик в смене – основной ресурс для обработки алертов. Дополнительно в смене среди аналитиков мы выделили роли для работы с запросами клиентов: взаимодействие по спецпроектам, прием звонков, обработка ответов заказчиков по инцидентам.

Старший аналитик также обрабатывает ответы заказчиков по инцидентам, но в приоритете у него решение технических или сложных вопросов, реализация исключений в правилах, постанализ инцидентов, а также индивидуальные задачи, направленные на улучшение работы L1 SOC.

Ответственный смены управляет ее работой и следит за процессами. На нем контроль нагрузки, распределение аналитиков по дополнительным ролям, эскалация технических проблем. Каждый аналитик грейда Middle периодически выполняет роль ответственного. Так обеспечивается ротация ролей внутри смены.

Таким образом, внутри каждой смены образуется полноценная команда с четким распределением зон ответственности: у каждого аналитика есть понятные роль и требования к выполнению задач на ближайшую смену.

Оптимальное время работы

Опыт первых лет функционирования нашего SOC показал, что работа в режиме "два через два" (12 часов с графиком "день–ночь–отсыпной–выходной") негативно сказывается на производительности специалистов.

Мы оптимизировали график смен благодаря наличию команд в Москве, Казани и Красноярске. Разница в 4 часа позволила нам организовать рабочую неделю аналитиков из пяти 8-часовых смен и двух выходных. В Москве и Казани смены с 9:00 до 18:00 и с 18:00 до 3:00, а в Красноярске – с 7:00 до 16:00 и с 13:00 до 22:00 по местному времени. Судя по обратной связи от аналитиков, такой график переносится лучше, чем "два через два". Более комфортные условия положительно влияют на качество работы и эмоциональное состояние.

А чтобы аналитики не выгорали в потоке алертов, обычные смены перемежаются со сменами развития. В это время аналитики занимаются совершенствованием технических навыков. Рабочая неделя состоит из четырех обычных смен и одной смены развития.

Распределенная структура команды

Один руководитель приходится на группу численностью до пятнадцати аналитиков. Такое соотношение оказалось оптимальным. Руководитель в этом случае способен эффективно работать как с каждым аналитиком в отдельности, так и на уровне групповых активностей.

Важно, чтобы в рамках группы проходили очные встречи – как неформальные, так и связанные с работой. Это влияет на сплоченность команды, укрепляет доверие, позволяет отдохнуть от регулярных задач. Поэтому в группу мы объединяем аналитиков в пределах одной локации.

Поддержка и менторство

Руководитель группы регулярно проводит встречи один на один с каждым аналитиком. Они позволяют вовремя реагировать на проблемы, например выявлять выгорание на ранней стадии, и обмениваться обратной связью. Это важный инструмент взаимодействия, который способствует профессиональному и личностному развитию сотрудника. У руководителей групп есть встречи один на один с руководителем отдела. Последний периодически также проводит личные встречи с аналитиками, чтобы поддерживать прозрачные взаимоотношения в отделе и получать обратную связь о руководителях групп.

Еще одна регулярная активность – внутренние семинары, на которых аналитики прокачивают навыки публичных выступлений и делятся опытом в расследовании интересных инцидентов, разбирают новые или сложные правила детектирования. На семинарах также обсуждаются ошибки, особенности внутренних процессов, сложные ситуации при обработке ответов клиентов.

Понятное и прозрачное развитие карьеры

Организовать прозрачный процесс помогают карьерные треки, которые состоят из матрицы компетенций, базы знаний, критериев роста, правил перехода. Мы составляем индивидуальный план развития (ИПР) для каждого аналитика, в который закладываем проработку проседающих зон компетенции, а также получение навыков из направления, в которое сотрудник хотел бы в будущем перейти. Затем определяем, через какое время он должен достичь целей ИПР. На промежуточных встречах руководитель и аналитик фиксируют результаты и при необходимости корректируют процесс. По итогам выполнения ИПР мы подводим итоги и принимаем решение о повышении или переводе.

Заключение

Одна из основ любого SOC – это люди. В управленческих решениях мы концентрируемся на улучшениях для аналитиков: создаем комфортную среду для достижения целей, ценим доверие, открытость и ответственность. Такой подход позволяет выстраивать эффективные процессы в L1 SOC и успешно решать задачи, которые стоят перед командой.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjemYrib