-
30.09.2016

Security Operation Center: люди, процессы, технологии

В детстве уловка с монеткой на веревке, позволявшая бесплатно воспользоваться телефоном-автоматом, справедливо считалась невинной шалостью, дворовым весельем. Никому не приходило в голову всерьез задуматься о том, в какие цифры выливается совокупный ущерб от подобных развлечений. Спустя годы на смену монетке пришли «кибертерроризм», «кибершпионаж», «таргетированная атака», а незатейливый взломщик таксофонов уступил место хорошо организованной, структурированной и вооруженной самыми передовыми технологиями группе злоумышленников и киберпреступников, решающей задачи уже совсем иного уровня, начиная с личного финансового обогащения и заканчивая конкурентными и политическими войнами.

Современный набор киберугроз настолько обширен, а ущерб в случае их реализации так серьезен, что его попросту невозможно игнорировать. И если раньше российские компании в основном пугали западными сводками о хищениях и убытках, то сегодня далеко ходить за подобными примерами уже нет никакой надобности:

  • по данным глобального исследования тенденций информационной безопасности на 2016 год, проведенного PricewaterhouseCoopers, в 2015-м количество случаев кражи интеллектуальной собственности в России выросло в 2,8 раза по сравнению с 2014-м;
  • по данным компании Positive Technologies, приведенным в ежегодном отчете «Positive Research», в 76% исследованных систем выявлена возможность получения злоумышленником полного контроля над отдельными критически важными ресурсами. При этом в 35% систем такой уровень привилегий может быть получен от лица любого внешнего нарушителя;
  • по данным центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России, в период с 1 июня 2015-гопо 31 мая 2016-го злоумышленники пытались похитить общим счётом 2,87 млрд. рублей, из которых спасти удалось (предотвратить хищения) лишь 1,6 млрд. рублей.

Помимо явной угрозы безопасности информации свою роль играет также и финансовый кризис: отечественные компании все больше переходят от безопасности «бумажной» к безопасности реальной, когда бюджеты, которые владельцы бизнеса выделяют руководителям ИБ-служб, расходуются на средства, процессы, меры для обеспечения защищенности информационных активов с целью не только удовлетворить требования регуляторов, но и обеспечить реальную защиту от киберугроз и минимизировать потери от проведенных атак.

Наиболее показательным примером такого перехода является формирование центров операций по обеспечению безопасности (Security Operation Center, SOC), призванных выявлять ИБ-инциденты, проводить квалифицированный их анализ и давать соответствующую ответную реакцию.

Многие заказчики располагают большим парком разнообразных средств защиты, которые условно можно разделить на два типа: ограничительные (системы, жестко контролирующие ту или иную настройку, например доступ пользователей к информации) и активные (то есть системы, способные реагировать на изменения в инфраструктуре заказчика; примером здесь могут служить решения IDS, анализирующие поток трафика). При этом если для систем первого типа можно выстроить статичный процесс, написать регламенты и методики, то системы, анализирующие текущее состояние инфраструктуры, предполагают обязательное участие аналитика, который сможет правильно интерпретировать поступающие от них сигналы и провести расследование по каждому инциденту информационной безопасности.

Зачастую заказчики, которые обращаются к нам за услугой SOC, понимают необходимость и имеют отдельные части первого процесса (статичного ограничения тех или иных действий), но они совершенно не представляют себе, что нужно делать с предупреждениями от IDS-системы или с выявленным с помощью SIEM-средств инцидентом ИБ.

Для решения данной проблемы и существует SOC — совокупность процессов, объединяющих технологии и людей в целях совместного противодействия злоумышленникам. Как показало соревнование «Противостояние», прошедшее в нынешнем году в рамках Positive Hack Days, средства защиты могут на какое-то время сдержать злоумышленников, однако только команда SOC, работающая совместно с командой защиты, способна выявлять признаки аномалий в казалось бы легитимной активности. Поэтому именно люди, способные мыслить нестандартно и выявлять незначительные отклонения в работе систем, а затем шаг за шагом раскручивать историю взлома, являются неотъемлемой частью современных средств обнаружения атак, инцидентов и аномалий в области информационной безопасности.

Функции SOC могут быть реализованы в рамках внутреннего подразделения компании либо переданы на аутсорсинг сторонним организациям. Оба подхода имеют свои преимущества и недостатки. К примеру, внутренний SOC всегда лучше осведомлен и имеет больше контекстной информации об инцидентах внутри собственного предприятия, но расследуя только собственные инциденты, он не может использовать опыт такой работы в других компаниях той же отрасли. Кроме того, для формирования внутреннего SOC требуются значительные ресурсы, и на это может уйти несколько лет, тогда как при передаче функций SOC сторонней организации процесс можно выстроить в сжатые сроки — в течение нескольких недель. Для клиентов, которые приходят в нашу компанию за консультациями по SOC, именно сроки запуска являются одним из основных критериев при выборе подхода к созданию центра.

Помимо затрат на формирование собственного SOC любая компания рано или поздно сталкивается с необходимостью выбора функций, которые он будет поддерживать. Набор таких функций весьма широк, и не всегда затраты на их поддержку оказываются оправданными в том случае, когда SOC обслуживает только одного клиента. Если же воспользоваться услугами сторонней компании, можно выбрать нужный функционал и в будущем расширять его по своему желанию или при необходимости.

Например, базовый функционал любого SOC предполагает услуги по мониторингу инцидентов ИБ, их расследованию и выдаче соответствующих рекомендаций. Такие рекомендации могут включать предложения как по изменению настроек существующего оборудования, так и по обновлению технологических/организационных мер защиты информации в компании.

Но нашим клиентам интересен не только базовый функционал, но и услуги проактивной защиты — разведка и выявление замеченных на рынке угроз, которые не имеют прямого отношения к компании в настоящее время, но могут вызвать проблемы в будущем. Данная услуга включает предоставление заказчику сводки по новым тенденциям в реализации атак (например, атаки на периферийные устройства) и результатам разведывательной деятельности (это могут быть данные о каком-либо методе атаки на собственные ресурсы SOC, которые целенаправленно настроены так, чтобы привлекать на себя атаки со всего мира); сюда же входит и анализ инфраструктуры заказчика на предмет подверженности новым видам атак и рекомендации по ее проактивной защите. В дополнение к оценкам и анализу внешних угроз, которые присутствуют или набирают обороты в мире, заказчику предоставляется также услуга по оценке внутреннего состояния информационной безопасности, причем это может быть как оценка имеющихся уязвимостей (BlueTeam), проведённая совместно с представителями заказчика, так и тесты на проникновение (RedTeam). По итогам последних выдаются рекомендации по доработке системы информационной безопасности с целью минимизировать выявленные угрозы.

SOC может также предложить своим клиентам подписку на бюллетени информационной безопасности (Cyber Threat Intelligence) от различных источников, в том числе с обеспечением автоматизированного контроля защищенности заказчика по этим бюллетеням. В отличие от внутреннего SOC компания, предоставляющая аутсорсинговые услуги, способна агрегировать самую разную информацию и передавать ее клиенту в том объеме, который будет достаточен для его конкретной инфраструктуры. Для внутреннего SOC подобный функционал обойдётся гораздо дороже, так как придется покупать необходимую информацию из каждого источника по отдельности.

Однако ни один современный SOC, особенно если он обслуживает крупных клиентов с разнообразными бизнес-процессами, не может ограничиться мониторингом и анализом заранее подготовленных инцидентов информационной безопасности (например, только по подготовленным инцидентам для Active Directory). Поэтому SOC компании «Информзащита» проводит большую работу по выстраиванию отношений со своими коллегами как в мировом масштабе, так и в нашей стране. Например, организован обмен опытом, информацией и технологиями с сертифицированными CERT по всему миру, в том числе с признанными центрами выявления ИБ-инцидентов и реагирования на них в России. Кроме того, в рамках проекта ГосСОПКА существует возможность интеграции с ответственными подразделениями по расследованию инцидентов информационной безопасности в ФСБ РФ. Всё это позволяет получать данные об актуальных атаках и методах кражи информации «с полей» и оперативно представлять заказчику рекомендации по устранению возможной угрозы.

Для некоторых наших клиентов актуальны и более специфические услуги SOC, включая досудебное расследование инцидентов со сбором необходимых данных по методикам, которые будут приняты судом в качестве доказательств; это могут быть также поддержка и проведение настроек внутренних систем информационной безопасности заказчика в соответствии с рекомендациями аналитиков из SOC (то есть аутсорсинг средств защиты информации) либо предоставление услуги SOC в облаке, если инфраструктура заказчика использует облачные вычислительные мощности. Помимо указанного функционала одной из актуальных услуг является обеспечение процесса выявления и расследования ИБ-инцидентов в технологических сетях АСУ ТП: процессы SOC встраиваются в работу систем анализа защищенности АСУ ТП и позволяют аналитикам расследовать инциденты, связанные с особенностями каждой конкретной технологической системы. Для сетей АСУ ТП это особенно актуально, так как сигналы от злоумышленников практически ничем не отличаются от легитимного сигнала технологической системы, а попытки взлома должны выявляться на ранней стадии.

Таким образом, SOC в современном понимании — это набор функций для обеспечения реальной безопасности организации. Весь процесс должен быть выстроен таким образом, чтобы заказчик получил полное сопровождение с момента выявления ИБ-инцидента и до завершения работы по устранению подобной угрозы в будущем, в том числе по автоматизации ее обнаружения. При этом SOC должен предлагать своим клиентам разнообразный модульный функционал, чтобы заказчик мог выбрать определенную функцию, которую не способен реализовать самостоятельно, либо полностью отдать процесс обработки инцидентов в руки высококвалифицированных специалистов.