20.10.2016

Security Operation Center: люди, процессы, технологии

Автор: Тамойкин Андрей

Должность: Начальник отдела систем мониторинга ЗАО НИП «Информзащита»

В детстве уловка с монеткой на веревке, с помощью которой можно взломать телефонный аппарат, справедливо считалась невинной шалостью, дворовым весельем. Никому не приходило в голову всерьез задуматься, в каких цифрах следует измерять совокупный ущерб от подобных развлечений. Спустя годы на смену монетке пришли «кибертерроризм», «кибершпионаж», «таргетированная атака», а незатейливый взломщик таксофонов превратился в хорошо организованную, структурированную и вооруженную самыми новыми технологиями группу злоумышленников, киберпреступников, перед которой стоят самые высокие задачи, начиная от политических, конкурентных войн и заканчивая личным финансовым интересом.

Современный набор киберугроз настолько обширен и очевиден, что его попросту невозможно игнорировать. Если раньше русских пугали западными сводками о хищениях и убытках, то настоящая реальность такова, что далеко ходить за примерами уже нет надобности:

  • по данным глобального исследования тенденций информационной безопасности на 2016 год, проведенного PricewaterhouseCoopers, в прошлом (2015) году количество случаев кражи интеллектуальной собственности в России выросло в 2.8 раза по сравнению с 2014 годом
  • по данным компании Positive Technologies, в ежегодном отчете «Positive Research» в 76% исследованных систем выявлена возможность получения злоумышленником полного контроля над отдельными критически важными ресурсами. При этом в 35% систем такой уровень привилегий может быть получен от лица любого внешнего нарушителя; [Positive Research 2016
  • по данным центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России, в период с 1 июня 2015 года по 31 мая 2016 года было совершено попыток хищения на 2.87 млрд. рублей, при этом предотвращено хищения лишь на 1.6 млрд. рублей.

И это лишь небольшая иллюстрация ко вступлению.

Помимо явной угрозы безопасности информации, свою роль также играет и финансовый кризис: отечественные компании все больше переходят от безопасности «бумажной» к безопасности реальной, когда бюджеты, выделяемые руководителям служб информационной безопасности владельцами бизнеса, вкладываются в средства, процессы, меры для обеспечения защищенности информационных активов и должны выполнять не только требования регуляторов, но и обеспечивать реальную защиту, позволяющую избежать возможные киберугрозы или минимизировать потери от проведенной атаки.

Наиболее показательным процессом в переходе к реальной безопасности является формирование SOC (Security Operation Center), который обеспечивает выявление инцидентов информационной безопасности, а также квалифицированный анализ и реагирование на выявленные инциденты.

У многих Заказчиков присутствует большой парк разнообразных средств защиты, которые условно можно разделить на два типа: ограничительные (системы, которые жестко контролируют ту или иную настройку, например, доступ пользователей к информации) или активные (системы, которые реагируют на изменяющуюся инфраструктуру Заказчика, например, анализ потока трафика с помощью IDS систем). При этом, если для первого типа систем можно выстроить достаточно статичный процесс, написать регламенты и методики, то для систем, которые анализируют текущее состояние инфраструктуры обязательно должен быть аналитик, который сможет правильно интерпретировать поступающие от них сигналы и провести расследование по каждому инциденту информационной безопасности.

Зачастую у Заказчиков, которые обращаются к нам за услугой SOC, присутствует понимание или отдельные куски первого процесса – статичного ограничения тех или иных действий, и отсутствует понимание того, что делать с алертом IDS системы или выявленным с помощью SIEM инцидентом ИБ.

Для решения данной проблемы существует SOC – совокупность процессов, объединяющих технологии и людей в целях совместного противодействия злоумышленникам. Как показало соревнование «Противостояние», прошедшее в этом году в рамках Positive Hack Days, средства защиты могут сдержать на какое-то время злоумышленников, однако только команда SOC, работая совместно с командой защиты, способна анализировать, казалось бы, легитимную активность и выявлять в ней признаки аномалий. Поэтому люди с их способностью применять нестандартные методы мышления, выявлять небольшое отклонение от корректной работы и раскручивать клубок взломов по ниточке, являются неотъемлемой частью современных средств по обнаружению атак, инцидентов или аномалий в области информационной безопасности.

Сама по себе структура SOC подразумевает как возможность формирования внутреннего подразделения в компании, так и передачу данной функции на аутсорсинг сторонним организациям. Оба подхода имеют ряд преимуществ и недостатков. К примеру, любой внутренний SOC всегда лучше осведомлен и имеет больше контекстной информации по инцидентам внутри организации, однако у этого факта есть и обратная сторона – внутренний SOC расследует только собственные инциденты и не накапливает опыт расследования инцидентов других компаний той же отрасли. Так же формирование внутреннего SOC отнимает значительное количество ресурсов компании, иногда это может занять несколько лет. В то время как передача функций сторонней компании подразумевает получение выстроенного процесса в сжатые сроки, обычно до нескольких недель. Для клиентов, которые приходят в нашу компанию за консультациями по SOC именно сроки старта являются одним из основных критериев при выборе типа размещения.

Помимо затрат на формирование собственного SOC, любая компания рано или поздно столкнется с выбором функций, которые он будет поддерживать. Набор этих функций достаточно широк, и не все из них смогут оправдать затраты, при обработке данных только от 1 клиента. В то время как используя стороннюю компанию, можно выбрать необходимый функционал и в будущем его расширить по собственному желанию или необходимости.

Например, любой SOC в базовом функционале предоставляет услуги по мониторингу, расследованию инцидентов ИБ и выдачу рекомендаций по результатам расследования, которые могут представлять собой как действия по изменениям настроек на существующем оборудовании, так и рекомендации по обновлению технологических/организационных мер по защите информации в компании.

Помимо базового функционала нашим клиентам обычно интересны услуги проактивной защиты: проведение разведки и выявление угроз, которые не связаны непосредственно в текущий момент с компанией, однако могут вызвать проблемы в будущем. Данная услуга включает предоставление Заказчику сводки по новым тенденциям атак (например, атаки на периферийные устройства) и результатам разведывательной деятельности (например, выявление конкретного метода атаки на собственных ресурсах SOC, которые целенаправленно настроены для привлечения атак со всего мира), а также анализ инфраструктуры Заказчика на предмет подверженности новым видам атак и предоставление рекомендаций по проактивной защите. В дополнение к оценкам и анализу внешних угроз, которые присутствуют или набирают обороты в мире, Заказчику также предоставляется услуга по оценке внутреннего состояния информационной безопасности, причем это может быть, как оценка существующих уязвимостей (BlueTeam) совместно с представителями Заказчика, так и тесты на проникновение (RedTeam), результатом которых являются рекомендации по доработке собственной системы информационной безопасности с целью минимизации выявленных угроз.

Также SOC может предложить своим клиентам подписку на бюллетени (Cyber Threat Intelligence) информационной безопасности от различных источников, в том числе с автоматизацией контроля защищенности Заказчика по этим бюллетеням. Здесь, в отличие от внутреннего SOC, компания, которая предоставляет аутсорсинговые услуги, способна агрегировать информацию из целого ряда источников и передавать ее клиенту в том объеме, который будет достаточен для конкретной инфраструктуры конкретного клиента. Для внутреннего SOC подобный функционал будет стоить гораздо дороже, так как из каждого источника придется покупать необходимую информацию отдельно.

Кроме агрегации бюллетеней, которые доступны по подпискам, любой современный SOC, особенно при наличии достаточно крупных клиентов с разнообразными бизнес-процессами не может позволить себе проводить мониторинг и анализ заранее подготовленных инцидентов информационной безопасности (например, только по подготовленным инцидентам для Active Directory), поэтому SOC компании «Информзащита» проводит большую работу по выстраиванию отношений с различными SOC как в мировом масштабе, так и в России в частности. Например, существует обмен опытом, информацией и технологиями с сертифицированными CERT по всему миру, в том числе с признанными центрами выявления и реагирования на инциденты ИБ в России. Также в рамках проекта ГосСОПКА существует возможность интеграции с ответственными подразделениями по расследованию инцидентов информационной безопасности в ФСБ России. Все это позволяет получать информацию об актуальных атаках и методах кражи информации с «полей» и оперативно предоставлять рекомендации Заказчику по устранению возможной угрозы.

Также для некоторых наших клиентов актуальны более специфические услуги SOC, такие как: процесс досудебного расследования инцидентов со сбором необходимых данных по методикам, которые будут приняты судом в качестве доказательств; поддержка и проведение настроек в соответствии с рекомендациями аналитиков SOC внутренних систем информационной безопасности Заказчика (то есть аутсорсинг средств защиты информации). А также предоставление услуги SOC в облаке, если инфраструктура Заказчика использует облачные вычислительные мощности. Помимо указанного функционала одной из актуальных услуг является обеспечение процесса выявления и расследования инцидентов информационной безопасности в технологических сетях АСУ ТП: процессы SOC встраиваются в работу систем анализа защищенности АСУ ТП и позволяют аналитикам производить расследование инцидентов, связанных с особенностями каждой конкретной технологической системы, причем для сетей АСУ ТП это является наиболее актуальным, так как практически всегда сигнал от злоумышленника ничем не отличается от легитимного сигнала технологической системы, а момент взлома должен отслеживаться еще на подступах к ней.

Таким образом, SOC в современном понимании – это набор функций, который призван обеспечивать реальную безопасность организации. Весь процесс должен быть выстроен таким образом, чтобы Заказчик получил полное сопровождение на всем жизненном цикле инцидента информационной безопасности, начиная с выявления и заканчивая полным устранением подобной угрозы в будущем, в том числе и автоматизацией ее обнаружения. При этом SOC должен предлагать своим клиентам разнообразный модульный функционал, чтобы Заказчик мог выбрать определенную функцию, которую не способен реализовать самостоятельно или полностью отдать процесс обработки инцидентов в руки высококвалифицированных специалистов.