Построение корпоративных ситуационных центров информационной безопасности (SOC)

Предпосылкой для реализации Ситуационных центров информационной безопасности (далее - Security Operation Center, SOC) в компаниях является потребность в противодействии современным киберугрозам для повышения показателей непрерывности бизнес-процессов, доступности внешних и внутренних корпоративных сервисов, и снижения потенциальных репутационных рисков, связанных с успешной реализацией кибератак на информационные системы компании.

SOC представляет собой подразделение, в котором сотрудники-процессы-технологии объединены для своевременного реагирования и выявления существующих и потенциальных угроз.

Основные цели, которые ставятся перед SOC

• мониторинг новых угроз ИБ;
• оценка релевантности угроз для компании;
• нейтрализация релевантных угроз;
• своевременное обнаружение и реагирование на инциденты ИБ за счет организации непрерывного мониторинга событий информационных систем;
• снижение времени локализации и реагировании на инциденты ИБ;
• минимизация рисков и ограничение возможного финансового и/или репутационного ущерба от инцидентов ИБ за счет повышения оперативности выявления и реагирования на инциденты.

В рамках построения SOС эксперты компании «Информзащита» предлагает следующие услуги, которые могут быть выполнены как в комплексе, так и по отдельности, в зависимости от потребностей и текущего состояния SOC Заказчика:

Разработка концепции SOC

Концепция SOC, разрабатываемая специалистами компании «Информзащита», включает в себя:

• описание видения и целевого состояния SOC;
• дорожную карту по достижению целевого состояния на перспективу 3-х и 5 лет;
• описание операционной и организационной модели SOC;
• описание целевой организационно-штатной структуры, в том числе:
• роли и обязанности персонала (включая матрицу распределения ответственности);
• требования к персоналу (образование, квалификация, рекомендации по обучению);
• требования к организационно-штатной структуре (в том числе количество сотрудников для каждой роли, возможность совмещения ролей);
• режим работы для каждой роли.
• описание архитектуры SOC, включающей набор технических средств и/или требований к ним;
• описание интеграции между подсистемами SOC и со смежными системами, с указанием потоков данных;
• описание целевого набора процессов.

Разработка сценариев и контента SOC

Для обеспечения автоматического выявления взаимосвязи между событиями ИБ и формирования инцидентов ИБ, автоматизации действий операторов по реагированию на инциденты ИБ, визуализации процессов SOC выполняются работы по разработке и внедрению базового набора сценариев выявления инцидентов ИБ и контента SOC, в том числе:

• Разработка сценариев выявления инцидентов ИБ;
• Разработка формул нормализации;
• Разработка правил корреляции;
• Разработка карты сети;
• Разработка модели активов;
• Разработка карт действий операторов по управлению и реагированию на инциденты ИБ;
• Разработка информационных панелей для визуализации информации об инцидентах ИБ;
• Разработка шаблонов отчетности SOC.

Разработка ИТ-инфраструктуры SOC

При создании ИТ-инфраструктуры SOC Компания «Информзащита» выполняет работы по:

• предпроектному обследованию IT-инфраструктуры компании;
• техническому проектированию, включая разработку рабочей документации SOC;
• внедрению технических средств SOC, включая:
  • Систему мониторинга и анализа событий ИБ (SIEM, Security Information and Event Management), которая в режиме реального времени осуществляет сбор и анализ событий от различных компонентов ИТ-инфраструктуры организации.
  • Систему управления инцидентами (IRP, Incident Response Platform) предназначеную для автоматизации процессов мониторинга, учета и реагирования на инциденты информационной безопасности. Для управления процессами ИБ организации и контроля соответствия применяют системы класса SGRC (Security Governance Risk Compliance).
  • Систему управления внешними источниками информации о киберугрозах (TIP, Threat Intelligence Platform), позволяющую специалистам ИБ организации быстрее и точнее реагировать на угрозы в инфраструктуре, за счет автоматизации процесса обработки и анализа данных об угрозах из различных внешних источников (баз данных угроз) в режиме реального времени.
  • Решения класса EDR (Endpoint Detection and Response) предназначены для эффективной защиты от целенаправленных атак и предоставляют аналитикам ИБ полную картину событий в инфраструктуре рабочих мест и позволяет автоматизировать выполнение задач по выявлению, расследованию и нейтрализации угроз.
  • Решения класса UEBA (User and Entity Behavior Analytics) «строят» шаблоны типичного поведения пользователя, а затем выявляют аномальные отклонения от шаблона (нетипичные действия), которые могут привести к инцидентам ИБ.
  • Анализаторы сетевого трафика (NTA, Network Traffic Analysis) используют сетевой трафик в качестве основного источника данных для обнаружения и расследования инцидентов ИБ. При этом NTA способен выявлять атаки не только на периметре, но и внутри корпоративной сети.
  • Системы выявления и управления уязвимостями ИБ (Сканеры уязвимостей) предназначены для мониторинга сети, рабочих станций, приложений на предмет обнаружения возможных проблем в системе обеспечения информационной безопасности.
  • Системы аудита защищенности сетевой инфраструктуры предназначены для мониторинга, анализа настроек и управления различным сетевым оборудованием, моделирования и визуализации возможных векторов атак, автоматизации процессов управления уязвимостями и политиками сетевой безопасности, оптимизации процессов управления безопасностью и повышению их эффективности.

Создание и реинжиниринг процессов

Основными целями задач по созданию и реинжинирингу отдельных процессов являются:

• Определение детального целевого состояния исследуемого процесса SOC;
• Определение принципов и способов достижения целевого состояния;
• Определение последовательности действий по достижению целевого состояния (дорожная карта).

Разработка/реинжиниринг процессов SOC включает в себя уточнение существующих в компании или разработку процессов следующих групп:

Процессы группы управления инцидентами ИБ, в том числе:

• Процесс мониторинга событий ИБ;
• Процесс обнаружения компьютерных атак;
• Процесс регистрации инцидентов ИБ;
• Процесс анализа данных об инцидентах ИБ, категоризации и эскалации инцидентов ИБ;
• Процесс управления уязвимостями;
• Процесс реагирования на инциденты ИБ и ликвидации последствий;
• Процесс анализа результатов устранения причин возникновения и последствий инцидентов ИБ.

Процессы группы управления внешними источниками информации, в том числе:

• Процесс выявления и приоритизации угроз;
• Процесс разработки сценариев выявления инцидентов ИБ и разработки методик реагирования.

Процессы группы администрирования, в том числе:

• Процесс управления источниками событий и данных для подсистем SOC;
• Процесс управления изменениями систем безопасности;
• Процесс администрирования технических средств SOC;
• Процесс инвентаризации информационных ресурсов.

Процессы группы взаимодействия, в том числе:

• Процессы взаимодействия с внешними подразделениями и организациями;
• Процессы повышения квалификации персонала и осведомленности пользователей информационных ресурсов в области ИБ;
• Процессы приема сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов.

Процессы группы управления, в том числе:

• Процесс управления визуализацией и отчетностью;
• Процесс управления базами знаний;
• Процесс управления документацией;
• Процесс совершенствования SOC.

В ходе реинжиниринга выполняются следующие работы:

• Определение ключевых заинтересованных сторон в модернизации процессов SOC;
• Рабочая встреча по уточнению миссии и видения SOC;
• Получение и анализ документации, которые могут помочь оценить состояние рассматриваемого процесса в рамках текущей операционной модели SOC;
• Доработка текущей операционной модели SOC;
• Согласование новой операционной модели SOC;
• Разработка метрик и KPI новых процессов;
• Разработка дорожной карты трансформации реальных процессов SOC новой операционной модели;
• Трансформация процессов;
• Оценка метрик процессов по результатам трансформации.