Бизнес-ландшафт меняется с развитием таких технологий, как мобильные и облачные решения, большие данные, Интернет вещей. Вместе с ними эволюционируют и киберугрозы. Злоумышленники используют новые методы, чтобы нарушить конфиденциальность, целостность и доступность информации и при этом избежать обнаружения, совершенствуют свои инструменты, ищут пути сокращения расходов и быстрой монетизации. Новая нормальность стимулирует цифровую трансформацию с ее потенциальными составляющими – искусственным интеллектом, автоматизацией и другими. Это открывает новые возможности для роста бизнеса, но также увеличивает и количество векторов для кибератак.
Все эти факторы требуют от организаций повышения киберустойчивости. Одним из ее важных элементов является направление Security Operations и SOC как его составляющая. SOC – это функциональная структура, созданная для обеспечения потребностей заказчиков, как внутренних, так и внешних, посредством предоставления необходимых услуг и сервисов, а также информации для анализа и принятия обоснованных решений в процессах обеспечения ИБ и управления рисками. Допустимо сказать, что SOC является нервной системой всего организма ИБ и по-своему оказывается связкой между кибербезопасностью (Cyber Security) и киберустойчивостью (Cyber Resilience), становясь центром информационных рисков. SOC даже можно назвать интегрированным операционным центром угроз (ITOC, Integrated Threat Operations Center).
Системные слабости SOC и пути их преодоления
Традиционный SOC имеет определенные системные слабости, избежать которых можно только за счет качественного изменения структуры и составляющих процесса управления инцидентами:
-
пропорционально растущий шум в событиях (Noisy Alerts), увеличивающаяся потребность в мощностях SOС, улучшении качества аналитики и соответствующих инвестициях;
-
распределенность ландшафта и вытекающая из этого плохая прозрачность гибридных сетей;
-
низкий уровень автоматизации, острая потребность в экспертном ресурсе, ведущая к потенциальному кадровому дефициту.
По мере роста зрелости SOC и при наличии соответствующих запросов со стороны бизнеса он может абсорбировать в себя следующие технологии:
-
Прежде всего использование автоматизированных решений, способных анализировать большие наборы данных и эффективно выявлять угрозы и атаки с помощью современных технологий. Таким образом, аналитики могут уделять больше внимания человеческому аспекту атак и поиску угроз. Самые изощренные угрозы исходят от целенаправленных атак преступных групп, которые технологически и процессно подготовлены к тому, чтобы последовательно проводить их без ограничения по времени, в строгом соответствии с серьезно проработанными методами сокрытия активности и оставляемых следов.
-
Разработка новых процессов анализа угроз для поддержания ситуационной осведомленности. Инструменты сканирования распространенных уязвимостей и управления исправлениями должны быть интегрированы и готовы своевременно вносить необходимые коррективы в текущее поле рисков.
-
Постоянно обновляемая информация о киберугрозах (CTI, Cyber Threat Intelligence), полученная из внешних ресурсов и содержащая сведения о текущих тенденциях угроз и индикаторах компрометации (IoC). Анализ данных, полученных от CTI автоматизированными инструментами и механизмами корреляции перед отправкой в системы для дальнейшего использования. SOC следующего поколения потенциально сможет опираться на искусственный интеллект (AI) и машинное обучение (ML) для выявления полезной и актуальной информации.
-
Автоматизация процессов реагирования на инциденты ИБ и выполнение сценариев организации сбора доказательств из различных источников для повышения производительности всего рабочего процесса SOC (по сравнению со временем, затрачиваемым аналитиками на устранение тех же инцидентов вручную).
-
Использование инструментов безопасности на базе машинного обучения для обнаружения поведенческих отклонений в сетях и приложениях и анализ для выявления потенциальных вредоносных действий, в том числе утечки данных (Exfiltration) и внутреннего нарушителя.
Стоит выделить основные шаги на пути зрелости SOC, которые необходимо выполнить и внедрить в рамках всего направления Security Operations.
Шаг 1. Анализ видимости сети и инфраструктуры
При построении и дальнейшей оценке качества работы SOC важно определить подходящую видимость сети и инфраструктуры клиента. Эффективность обнаружения угроз подразделениями SOC прямо пропорциональна их видимости в сети. Однако это может привести к исчерпанию возможностей производительности, если детектирующая логика и соответствующие инструменты не адаптированы должным образом. Количество контролируемых объектов информационной инфраструктуры играет важную роль в расширении видимости активностей в сети. Помимо информации о количестве событий, SOC получает доступ к картам топологии сети, которые описывают, как подключены различные устройства, и к карте активов в целом.
Шаг 2. Управление активами и уязвимостями
Чтобы действовать проактивно, SOC должен быть осведомлен об активах организации, в том числе и об их ценности. Эта оценка может строиться исходя из финансовых и операционных рисков. Здесь важно отметить, что без проведения регулярной оценки и анализа рисков в том или ином виде, с той или иной степенью детализации и результативности невозможно получать и актуализировать знания о контролируемой инфраструктуре, актуальных угрозах и допустимой стоимости применяемых контрмер. Важная часть ИБ – это управление уязвимостями. И с учетом того, что процесс их устранения и обновления ПО достаточно трудоемкий по ресурсам и времени, целесообразно корректировать эти приоритеты исходя из критичности находимых уязвимостей.
Шаг 3. Обогащение
Направлений для увеличения глубины событийной видимости SOC сейчас достаточно много. Это и обогащение событий средствами XDR и других расширенных практик, и увеличение сетевой прозрачности средствами мониторинга сетевых аномалий (NBAD, Network Behavior Anomaly Detection). Для обогащения информации об инцидентах применяются различные фиды средствами платформ Cyber Threat Intelligence (CTI).
Шаг 4. Анализ и визуализация
Объем доступных данных вынуждает подразделения SOC использовать автоматизированные инструменты. Системы оценки поведения пользователей и объектов (UEBA) применяют алгоритмы машинного обучения и статистический анализ для поиска отклонений в действиях, выполняемых людьми. Системы UEBA могут обнаруживать в том числе внутренние угрозы и учетные записи
пользователей, контролируемые злоумышленниками. Кроме того, объединение SIEM и UEBA может быть полезным, поскольку позволяет организовать централизованную точку принятия решений.
Шаг 5. Процессы и автоматизация
Процессы SOC должны быть гибкими и постоянно развиваться с учетом текущих угроз. Их следует регулярно оптимизировать, чтобы SOC мог обрабатывать инциденты в короткие сроки с растущим качеством. Чтобы по-настоящему проверить возможности подразделения SOC, можно подумать о найме "красной" команды (Red Team). Ее функции заключаются в имитации полноценной кибератаки. Оценка "красной" команды похожа на тест на проникновение, но более обширна и охватывает все векторы атаки. Тщательное тестирование помогает сформировать единицу SOC и повысить качество плейбуков – инструкций по реагированию на инциденты, описывающих правильный порядок действий аналитиков SOC с самого начала обнаружения, четкие процессы эскалации. Их использование и оптимизация сокращают время отклика SOC на киберугрозу и, значит, степень ее негативного влияния.
Шаг 6. Аналитики и команда
Хотя многие инструменты помогают подразделениям SOC быстрее реагировать и обеспечивать лучшую видимость, люди по-прежнему являются наиболее важной частью SOC. Автоматизация повторяющихся задач не снижает значимости специалистов-аналитиков. Однако мотивировать сотрудников SOC достаточно сложно. Рабочие задачи специалистов нижнего уровня рутинны, что может привести к высокой текучке кадров, если отсутствуют перспективы карьерного роста. Квалифицированный аналитик SOC должен иметь обширные теоретические и практические знания об общей ИТ-инфраструктуре, включая сетевые устройства, устройства безопасности, протоколы, серверы и распространенные операционные системы. Кроме того, аналитики должны знать механику систем управления и обработки событий и тактики, техники и процедуры противников (TTP). Этим навыкам можно научиться в том числе с помощью тестирования на проникновение и редтиминга.
Центр киберустойчивости группы компаний Angara
Поскольку угрозы становятся все более изощренными и могут за короткое время перерасти в крупномасштабные инциденты, киберзащита должна поддерживаться на всех стадиях рабочего процесса и строиться по многоуровневому принципу. Это обязывает подразделения SOC стать более гибкими и активными. В то же время они борются с огромными объемами данных и неуправляемыми рабочими нагрузками. Переход к более оперативной защите требует изменений в технологиях и процессах подразделения SOC.
При создании SOC организация уже должна иметь зрелую политику безопасности, которую она выполняет. SOC способен только дополнять программу безопасности, но не заменять ее. Подразделения SOC зависят от существующих технологий защиты для блокирования обычных угроз и сбора данных с целью дальнейшего анализа.
Для повышения эффективности своей работы подразделения SOC должны использовать новые технологии, прежде всего с целью минимизации количества повторяющихся событий, которые необходимо анализировать вручную, увеличения качества их анализа и скорости реагирования на инциденты.
Так, на сегодняшний день Центр киберустойчивости группы компаний Angara включает следующие практики:
-
коммерческий SOC, являющийся центром ГосСОПКА класса А;
-
автоматизация процессов ИБ в части организации мониторинга событий (SIEM/SEM);
-
обогащение процессов ИБ сторонней аналитикой (TI(P) & Security Feeds);
-
мониторинг и управление инцидентами ИБ (SIEM/IR(P)) [On-Premise & Outsource];
-
автоматизация управления и реагирования на инциденты ИБ (IR(P)/SOAR) [On-Premise & Outsource];
-
визуализация и контроль метрик эффективности ИБ (Security Intelligence);
-
автоматизированная атрибуция угроз (Angara Crawler) [MITRE ATTACK®, SHIELD®, БДУ ФСТЭК];
-
защита бренда;
-
выездные расследования и форензика (DFIR);
-
аналитическое сопровождение по модели MSSP для Sandbox/EDR.
Некоторые средства реактивной защиты можно автоматизировать, но организация должна знать и осознавать свои риски в части ИБ и иметь качественную экспертизу. Возможно предоставление внешней экспертизы путем замещения функциональных ролей SecOps сотрудниками Центра киберустойчивости по различным моделям партнерского взаимодействия. У нас также есть опыт выполнения функций реагирования на подозрения на инциденты ИБ, которые направляет сторонний SOC.
Источник: «Информационная безопасность».