Все мы знаем, что SOC — структура сложная и безусловно нужная каждой крупной организации. Набор его технологий можно называть практически бесконечно. По словам руководителя Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексея Мальнева, в SOC «многоуровневая цепочка инструментов, которая выполняет одну главную задачу: существенное повышение защищённости инфраструктуры и приведение рисков к приемлемому уровню».
Но всё же, какой набор инструментов в SOC нужен? Именно это обсуждали эксперты на сессии «Выбор коммерческого SOC 2.0: SOC, который ловит», проводившей в рамках киберполигона The Standoff.
Так, директор экспертного центра кибербезопасности Positive Technologies Алексей Новиков отметил, что для определения необходимых для SOC технологий нужно посмотреть, какие задачи этот самый SOC должен решать.
«С точки зрения мониторинга и для того, чтобы SOC грамотно функционировал, в нашей парадигме, которую мы проповедуем, обязательно должны быть история из трёх частей. Видимость по логам обязательно из критических систем, которые мониторятся и в которых приземляются бизнес-риски важные критически для компании. Дальше история связана с анализом трафика. Злоумышленник сколько угодно может прятаться на хосте, обходить эндпоинты, погружаться ниже в ядро и так далее, но всё равно будут следы в трафике. И понимание, какие объекты циркулируют внутри инфраструктуры, то есть что приходит, какие файлы, как они перемещаются и так далее. И дальше поверх этого можно до бесконечности наращивать количество технологий», — рассказал он в своём выступлении.
В то же время Алексей Новиков отметил, что нужно обращать внимание и на то, на какую платформу ты опираешься, насколько она умная и интеллектуальная. «То есть некоторые платформы могут давать информацию либо слишком сырую, либо слишком часто фолзить. Тогда действительно необходимо проводить какие-то кросс-корреляции, верифицировать и понимать: фолз — не фолз. В то же время трафик можно анализировать довольно продвинутыми методами, Machine Learning, и давать довольно чёткие рекомендации, которые можно обрабатывать напрямую. Поэтому тут есть баланс определённый», — добавил эксперт.
С ним согласился и руководитель сервисов киберзащиты CyberART ГК Innostage Владимир Дмитриев. Однако по его мнению, все эти технологии идут вторым шагов при приходе к заказчику. Потому что в самом начале, первым делом нужно проводить в соответствие сам защищаемый объект, то есть проводить анализ защищённости. «Поэтому в SOC обязательно должен быть инструментарий, должны быть специалисты, которые это делают. И также нужно заняться инвентаризацией объекта, потому что не зная, что ты защищаешь, можно бесконечно долго анализировать трафик и делать различные гипотезы, и таким образом долго оккупировать своих аналитиков. Но люди — это наша ценность, поэтому эти части, на мой взгляд, являются обязательными», — сказал Владимир Дмитриев.
Алексей Новиков согласился с точкой зрения своего коллеги, добавив, что на практике выходит так, что инвентаризация зачастую происходит сразу вместе с мониторингом. «То есть ты наживую вклиниваешься и первое время прям какой-то ад творится, потому что ты пытаешься понять, что это и как это. И тут ещё всё очень сильно зависит от степени зрелости самого заказчика», — отметил он.
Говоря про инвентаризацию, операционный директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Солар» Антон Юдаков, привёл пример: если взять, условно, ИТ-администратора, человека, который, например, администрирует средства антивирусной защиты, администратора домена и всем задать один вопрос «сколько у вас в инфраструктуре Windows хостов» — ответы будут очень сильно разниться. «И это, в том числе, некоторый показатель того, как сейчас синхронизированы процессы взаимодействия команд на стороне заказчика. И про уровень зрелости заказчика — чем они синхронизированнее и с бизнес-задачами, и с бизнес-развитием компании, и между собой, тем уровень зрелости и выше. Это прямо влияет на любое взаимодействие с клиентом», — подытожил он.
Возвращаясь к теме инструментов, Антон Юдаков ещё раз подчеркнул, что в первую очередь крайне важно осознавать, какие именно задачи стоят перед создаваемым SOC. А второе, что максимально важно, нужно понимать от кого компания или бизнес защищается — кто тот злоумышленник, которому компании надо противостоять. «Отсюда и будет определяться некоторый подход к вопросам и защиты, и мониторинга в её составе», — отметил эксперт.
Потому что одно дело, когда мы говорим про небольшие организации с не очень сильной ИБ, которые могут стать жертвами киберхулиганов или быть атакованы автоматизированными средствами в ходе элементарных атак. И совсем другое дело, когда речь идёт про атаки на крупные, зрелые компании с КИИ серьёзного уровня, где риск последствий очень высок — здесь уже опасность представляют APT-группировки и продвинутый уровень злоумышленников типа киберкриминала и кибернаёмников. Или же речь идёт про атаки на госструктуры и госорганизации, где атакующими могут быть в том числе кибервойска соседних государств.
Общий итог обсуждения подвёл руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексей Мальнев, который подробнее своих коллег остановился на перечислении технологий.
«Ключевым элементом, на наш взгляд, здесь является выстраивание процессов Workflow. И технология, которая должна использоваться здесь, должна этот Workflow поддерживать. В современной индустрии SOС это, в первую очередь, платформа incident response, SOAR-система как некая верхнеуровневая надстройка над этим процессом. Дальше источником для информации может являться SIEM-система», — начал он.
Далее он рассказал, что также можно говорить и об обогащение конкретной SIEM-системы, об обогащении инцидентов. И здесь будет свой набор технологий и инструментов. Также нужны технологии, которые помогают проводить более эффективные расследования. Кроме того любой SOC обязательно должен в себе содержать компетенции либо их аутсорсить по киберкриминалистике. Соответственно, это свой набор инструментария. Также не стоит забывать про технологии по Threat Hunting. Здесь может быть целый комплекс решений, который может помочь и способствовать OSINT для того, чтобы SOC мог смотреть не только внутрь инфраструктуры, но и оценивать некий внешний ландшафт ИБ — тоже большой набор инструментов. И да, каждая конкретная ситуация также будет диктовать свои условия и технологии. Например, большое влияние имеет какой SOC используется — коммерческий или на стороне заказчика.
«То есть это многоуровневая цепочка инструментов, которая выполняет одну главную задачу: существенное повышение защищённости инфраструктуры и приведение рисков к приемлемому уровню», — заключил Алексей Мальнев.
Если вы хотите узнать больше про SOC, его технологии и куда всё это движется, обязательно приходите на SOC-Форум Live, который пройдёт 1 декабря в онлайн-режиме. Там вы не только узнаете много нового, но и сможете пообщаться с коллегами, единомышленниками, поучаствовать в конкурсах и выиграть.