«Оказалось, что главным генератором критичных инцидентов является внутренний нарушитель…»

Сессия «SOC в промышленных предприятиях и ТЭК» состоялась в рамках второго дня SOC-Форума 2021. Ведущим сессии выступил начальник Службы информационной безопасности АО «СО ЕЭС» Лев Палей. Докладчики поделились успешными отраслевыми кейсами.

Говоря о практике применения сервисов SOC на металлургическом предприятии, начальник управления средств защиты ИТ-инфраструктуры «Трубной Металлургической Компании» Антон Кокин отметил, что сценарии SOC, предоставляемые «из коробки», работают на конкретном объекте крайне редко: «Любой сценарий, технический процесс нужно подводить под бизнес-процессы компании». В ТМК разработана комплексная метрика критичности, которая учитывает инфраструктурные особенности объектов, бизнес-потребности, и вопросы комплаенса. 

В рамках того же выступления руководитель отдела аналитики инцидентов Solar JSOC («Ростелеком-Солар») Алексей Разумов рассказал о сценариях выявления инцидентов ИБ, их классификации, вариантах настройки и управления, а также методике выбора и запуска. По его словам, верхнеуровнево все сценарии можно разбить на три крупных блока: детекты конкретной детерминированной активности, сценарии по выявлению продолжающегося события (могут быть статические и динамические пороги, могут применяться различные математические модели), сценарии на основе профилирования активности. «Важно отметить, что с каждым следующим блоком увеличивается как сложность запуска этих сценариев, так и сложность обработки выявляемых инцидентов. Отдельный блок – сценарии Threat Hunting, целью которых является изучение, анализ и проработка гипотез по выявлению новых атак и угроз. В случае успешной проработки они могут перемещаться в основной набор сценариев» – добавил он.

Начальник отдела глобальной горно-металлургической компании «Евраз» Андрей Нуйкин показал, как возникает необходимость внедрения систем SOAR и IRP. Он начал с того, что создание SOC – финальный этап развития ИБ-инфраструктуры крупной компании, который позволяет специалистам ИБ не только замечать все инциденты, но и оперативно реагировать на них, управлять и предотвращать. Но только использования SOC оказывается недостаточно: «Со временем мы подключаем всё больше источников, у нас появляется больше событий, операторам становится всё сложнее реагировать на них. Мы понимали, что нужно освободить операторов от каких-то рутинных задач», – рассказал спикер, переходя к предпосылкам и отраслевой специфике внедрения и эксплуатации IRP\SOAR. Среди преимуществ внедрения IRP\SOAR на промышленном предприятии были отмечены снижение рутинной нагрузки на операторов SOC, снижение среднего времени обнаружения инцидента (MTTD) и реагирования на инцидент (MTTR), четко описанный сценарий реагирования и другие.

Директор по информационной безопасности «Сегежа Групп» Максим Королев продолжил тему отраслевых аспектов использования внешнего SOC с точки зрения деревообрабатывающей отрасли. Отраслевой спецификой обеспечения ИБ в компании являются географическая распределенность объектов и большие расстояния между ними, наличие зарубежных активов, низкая защищенность приобретаемых региональных активов. Проект по подключению организации к SOC от МТС показал свою эффективность. «Сегодня мы обрабатываем около 40 млн событий в сутки, формируется примерно 15 инцидентов, причем около половины из них имеет критический уровень. Средняя скорость информирования у нас примерно 20 минут с момента наступления события. Оказалось, что главным генератором критичных инцидентов является внутренний нарушитель – привилегированные пользователи, системные администраторы», – отметил спикер.

Руководитель группы систем мониторинга компании «Инфосистемы Джет» Марина Воронина и директор Центра экспертизы R-Vision Всеслав Соленик поделились кейсом по построению сервисного SOC в промышленной компании. Речь шла о проекте по созданию корпоративного SOC «под ключ» и предоставлению услуг Jet CSIRT. «Перед заказчиком стояла цель организовать сервисы по мониторингу, реагированию и анализу уязвимостей.

Для ее достижения мы разработали процессы по управлению активами, инцидентами и уязвимостями», – начала Марина Воронина. «Подчеркну, что когда мы делаем проект по построению SOC – это не просто внедрение SIEM и SOAR. Это, прежде всего, серьезный консалтинг: как построить сам сервис, процессы», – добавил Всеслав Соленик. Таким образом, в проекте участвовала команда инженеров, которая решает технологический стек, а также команда аналитиков и консультантов.

Менеджер по развитию бизнеса «Лаборатории Касперского» Тимур Ниязов представил цифровую модель ИБ для промышленного SOC. «Проекты по ручному проектированию ИБ на промышленных объектах – это длительные процессы, по результатам которых рождается огромное количество бумажных документов, с ними впоследствии сложно работать. Ряд задач в рамках проектирования можно автоматизировать. Есть яркие примеры использования подобных систем в различных направлениях (например, в проектировании инженерных сооружений и систем), но нет таких примеров для задач ИБ. Поэтому мы задались целью привнести на рынок нечто новое и разработали продукт Kaspersky Security CAD. Одна из его функций – создание цифровой модели промышленного объекта, которая позволяет на всем протяжении жизненного цикла объекта вносить изменения, оперативно корректировать данные и, по сути, иметь перед собой цифровой двойник промышленного объекта», – пояснил он.

8 декабря, 2021