«Весной этого года увеличилось количество кибератак, и спрос клиентов на услуги внешнего SOC начал возрастать»

Финальная сессия первого дня SOC-Форума была посвящена технологиям реагирования и визуализации, применяемым в работе центров мониторинга. 

Анна Олейникова, директор по продуктам Security Vision, рассказала о возможностях и нюансах использования аналитики угроз TI (Threat Intelligence) в качестве одного из источников генерации расследования инцидентов. В рамках TI информацию об угрозах и злоумышленниках в киберпространстве можно разделить на несколько уровней данных.

На нижнем уровне представлены технические индикаторы компрометации: IP, хэш, URL, домен, почтовый адрес – они легко находятся в Интернете в публичных источниках, быстро идентифицируются в активах на хостах, но их зачастую не хватает для расследования. Есть также операционные и тактические данные – это данные по различным поведенческим индикаторам, которые показывают вредоносную активность в динамике. Последний уровень данных – стратегический. Всё это формирует контекст конкретного индикатора и дает возможность расследовать конкретный инцидент ИБ в полном масштабе. 

«TI сегодня очень модное направление, многие организации заинтересованные в том, чтобы анализировать собственные угрозы, вкладывают в это много денег. Но часто такие задачи решаются без конкретных целей. Нужны рамки. В TI огромное количество информации. Мы можем просто утонуть в ней, если не будем ее каким-то образом ограничивать», – предупредила спикер. 

Ведущий секции, заместитель директора департамента консалтинга Innostage Данияр Исхаков, представил доклад «Централизация принятия решений по ИБ, или как перестать отращивать дополнительные глаза и руки у ИБ специалистов». Он рассказал о концепции продукта своего SOC «Единое окно принятия решений», в котором реализована единая платформа принятия всех решений в области ИБ. 

Выступающий так объяснил потребность компании в этом продукте: «Весной этого года увеличилось количество кибератак, и спрос клиентов на услуги внешнего SOC начал возрастать. Мы поняли, что с каждым новым проектом процент работы наших аналитиков, выходящей за пределы мониторинга и реагирования, резко увеличился. Оценивать их эффективность стало проблематично, и главное – последующий рост заказов возможен только при линейном росте количества персонала. Мы решили создать межвендорную экосистему, когда мы работаем над процессами, определяем их взаимосвязи – как работа одного процесса может улучшить и дополнить работу следующего процесса. Мы определяем необходимые для нас интеграции и потоки событий и уже, исходя из этого, вырабатываем некую межсистемную шину, которая позволяет сократить количество ручной обработки данных из одной системы и передачу их в другую систему». 

Григорий Ревенко, директор центра экспертизы R-Vision, говорил о полезности экосистемного подхода в реагировании на инциденты – в частности, на примере решения R-Vision EVO. Экосистема – это набор технологий или сервисов одной компании, дополняющих друг друга как единый организм. Важно отличать экосистему от набора продуктов. В последнем случае продукты, даже хорошие по отдельности, не знают о существовании друг друга и не пользуются результатами работы. «В экосистеме же все компоненты так или иначе существуют в синергии с остальными, и работа со всеми данными происходит транспарентно, то есть прозрачно и без необходимости дублировать функционал (то есть без функциональных колодцев)», – объяснил он. 

Марина Воронина, руководитель группы систем мониторинга департамента проектирования и внедрения компании «Инфосистемы Джет», представила принципы организации Security Data Lake (SDL). Требования, предъявляемые к SDL, – это высокий уровень сжатия при хранении событий, удобный веб-интерфейс для поиска, возможность преобразования событий перед отправкой в SIEM, быстрый поиск по событиям, компонент сбора, нормализации и фильтрации событий. В существующих SDL часто не хватает одинакового набора полей, автоматизированной интеграции и полноценной поддержки фильтров.

«Чем наше интеграционное решение отличается от остальных SDL на рынке? Мы решили, что нужно заложить одинаковый набор полей событий, таких же, какие есть в SIEM, с которым мы интегрируемся. При этом мы разрабатываем парсеры под все типы событий, поставляем это как экспертизу в рамках нашего решения. Мы делаем одинаковую нормализацию событий, но при этом предоставляем расширенный набор полей для всех типов событий. Мы также добавили расширенную автоматизированную конвертацию фильтров SIEM в фильтры SDL. Как результат – можно собирать максимально расширенный аудит», – отметила спикер. 

Автоматическое реагирование на основе знаний стало темой выступления Алексея Шанина, директора компании UDV group. «На мой взгляд, фундаментальная проблема мониторинга ИБ состоит в том, что наш мир в целом не совершенен. Мы работаем с некоторым представлением этого мира и должны учитывать все ограничения, которые имеем в модели. В первую очередь, данные не всегда легко получить – например, при анализе сетевого трафика», – поделился он. 

Формула эффективного мониторинга и противодействия атакам, таким образом, состоит в сочетании знаний о нарушителях и угрозах со знаниями о защищаемой системе, и в исключении человеческого фактора с помощью автоматизации.

16 ноября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.01.2025
Универсальный платёжный QR-код выйдет из монохрома
14.01.2025
Геймерам не о чем беспокоиться (?)
14.01.2025
Генеративный ИИ буквально раскармливает мировые дата-центры
14.01.2025
90% карт, задействованных в отмывании средств, принадлежит нерезидентам
14.01.2025
Ответил скамеру раз — жертва навсегда
14.01.2025
Зайди в настройки! Технические способы предупреждения мошеннических звонков и спама в смартфонах
13.01.2025
Суд: Замедление YouTube не делает сервис полностью недоступным
13.01.2025
В эту игру можно играть вдвоём. Пиратское ПО захватывает данные любителей бесплатного софта
13.01.2025
«Там ещё и конкурс имеется». «Сбер» — о вузах для будущих скамеров
13.01.2025
Жители столиц охотнее делятся своей биометрией, чем остальные россияне

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных