19-20 ноября в Москве прошел SOC Форум «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ». Во второй день Форума вниманию аудитории был представлен целый ряд кейсов, рассказывающих о практической составляющей построения и функционирования SOC.
В ходе сессии «SOC как сервис: практические кейсы» состоялся ряд докладов, большая часть которых были совместными – выступал производитель и поставщик услуг вместе с представителем компании-заказчика.
В начале сессии один из ее модераторов – Антон Юдаков выступил с докладом «Кибербезопасность 24*7 - или жизнь SOC в непрерывном противодействии». Он рассказал о том, что большая часть клиентов компании сотрудничает с «Ростелеком-Солар» уже не первый год, а на протяжении 3-5 и более лет. «Начиная оказывать сервис, развивая его, распространяя на филиальную сеть, оснащая сценариями, шагая в технологическую инфраструктуру, в бизнес-системы, мы так или иначе живем совместной operation-жизнью с заказчиком, на ежедневной основе сталкиваясь с теми или иными угрозами в реальности», – отметил Антон Юдаков.
Работа с заказчиком – это путь, который никогда не заканчивается. Даже после того, как получены доступы настройки учетных записей, есть понимание полноты аудита событий, осуществлена разработка контента и запущены сценарии, легче не становится, потому что проблемы подстерегают на каждом шагу ежедневно. И таких историй огромное количество, подчеркнул эксперт «Ростелеком-Солар» и привел их примеры: «Один заказчик регулярно ставит обновления на операционной системе, вот только каждый раз после перезагрузки события с определенных источников перестают поступать к нам. И мы через заявки в IТ на стороне заказчика этот доступ восстанавливаем. Или другая история. Заказчик решил, что его антивирусное ПО не удовлетворяет каким-то потребностям и меняет его или текущую версию на новую. Это влечет за собой обновления партеров запуска сценариев или корректировку сценариев. Более того в реальности часть тех событий, которая была в предыдущей версии теряется. Или еще один из подводных камней, – продолжает свой рассказ Антон Юдаков. – В случае если заказчик при переходе на новую версию еще и поменял лицензию, то какая-то информация, причем, значительная для нашего сервиса, может вообще пропасть из событий, которыми мы оперируем в своей работе. Про такие типовые проблемы как, например, истечение срока действия пароля или закрытие доступа, я даже не говорю».
Еще один серьезный вызов – это изменчивый мир, в котором постоянно появляются новые угрозы и уязвимости, злоумышленники начинают использовать новые методы проникновения, адаптируют свои принципы работы внутри инфраструктуры, отметил Антон Юдаков. «Все это тоже надо учитывать и у нас запущен на ежедневной основе большой пул активностей по отслеживанию всех новых угроз и доработки контента в том числе запуска определенных сценариев, которые заказчику не видны».
По словам CISO HeadHunter Виталия Терентьева, основной вопрос для его компании заключался в том, зачем вообще нужно строить внешний SOC и почему нельзя расширить внутренний штат безопасников, создав соответствующие компетенции. В HeadHunter посчитали, что гораздо выгоднее экономически пригласить партнера (прим. ред. компания "Информзащита"), который приведет необходимое количество систем, экспертизы, знаний.
«Я не хотел в своем департаменте делать 200 линий поддержки, выращивать малокомпетентных людей, – сказал Виталий Терентьев и объяснил почему. – Я не верю, что аналитик SOC станет массовой профессией через 2-3 года. Скоро SOC базовые события научится анализировать самостоятельно. Кроме того, для приобретения SIEM и еще десятка систем необходим очень мощный бюджет. Пообщавшись со специалистами, которые работали с SOC, я понял, что все можно сделать в 3-4 раза дешевле, причем, еще и избавиться от технических проблем, проблем с поддержкой, и одновременно достичь высокого уровня качества сервиса. Здесь совершенно другой уровень ответственности, другой уровень хеджирования рисков. Это стало для моих инвесторов хорошей отправной точкой для внедрения этой системы».
Самое главное, что хотела получить компания от внедрения SOC, это мониторинг всех событий. HeadHunter имеет огромное количество систем безопасности в силу специфичности инфраструктуры и свести их воедино было одной из основных задач данного проекта, которая и была успешно решена.
Руководитель службы информационной безопасности АО КБ «Юнистрим» Сергей Коханько поделился с аудиторией Форума тем, как в его банке выбирали SOC.
«Каждая кредитная организация сталкивается с компьютерными атаками, которым необходимо противодействовать, иначе это может сказаться на работе всей системы, – отметил Сергей Коханько. – Для эффективного противодействия всем угрозам необходимо собирать все события информационной безопасности и принимать решения на основании их анализа. В определённый момент времени понимаешь, что невозможно просмотреть все события, невозможно их проанализировать. Поэтому для управления инцидентами было принято решение о необходимости внедрения SOC».
Эксперт рассказал, что изначально руководство банка ставило задачу по построению собственного SOC. Однако в силу сжатых сроков и ограниченных людских ресурсов было принято решение о подключении внешнего SOC как услуги. Как раз год назад на SOC Форуме представилась возможность получить информацию об услугах внешнего SOC от различных компаний. В итоге были достигнуты договоренности о проведении пилота с несколькими компаниями, предоставляющими SOC как сервис.
Решение выбиралось по следующим критериям: наличие экспертизы у исполнителя, уровень стоимости и скорость внедрения в инфраструктуру. Не все решения отвечали ожиданиям банка: в одном случае стоимость выходила за рамки бюджета, в другом – время реакции на выявленные события ИБ было слишком длительным. По результатам пилотного проекта было выбрано оптимальное решение, отвечающее требованиям банка «Юнистрим», – это SOC от компании Angara Professional Assistance.
SOC помог банку глубже изучить свою инфраструктуру, повысить эффективность процессов, получить в помощь оптимальные настройки средств защиты для сбора необходимой информации, решить проблему получения копий трафика на арендованной виртуальной инфраструктуре.
«На текущий момент у банка есть SOC, а у сотрудников банка службы ИБ – здоровый сон, – отметил Сергей Коханько. – У банка появился инструмент, позволяющий в онлайн режиме получать информацию о событиях в инфраструктуре, в том числе для нужд IТ. Наличие SOC позволяет банку выполнять требования регулятора и вести журналы всех событий информационной безопасности».
Прошедшая сессия стала весьма продуктивной в плане взаимного обогащения актуальными предложениями, конструктивными замечаниями, обмена опытом между поставщиками услуг и потребителями данного сервиса.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных