BIS Journal №4(35)/2019

20 декабря, 2019

SOC: типовые трудности и советы по запуску

В зависимости от задач и уровня зрелости инфраструктуры, компании выбирают путь построения собственного центра оперативного реагирования (т. н. in-house SOC), либо — использования услуг центров оперативного реагирования (outsourced SOC). Сегодня мы поговорим о типовых проблемах и трудностях возникающих в каждом из этих случаев, а также дадим практические советы по построению собственного Security Operation Center (SOC).

 
SOC И РЕАГИРОВАНИЕ НА СОВРЕМЕННЫЕ УГРОЗЫ

На взлом 90% компаний в среднем нужно от 1 до 5 дней, и только в 1 случае из 10 факт взлома обнаруживается атакуемой организацией самостоятельно. Все чаще организации становятся жертвами целевых атак (APT). И особенно явно эти тренды видны в финансовой сфере: по данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли, из них 177 были целевыми. По данным исследований Positive Technologies, в 58% банков злоумышленник может получить доступ к тем или иным критически важным системам — к управлению банкоматами, системам межбанковских переводов, карточному процессингу или платежным шлюзам. Security Operation Center во многом являются ответом на современные угрозы (включая APT-атаки). В первую очередь они помогают постоянно и тщательно наблюдать за активами в инфраструктуре, а во вторую — становятся центром управления уязвимостями, выявления и управления инцидентами ИБ, расследования и реагирования на них,поиска новых угроз.

Команда центра оперативного реагирования — один из ключевых элементов экосистемы, благодаря которому удается выстроить устойчивые внутренние процессы и обеспечить эффективную работу средств защиты. Команда, глубоко понимающая современный ландшафт киберугроз, способна адаптировать систему ИБ под новые угрозы и гарантировать непрерывность процессов обеспечения кибербезопасности.

 

ГЛАВНЫЕ ОШИБКИ ПРИ ПОСТОРОЕНИИ SOC

Построение SOC — сложный процесс, во время которого многие делают типовые ошибки, не позволяющие добиться высокой эффективности, например:

  • Чрезмерная надежда на ИБ-аутсорсинг, возглавляющая этот рейтинг, чреватая иногда тем, что экспертиза внутренних команд перестает расти, а обеспечение кибербезопасности превращается в слепое следование рекомендациям сервис-провайдера. И в итоге красиво начинавшаяся история заканчивается без хэппи энда: утрачивается контроль над развитием ИБ, существующая команда теряет способность изменить ситуацию (ввиду потерь в уровне компетенций), а компания становится заложником тарифов и уровня SLA сервис-провайдера;
  • Неправильное планирование, или попытка купить и внедрить все необходимые средства защиты разом – решение героическое и храброе, но, как показывает практика, — тоже часто обреченное на неудачу. Построение SOC — процесс небыстрый, требующий тщательного планирования и удачных случаев построения центра оперативного реагирования с нуля и за один шаг история пока не знает;
  • Слепое следование стандартам и бездумное применение международных практик. В этом случае все начинается с правильной мысли о том, что не нужно изобретать велосипед, а заканчивается тем, что в ИБ-процессы внедряются международные стандарты, принципы agile, копируются лучшие международные практики и пр. На деле же, без адаптации под специфику конкретной организации, это оказывается скорее вредным, чем полезным.

 

ПОСТРОЕНИЕ ЦЕНТРА РЕАГИРОВАНИЯ: ПОШАГОВЫЙ ЧЕК-ЛИСТ

Это были основные «грабли», по которым часто ходят строители SOC`ов. В противоположность им есть и другой подход, более неспешный, но, вместе с тем, системный и поэтапный. Этапность, в данном случае, зависит от уровня зрелости ИБ в организации и квалификации экспертов. Зрелость ИБ и квалификация персонала в этом случае будут наращиваться от этапа к этапу с одновременным «причесыванием» инфраструктуры, построением процессов, написанием регламентов, набором персонала и его обучением, внедрением средств защиты. В итоге, на каждом этапе применяется то, что действительно необходимо в конкретный момент и не делаются внедрения «на вырост». Такой подход поможет оптимизировать инвестиции и трудозатраты на создание SOC, выработать стратегию развития ИБ на несколько лет, с понятными задачами, результатами и показателями эффективности.

 

Шаг первый: аудит периметра

Периметр компании — первый барьер защиты на пути атакующего. От его защищенности напрямую зависит количество векторов атак на инфраструктуру и скорость их реализации. Потому в первую очередь важно понять, как выглядит периметр с точки зрения киберпреступника и какие «белые пятна» необходимо устранить. В ходе аудита периметра необходимы инвентаризация и анализ типовых уязвимостей внешних информационных систем. Эти задачи можно выполнить самостоятельно, а можно воспользоваться внешней услугой по усиленному контролю сетевого периметра (Advanced Border Control).

 

Шаг второй: защита периметра

Первичный аудит позволяет понять текущий уровень защищенности периметра, на основе чего уже можно принимать обоснованное решение о том, каким образом защищать периметр и какие меры предпринять. И здесь необходимо уделить внимание самым простым, но наиболее эффективным методам проникновения в инфраструктуру, к которым относится, например, фишинг, к которому по статистике уязвимы до 75% банков. Базу для закрытия основных векторов проникновения в инфраструктуру организации могут сформировать, к примеру, решения класса межсетевых экранов уровня приложений, позволяющие обнаружить атаки на публичные сервисы компании (PT Application Firewall), класса Network Traffic Analysis, решающие задачи по выявлению атак на периметре (PT Network Attack Discovery), решение для выявления вредоносного ПО (PT Multi Scanner). Таким образом основные векторы проникновения в организацию из вне закрыты, а именно: веб, электронная почта и пользовательский трафик.

 

Шаг третий: защита внутренней инфраструктуры.

Когда периметр защищен, можно переходить к защите внутренней инфраструктуры, что связано с решением ряда задач:

  • инвентаризация и выявление уязвимостей внутренних информационных систем;
  • выявление вредоносного ПО внутри инфраструктуры;
  • Выявление следов компрометации в трафике;
  • Анализ событий безопасности и выявление инцидентов.

Основным инструментом здесь может выступать сканер уязвимостей (например, MaxPatrol 8), на базе которого строится цикл управления уязвимостями. Также логичным на этом этапе является внедрение системы выявления инцидентов ИБ (MaxPatrol SIEM) и средств мониторинга трафика, что является одним из ключевых элементов в комплексной системе выявления угроз.

 

Шаг четвертый: продвинутые методы защиты

Всесторонняя защита периметра и внутренней инфраструктуры готова. Что же дальше? Для борьбы с продвинутыми угрозами требуются новые способы оценки защищенности. Таким образом достигается непрерывное и устойчивое развитие системы информационной безопасности. Эти методы также могут показаться знакомыми: регулярные оценки защищенности (тесты на проникновение, аудиты исходного кода, ретроспективный анализ трафика и пр.), расследование инцидентов, Threat Intelligence и Threat Hunting. Продвинутая программа может быть бесконечно широкой, но она должна давать ответ на вопросы:

  • Снизятся ли в итоге риски взлома?
  • Позволит ли это выстроить процессный подход к выявлению и расследованию атак?
  • Соответствует ли инфраструктура внутренним политикам ИБ?

Если все три ответа положительные, то путь выбран верно.

 

Шаг пятый: обучение специалистов SOC

Без людей нет процессов и нет необходимости в средствах защиты. Готовых экспертов на рынке катастрофически мало, а их обучение, зачастую, занимает длительное время, а рост числа инцидентов диктует свои правила: экспертов важно растить внутри компаний, ведь их ценность удваивается, если прикладные знания подкреплены пониманием инфраструктуры компании. Повышать уровень экспертизы важно для специалистов всех линий SOC: первую линию стоит прокачивать в области непрерывного мониторинга, первую и вторую — в расследовании и реагировании на инциденты. Третью линию также желательно иметь в штате, но при необходимости для проведения сложных расследований киберинцидента можно привлекать внешнюю экспертизу. Это весьма успешная практика, которая позволит снизить стоимость владения SOC.

Построение SOC — процесс кропотливый, требующий серьезного планирования и ресурсов. В процессе его построения уровень зрелости ИБ организации будет расти от этапа к этапу, а итоговый результат — безусловно будет стоить всех затраченных усилий, финансов и времени.

Смотрите также