В этой статье мы постараемся приоткрыть занавес технических проблем со стороны SIEM-систем и их компонентов, с которыми сталкиваются организации при переходе на следующий уровень развития собственного ситуационного центра (SOC) в модели сервис-провайдера услуг по информационной безопасности (MSSP, Managed Security Service Provider).
Реалии развития современных SIEM-архитектур подталкивают крупные государственные и частные компании в сторону централизации сбора событий информационной безопасности и дальнейшего расследования инцидентов в головном подразделении, где есть высококвалифицированные кадры для расследования сложных таргетированных атак.
С целью коммерциализации своей деятельности и получения дополнительной финансовой прибыли ряд компаний переводят свои ситуационные центры в модель оказания услуг информационной безопасности SaaS (Security asa Service), выступая в роли MSSP-провайдеров. При этом на первом этапе компании, как правило, начинают предоставлять услуги только для собственных дочерних предприятий, а затем уже выходят на рынок предоставления услуг для сторонних организаций.
БАЗОВЫЕ РЕКОМЕНДАЦИИ
Чтобы начать процесс построения MSSP модели,необходимо убедиться в наличии:
Если Вы приняли решение начать предоставлять MSSP-услуги другим лицам и компаниям на базе Вашего SOC, то мы рекомендуем учитывать следующее:
SIEM КАК УСЛУГА MSSP
На сегодняшний день большое количество владельцев SOC уверены, что они готовы принимать «на борт» нагрузку потенциальных клиентов без каких-либо трудностей. Однако их мечты в большинстве случаев обречены разбиться о входной EPS (объем событий поступающих в секунду), отсюда вытекает следующее:
Проблема MSSP №1 - Клиент зачастую сам не знает, что нужно собирать и обрабатывать.
Правило MSSP №1 - Собирать и обрабатывать следует только те события, под которые у Вас есть необходимый контент в SIEM-системе.
Ваша SIEM должна быть готова обрабатывать в режиме реального времени такой объем поступающих событий, который будет достаточным и необходимым для покрытия всех пиковых значений Ваших заказчиков и клиентов.
Основным инструментом для выявления инцидентов ИБ является Ваш контент в SIEM (правила, фильтры, отчеты, дашборды и другое). Такой контент должен удовлетворять следующим требованиям:
На сегодняшний день на российском рынке есть несколько предложений по готовому контенту для SIEM-систем. Так, например, компания «ДиалогНаука» предлагает самодостаточный SOC-пакет правил корреляции собственной разработки,который в том числе может использоваться для реализации MSSP-модели.
МАНИПУЛЯЦИЯ УСЛУГАМИ MSSP
Необходимо понимать, что предоставляемый сервис MSSP – это возможность заказчика выбирать те услуги и компоненты, в которых у него есть потребность в данный момент, а также возможность отключать услуги в случае их неактуальности (DDoS, вирусная эпидемия).
Разработка механизма выбора услуги и ее автоматической активации в случае необходимости является основной задачей разработки архитектуры, так как ручное управление клиентскими услугами уже уходит в прошлое. В данный момент аналогичные механизмы широко применяются при разворачивании виртуальных серверов и сервисов через личный кабинет облачных провайдеров. Отсюда возникает следующая проблема.
Проблема MSSP №2 - Для предоставления услуг должного уровня количество разрабатываемых и необходимых к оптимизации сервисов для MSSP возрастает в разы.
Правило MSSP №2 - Использование решений с открытым исходным кодом (Open Source) в MSSP не всегда плохо, а зачастую просто необходимо (например, The Hive, Elastic Stack, Metron, Hadoop).
ОТЧЁТНОСТЬ И ВИЗУАЛИЗАЦИЯ
Необходимо понимать, что под услугой MSSP понимается весь спектр сопутствующих задач, которые клиент хочет получить от сервис-провайдера, включая визуализацию, расчет метрик KPI, получение отчетности и оперативное оповещение об инцидентах высокой критичности.
В случае MDR-архитектуры дополнительно потребуется предоставление информации об этапности реализации атаки (killchain), классификации угрозы и возможных объектов,находящихся в зоне риска. Отсюда можно сделать следующий вывод:
Проблема MSSP №3 - Качественная визуализация – отдельный программный комплекс, входящий в состав SOC и требующий компетентных специалистов.
Правило MSSP №3 - Отчетность и визуализация – главный инструмент для анализа эффективности работы сервиса MSSP для клиента.
Визуализация должна быть для каждого клиента индивидуальная, как и KPI. Основной проблемой будет являться быстрое разграничение доступов к ресурсам SIEM и шине данных для визуализации и отчетности без изменения большого количества правил, фильтров и других ресурсов.
Примером отчетности могут послужить уведомления об инциденте ИБ в Telegram или другой корпоративный мессенджер. Основная идея заключается в том, что при наступлении инцидента ИБ корреляционное правило запускает скрипт, который добавляет в клиентский telegram-канал всю необходимую информацию.
Мы постарались изложить свой взгляд на те проблемы, с которыми может столкнуться компания на пути трансформации в сервис-провайдера услуг по информационной безопасности. Мы искренне надеемся, что наши рекомендации позволят избежать целого ряда проблем и дадут возможность быстрее и эффективнее предоставлять услуги в рамках модели MSSP и в последующем MDR.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных