BIS Journal №2(37)/2020

28 мая, 2020

Эффективный SOC – это сложно. Но недорого

Тинькофф — первый и единственный в России полностью онлайн-банк и финансовая экосистема, обслуживающая свыше 11 миллионов клиентов дистанционно через онлайн-каналы и контакт-центр. Структура экосистемы накладывает высокие требования к уровню информационной безопасности как внутренних ИТ-систем, так и финансовых продуктов, сервисов. В этом контексте ключевые приоритеты для Тинькофф – стабильное бесперебойное функционирование операционных процессов и защита от широкого спектра киберугроз, несущих потенциальные риски для ежедневной работы банка.

На прошедшем в феврале XII Уральском форуме Дмитрий Гадарь и Игорь Кубышко рассказали об уникальном опыте и эффективной работе центра оперативного управления информационной безопасностью Тинькофф. Публикуем их выступление в кратком изложении.

 

КОМПОНЕНТЫ SOC

Большинство Security Operations Center строится сегодня из одинаковых компонентов: системы безопасности, источники событий, SIEM, SOAR. К первым можно смело отнести антивирусы, системы обнаружения вторжений и прочие, источниками же информации могут быть операционные системы, серверы, рабочие станции, прикладные системы.

SIEM (Security Information and Event Management) — система, предназначенная для анализа информации, поступающей от различных других систем, таких как DLP, IDS, антивирусов, различных железок и дальнейшего выявления отклонения от норм по заданным критериям. При выявлении отклонения генерируется инцидент.

 

SIEM включает:

  • транспортировку и нормализацию поступающих данных: в общую архитектуру могут входить коллекторы, коннекторы и дополнительные брокеры данных;
  • хранение и визуализацию данных;
  • правила корреляции, обогащения и алертинг: это правила SIEM, которые позволяют оповещать об атаках, изменениях показателей защищенности инфраструктуры и внутренних процессах в компании, отправлять оповещения в e-mail, мессенджер, тикет системы.

SIEM для эффективного и быстрого реагирования на инциденты не всегда важен, без него можно обойтись, например, заменив обычной системой log management. Важно правильно выстроить процессы, подобрать персонал, который сможет заниматься инцидентами информационной безопасности и быть основой для SOC. То есть SOC возможен без SIEM.

Один из процессов, без которого не может обойтись ни один SOC – Incident response.

Это реагирование на инциденты информационной безопасности, выстраивание правильных процессов и автоматизация реагирования. Есть индикаторы компрометации, по которым мы ищем аномалии в поведении. Среди индикаторов компрометации – IP, домены, хеши файлов, размеры файлов. Здесь есть два подхода: первый — поиск чего-то известного, злодейского в поведении; второй — профилирование поведения системы, пользователя и поиск отклонений от профиля. При этом считаются любые отклонения и выстраивается реагирование на них. Но второй вариант применим лишь для некоторых систем. Ярким примером являются банкоматы, поведение которых хорошо профилируется и любое отклонение от штатного поведения можно считать инцидентом.

Следующий компонент — MISP (Malware Information Sharing Platform) — это платформа для сбора, агрегации, актуализации базы IoC. Система позволяет удобно хранить данные, полученные с помощью поиска информации об атаках и IoC, как из открытых источников – Twitter, Allien Vault, Telegram каналов, так и платных источников.

Playbooks — это не просто бумажка, а техническое описание управляемых процессов. Часть из них может быть автоматизирована. При этом важно поддерживать их в актуальном состоянии: избавляться от старых, создавать новые, релевантные тем угрозам, которые существуют у организации.

Немного отдельно стоят аддоны: threat hunting, machine learning, antifraud, которые хорошо коррелируют со всеми частями SOC.

Threat hunting позволяет осуществлять активный поиск угроз. Здесь могут применяться индикаторы, техники и тактики поведения злоумышленников.

Совместно с ИБ-компаниями Тинькофф проводил «пентест наизнанку»: искали признаки того, что в данный момент банк находится под атакой.  Если бы атака обнаружилась, банк оплатил бы работу.

Так, если рассматривать, что среднее время атаки составляет три месяца, то такая аналитика раз в квартал с большой вероятностью поможет выявить злоумышленника ещё до того, как он нанёс ущерб компании.

Машинное обучение в будущем может заменить безопасность, поскольку ищет как раз отклонения от нормального поведения.

Очень важно при планировании своей архитектуры и в целом информационной безопасности опираться на цели, ради которых вы это делаете, и основываться на тех потребностях, которые есть у вашей организации, конкретно с вашими рисками в той области угроз, в которой вы находитесь.

 

SOC – ГЛАЗА ВСЕЙ БЕЗОПАСНОСТИ

Тинькофф использует как внешний, так и внутренний SOC. Базовые сервисы и всё, что профилируется, стандартизируется, отдано под внешний SOC, а специфические темы или темы, которые вряд ли нужны всему рынку, делаются самостоятельно.

Ключевую роль при построении ИБ в Тинькофф играет персонал, который может поддерживать систему и решать бизнес-задачи. На второй уровень выходят процессы, а уже потом возникают технологии.

При работе с инцидентами есть определённый план действий. На первом этапе Incident Response стоит подготовка к инциденту: различные комплаенс контроли, настройка средств защиты, в том числе написание плейбуков. Далее начинается работа SOC — обнаружение злоумышленников.

SOC не всегда может обнаружить аномалии, потому что информация может прийти и со стороны: от клиентов или сотрудников. После обнаружения необходимо сдержать злоумышленников. И тут опять нужен выработанный план действий в случае обнаружения какой-либо угрозы в инфраструктуре. С помощью внутренней команды Red Team проводятся учения и проверяются актуальность и работоспособность playbook и правил корреляции.

Последний этап – это выводы: где они хорошо сработали, а где плохо, как в дальнейшем сделать так, чтобы атака не повторилась, какие контроли сработали эффективно, а какие нет. После прохождения всех этапов по реагированию процесс повторяется.

 

ОБЗОР

Threat Intelligence. Регулярный и системный сбор информации об угрозах, её улучшение и обогащение, применение этих знаний для защиты, а также возможность делиться ими с теми, кому они могут быть полезны, а также анализ вредоносного ПО собственными силами. Например, Тинькофф регулярно делится с доверенными компаниями информацией об индикаторах компрометации.

Технологии: Open source. В банке есть компетенции, позволяющие дорабатывать тот или иной open source под свои задачи. Политика в данном вопросе такова: мы своими силами оперативно стараемся найти решение, а не покупать его или запрашивать на стороне. Зачем? Для достижения цели наименьшими усилиями. Далеко не все решения, которые предоставлены на рынке, могут оперативно покрыть внутренние специфические задачи, а предлагаемые решения могут содержать не актуальный для наших условий функционал.

Архитектура: Системы безопасности. Используются стандартные антивирусные решения, EDR, различные песочницы и.т.д. Однако в последнее время EDR в плане детектирования злоумышленника выходит на высший уровень. К классическим средствам также добавлены расширенный мониторинг, TI (OSINT), red teaming, интегрированый в оценку реальных рисков, расширенное журналирование и реагирование…

Аналитика. Для аналитика SOC быстро собрать какие-то аномалии внутри той или иной машины, того или иного сервера, EDR решение — это прекрасная вещь. В этот момент даже не нужен SIEM. EDR позволяет не только заблокировать активность, но и предоставить ход заражения (Timeline) сервера или рабочей станции для анализа и эффективного реагирования.

Стандартизация правил. Аналитика берётся извне, например, из сигма-правил, в простом формате эти правила можно транслировать как в Arcsight, так и на стек ELK или другую SIEM систему.

Песочницы. В Тинькофф эшелонная защита из решений нескольких вендоров. Ежегодно пересматривается эффективность каждого эшелона по отношению к актуальным угрозам на рынке.

Отправка и нормализация данных. В этом вопросе тоже классический подход — использование коллекторов. Банк собирает события средств защиты и кладёт на хранение в брокер Kafka, который позволяет 12 часов хранить большой поток данных, не боясь их потерять.

Хранение данных и визуализация. Здесь за основные системы используют Elastic и Arcsight. Дальше уже внутренняя разработка. обвязки, которая позволяет оптимизировать проблематику эластики. Также они используются другие различные системы визуализации. 

Оркестрация и автоматизация управления инцидентами. Тинькофф использует open source, который в большей части переделан под собственные задачи и специфику внутренних процессов.

Смотрите также