BIS Journal №4(39)/2020

28 декабря, 2020

Ступенью выше

Центр киберустойчивости Angara Cyber Resilience Center отменил границы.

Острую потребность в организации качественного мониторинга и реагирования на инциденты ИБ испытывают предприятия как крупного, так и среднего и малого бизнеса. Отслеживать состояние информационной инфраструктуры, предотвращать и нейтрализовать последствия кибератак можно несколькими способами. Строить собственный SOC (Security Operations Center) либо покупать стандартизированный пакет необходимых услуг у коммерческих SOC. В ряде случаев сложившееся разделение между практиками предоставления услуг интеграторов и сервисных услуг безопасности снижает эффективность процесса мониторинга ИБ, поскольку не даёт инструменты для решения специфических и уникальных задач бизнеса в каждой отдельно взятой организации. В этой статье мы расскажем, как группа компаний Angara решила сложившуюся проблему путём запуска сервисов Managed Detection and Response Services (MDRS).

 

ЕСТЬ ТОЛЬКО ДВА ПУТИ?

Сегодня у функционального заказчика есть два варианта решения задачи по автоматизации процессов ИБ в части мониторинга событий, их последующего анализа и реагирования на возможные подозрения или инциденты. Отдать мониторинг ИБ на аутсорсинг коммерческому SOC либо обеспечивать данный процесс с использованием собственного штата экспертов и средств защиты информации, наняв экспертизу у интегратора для их проектирования, внедрения, настройки и технического сопровождения.

Во втором случае, на нашей практике заказчики нередко сталкиваются с проблемой, когда технические решения внедрены и работают, а трудовых ресурсов для полноценной реализации самого процесса мониторинга и реагирования нет или их недостаточно. В зависимости от имеющейся стадии зрелости процессов SOC − SOMM (Security Operations Maturity Model) здесь сказывается как высокая стоимость ФОТ, так и кадровый дефицит в этой области, с которым многие сталкиваются на протяжении последних лет. При этом передать эту функцию на аутсорсинг редко представляется возможным, поскольку чаще всего коммерческие SOC отказываются работать по данному направлению с использованием сторонних решений заказчиков, которые не применяются в основе их услуги. И это одно из немногих ограничений, которые существуют в рамках сложившегося разделения между двумя способами решения на сегодняшний день.

В результате необходимое развитие жизненных циклов процессов мониторинга ИБ замедляется, а в крайнем случае и вовсе откладывается, оставляя заказчика и его команду на той же стадии зрелости, что были в конце этапа внедрения, с постоянно растущей информационной инфраструктурой и создающимися сервисами. Суровая статистика ряда известных игроков в индустрии однозначно показывает, к чему это обычно приводит:до половины оповещений о возможных угрозах ИБ могут оставаться необработанными, а в отношении оставшейся обработанной половины не всегда применяются минимально необходимые меры по предотвращению или ликвидации угрозы. При наличии подобных пробелов в столь критичном для защиты бизнеса и его интересов направлении с учётом сегодняшнего перечня угроз высока вероятность оказаться в составе той самой статистики, учитывая, что только от ransomwareза 2020 год пострадал 51% представителей крупного бизнеса, согласно отчёту Sophos. И это только те случаи, о которых заявили публично.

 

SOCON-PREMISE ИЛИ OUTSOURSE? БОЛЬШЕ НЕ НАДО ВЫБИРАТЬ

Группа компаний Angara решила стереть границу между SOC on-premise и SOC outsource и предложить заказчикам самим выбирать, как «перемешивать» эти направления в соответствии с особенностями стоящих перед ними задач и проблем. Для этого мы представляем рынку новое ценностное предложение в рамках обновлённого Центра киберустойчивости ACRC – MDRS, которое объединит классические услуги по обоим направлениям и удовлетворит самые специфичные запросы бизнеса, предвосхитив тем самым рост потребностей в MDRS в течение ближайших двух-трёх лет.

Напомним, что в классический перечень услуг интеграторов в рамках решения задач по направлению мониторинга информационной безопасности входят:

  • автоматизация процессов ИБ в части организации мониторинга событий (SIEM/SEM);
  • обогащение процессов ИБ сторонней аналитикой (Security Feeds & TI);
  • мониторинг и управление инцидентами ИБ (SIEM/IR-SOC);
  • автоматизация управления и реагирования на инциденты ИБ (IRP/SOAR-SOC);
  • визуализация и контроль метрик эффективности (SI-SOC).

Классический перечень услуг в рамках коммерческих SOC с применением использующихся у них решений включает:

  • обнаружение и анализ инцидентов ИБ;
  • оценка и принятие эффективных мер реагирования на инциденты ИБ;
  • выработка рекомендаций по осуществлению превентивных защитных мер и улучшение общего подхода к управлению инцидентами ИБ;
  • минимизация воздействия инцидентов ИБ на бизнес-процессы заказчиков.

В рамках запущенной модели оказания услуг MDRS клиенты получают возможность подключить Red team, Blue team, Purple team и SOC L1/L2 в любом формате, на любом этапе и платформе. Также в предложение компании входят: совместная разработка карт реагирования и карт контактов, регламентов взаимодействия, карточек ролей и полномочий, матриц RACI и другой операционной нормативной базы, совместная или экспертная разработка сценариев детектирования угроз, параметров hardering (настройки аудита) контролируемых объектов информационной инфраструктуры и их согласование с Data Castodian (владельцами сервисов заказчика), с одновременным наполнением и сохранением результатов в базах знаний заказчиков. В рамках Red team, кроме классических услуг данного направления, также доступна услуга по проверке стойкости используемых в информационной инфраструктуре паролей.

В портфеле обновлённого Центра киберустойчивости ACRC, помимо собственной запатентованной платформы ACR Platform, находятся решения, занимающие остальные основные доли сегодняшнего рынка решений класса SIEM, а также решения класса IRP/SOAR, Security Intelligence (BI для ИБ) и аналитический программный комплекс Dataplan, позволяющий работать с большими данными и, применяя алгоритмы машинного обучения и статистического анализа, строить по этим данным метрики, покрывая дополняющую SOC деятельность по ретроспективному анализу больших данных.

 

ВОЗМОЖНОСТИ MDRS

Сервис MDRS по модели подписки обладает неоспоримыми преимуществами. Во-первых, он обеспечивает интерактивность в проведении любых видов работ, предоставив возможность реализации повторяемого и цикличного процесса обмена экспертизой по направлению SOC, играющего столь важную роль во всех областях информационной безопасности. Во-вторых, позволяет сместить фокус на операционные расходы в тех случаях и для тех заказчиков, для которых это является важным аспектом в процессах управления финансами предприятия. В-третьих, выборочное привлечение экспертизы для работы на уже внедрённых решениях позволит не потерять вложенные ранее средства, а также накопить собственный опыт в данном большом направлении ИБ в ходе обмена компетенциями, повысив тем самым эффективность всех процессов ИБ в целом.

Обновлённый перечень услуг в рамках взаимодействия с Центром киберустойчивости ACRC смотрите в таблице.

Таблица. Обновлённый перечень услуг в рамках взаимодействия с Центром киберустойчивости ACRC

 

ПОЧЕМУ ГРУППА КОМПАНИЙ ANGARA

Запустить модель MDRS позволяет накопленная экспертность как коммерческого SOC группы компаний Angara (Центр киберустойчивости ACRC), так и отдела систем мониторинга и реагирования.

ACRC оказывает услуги по мониторингу и выявлению инцидентов информационной безопасности в круглосуточном режиме. С 2019 года является оператором ГосСОПКА. Среди пользователей сервисов – кредитно-финансовые организации, телекоммуникационные и транспортные компании.

Отдел систем мониторинга и реагирования, помимо реализации проектов по внедрению решений класса SIEM, SGRC, IRP/SOAR, Security Feeds & TIP и Security Intelligence, вносит активный вклад в улучшение общего состояния отрасли.Так, экс-руководитель отдела, а сегодня директор Центра киберустойчивости ACRC Тимур Зиннятуллин – один из организаторов международной инициативы Open Security Collaborative Development (OSCD). Кроме того, эксперты развивают открытые репозитории со сценариями детектирования угроз (Sigma).

Объединив накопленный опыт двух направлений, группа компаний Angara обеспечивает более комплексный подход к решению любых функциональных задач, стоящих перед заказчиками по всем веткам направления мониторинга событий, их обогащения и последующего анализа, а также реагирования на возможные подозрения или инциденты информационной безопасности.

Рисунок 1. Верхнеуровневая схема взаимодействия сервисных подразделений в рамках модели MDRS

 

Рисунок 2. Схема оказания услуг в рамках модели MDRS

Смотрите также