BIS Journal №4(43)/2021

5 декабря, 2021

SOC против pentest. Оn-premise или outsource?

В идеальной картине мира состав потенциальных возможностей сегодняшних Security Operations (SecOps) должен в достаточной мере обеспечивать как все потребности бизнеса в виде услуг и сервисов, которые оказываются соответствующим подразделением, например SOC, так и принципы эшелонированной обороны для постоянно изменяющихся контролируемых объектов и информационной инфраструктуры в целом.

Для включения в арсенал SOC доступно множество детектирующих и превентивных мер и средств защиты, статических и динамических. Постоянно растёт и уже трудно поддаётся синтаксическому анализу количество фидов и их форматов. Происходит расширение границ и глубины мониторинга (X-СЗИ, Next Generation СЗИ и т. д.), и применяются методы машинного обучения (ML), правда, я не берусь утверждать, поскольку сам на практике не встречал его полноценную реализацию.

Все эти факторы должны положительно влиять на возможности предотвращения и устранения инцидентов ИБ. И всё-таки, к сожалению, мы продолжаем читать истории о том, как ещё одна компания оказалась не готова к противодействию злоумышленникам.

На этом фоне потребность в квалифицированном выстраивании и повышении надёжности защиты вверенной информационной инфраструктуры постоянно растёт. Вернее, становится всё более актуальной, поскольку изначальный уровень запущенности данных процессов и отсутствия security by design, по сути, значительно не меняется уже десятилетиями.

На решение компании о необходимости создания SOC, помимо всего прочего, часто влияют объективные экономические факторы: как общая структура расходов с превалирующим CAPEX или OPEX, так и стоимость владения соответствующим ФОТ с учётом необходимости его обучения и развития, обеспечения оборудованием, удержания и т. д. В зависимости от зрелости внутренних процессов ИБ и ИТ, в лучшем случае на основании спрогнозированной стоимости защищаемых активов и модели угроз, оценивается допустимая стоимость контрмер, как и их состав и целевое назначение. Затем принимается решение о том, какие функции реализуются самостоятельно, а какие будут отданы внешнему партнёру. В итоге, как правило, для удовлетворения потребностей бизнеса классическое разделение – собственный SOC или внешний – оказывается размытым. А с учётом растущей вариативности и сложности архитектур информационных систем и степени их проникновения в повседневную жизнь общества функции SecOps разделяются между партнёрами в уникальной для каждой компании пропорции, как разделяются и архитектурные, и операционные схемы их взаимодействия. Теперь для формирования, внедрения и развития SecOps компаниям нужен надёжный партнёр с накопленным опытом не только в части реализации SecOps в любом форм-факторе, но и в части обоснования своих предложений перед бизнесом.

Говоря об анализе защищаемых активов и формировании ALE (Annual Loss Expectancy) с последующей оценкой cost/benefit анализа контрмер, следует упомянуть процесс оценки рисков в целом и его текущую роль в моделировании угроз. Часто звучат тезисы о том, что данный процесс неосуществим в реалиях большинства российских компаний. На практике же подобные примеры есть, и их становится всё больше. Без цикличного проведения оценки рисков с той или иной степенью детализации и результативности приступать к реализации SOC нецелесообразно. Помимо того, что этого требуют основные отраслевые регуляторы и стандарты, важно помнить, что, только основываясь на постоянном и цикличном процессе оценки и анализа рисков, можно получать и актуализировать знания о контролируемой инфраструктуре, актуальных угрозах и, что немаловажно, о допустимой стоимости применяемых контрмер. Это информация, которую недооценить крайне сложно, особенно при выборе соответствующих сервисов и продуктов. Для дополнения классических методик оценки рисков инженеры и аналитики Центра киберустойчивости группы компаний Angara предлагают свои уникальные наработки по автоматизированной атрибуции потенциальных угроз и TTP (Tactics, Techniques and Procedures), основанной на публичных данных, полученных в ходе расследований реальных, подтверждённых инцидентов ИБ.В том числе возможность приведения итоговых результатов к соответствию новой методике оценки угроз БДУ ФСТЭК и маппинга к ресурсам MITRE ATT&CK® и MITRE SHIELD®.

Результаты, во-первых, будут гарантированно повторяемыми благодаря автоматизации, а значит, применимыми в рамках цикла PDCA, что позволит создавать и сравнивать карты покрытия техник в разных промежутках времени. Во-вторых, помогут в процессе оценки и выбора различных сервисов и продуктов.

Баланс между внутренними и внешними SecOps движется к размытому или разносоставному равновесию: сторонняя экспертиза может быть привлечена к работе как с уже внедрёнными, собственными СЗИ, процессами и сервисами, включая SOC, так и со своим инструментарием SecOps ввиду отсутствия у компании необходимых ресурсов. Возможны варианты привлечения лишь технологий SecOps, например, в формате SaaS, с дополнительным консалтингом. Экспертиза будет востребована в различных гибридных форматах: для полного или частичного замещения и дополнения любых функциональных и технологических потребностей SecOps и бизнеса конкретной организации, меняющихся в зависимости от её ресурсов или пересмотра стратегии. Следуя требованиям времени, группа компаний Angara создала Центр киберустойчивости для консолидации опыта и экспертизы двух ранее обособленных направлений: подразделения, занимавшегося развитием и внедрением решений по направлению SecOps on-premise, и подразделения, предоставлявшего услуги коммерческого SOC в качестве сервиса. Объединение позволило приступить к формированию той самой гибридной модели оказания услуг исходя из текущих и будущих потребностей бизнеса.

На сегодняшний день Центр киберустойчивости включает широкий перечень направлений. У нас даже есть опыт выполнения функций по реагированию на подозрения на инциденты ИБ, которые направляет сторонний SOC.

При таком количестве решений и угроз различных классов и высоких требований к экспертизе, с целью постоянного закрепления имеющихся навыков и развития новых группа компаний Angara проводит регулярные спринты с участием SOC и подразделения анализа защищённости (pentest). При подготовке к ним руководители «красной» и «синей» команд совместно определяют перечень векторов атаки, которые либо давно не прорабатывались, либо ещё никогда не использовались (новые уязвимости, модели нарушителей и т. д.).

Каждый спринт улучшает общий уровень зрелости и защиты, и нападения, а накопленный практический опыт преобразуется в новые правила SOC и новые инструменты pentest. Все наработанные инструменты защиты и нападения впоследствии переходят в промышленную эксплуатацию при оказании услуг коммерческого SOC и анализа защищённости. Одновременно с этим, поскольку спринты проводятся на инфраструктуре группы компаний Angara, повышается уровень защищённости собственных объектов инфраструктуры, которому уделяется значительное внимание. В дополнение к спринтам регулярно проводятся учения с использованием методов социальной инженерии, сканирования периметра и других.

Для организации подобных спринтов или учений используются адаптированные под собственные процессы и ресурсы выдержки из общемировых методологий, например, таких как Singapore – AASE, EU – TIBER-EU, NATO – CRT и других.

C учётом скорости развития информационной безопасности в целом и необходимости постоянно быть готовыми ответить на любые современные вызовы группа компаний Angara моделирует и подготавливает решения и услуги с целью удовлетворения любых потребностей бизнеса. Известный нюанс гласит о том, что «Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее!». И этого «вдвое» можно достичь путём объединения усилий организации и надёжного партнёра в области информационной безопасности, каким является группа компаний Angara для своих заказчиков.

Смотрите также

11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»
11.08.2022
Миллиард операций за полгода. СБП бьёт рекорды
11.08.2022
Cisco взломали члены хак-группы Yanluowang
11.08.2022
ЦБ РФ не поддержал инициативу о временной заморозке переводов
11.08.2022
Скамеры предлагают «страховать» деньги клиентов банков
10.08.2022
Разработчикам военного «айти» предоставят налоговые льготы?
10.08.2022
«Будущее будет сделано в Америке». США хотят вынести Азию за скобки
10.08.2022
РАЭК: более половины релоцировавшихся хотят вернуться в этом году
10.08.2022
Банку России предложили замораживать переводы свыше десяти тысяч рублей
10.08.2022
Все об уязвимостях платежных систем на OFFZONE 2022