SOC против pentest. Оn-premise или outsource?

SOC против pentest. Оn-premise или outsource?

В идеальной картине мира состав потенциальных возможностей сегодняшних Security Operations (SecOps) должен в достаточной мере обеспечивать как все потребности бизнеса в виде услуг и сервисов, которые оказываются соответствующим подразделением, например SOC, так и принципы эшелонированной обороны для постоянно изменяющихся контролируемых объектов и информационной инфраструктуры в целом.

Для включения в арсенал SOC доступно множество детектирующих и превентивных мер и средств защиты, статических и динамических. Постоянно растёт и уже трудно поддаётся синтаксическому анализу количество фидов и их форматов. Происходит расширение границ и глубины мониторинга (X-СЗИ, Next Generation СЗИ и т. д.), и применяются методы машинного обучения (ML), правда, я не берусь утверждать, поскольку сам на практике не встречал его полноценную реализацию.

Все эти факторы должны положительно влиять на возможности предотвращения и устранения инцидентов ИБ. И всё-таки, к сожалению, мы продолжаем читать истории о том, как ещё одна компания оказалась не готова к противодействию злоумышленникам.

На этом фоне потребность в квалифицированном выстраивании и повышении надёжности защиты вверенной информационной инфраструктуры постоянно растёт. Вернее, становится всё более актуальной, поскольку изначальный уровень запущенности данных процессов и отсутствия security by design, по сути, значительно не меняется уже десятилетиями.

На решение компании о необходимости создания SOC, помимо всего прочего, часто влияют объективные экономические факторы: как общая структура расходов с превалирующим CAPEX или OPEX, так и стоимость владения соответствующим ФОТ с учётом необходимости его обучения и развития, обеспечения оборудованием, удержания и т. д. В зависимости от зрелости внутренних процессов ИБ и ИТ, в лучшем случае на основании спрогнозированной стоимости защищаемых активов и модели угроз, оценивается допустимая стоимость контрмер, как и их состав и целевое назначение. Затем принимается решение о том, какие функции реализуются самостоятельно, а какие будут отданы внешнему партнёру. В итоге, как правило, для удовлетворения потребностей бизнеса классическое разделение – собственный SOC или внешний – оказывается размытым. А с учётом растущей вариативности и сложности архитектур информационных систем и степени их проникновения в повседневную жизнь общества функции SecOps разделяются между партнёрами в уникальной для каждой компании пропорции, как разделяются и архитектурные, и операционные схемы их взаимодействия. Теперь для формирования, внедрения и развития SecOps компаниям нужен надёжный партнёр с накопленным опытом не только в части реализации SecOps в любом форм-факторе, но и в части обоснования своих предложений перед бизнесом.

Говоря об анализе защищаемых активов и формировании ALE (Annual Loss Expectancy) с последующей оценкой cost/benefit анализа контрмер, следует упомянуть процесс оценки рисков в целом и его текущую роль в моделировании угроз. Часто звучат тезисы о том, что данный процесс неосуществим в реалиях большинства российских компаний. На практике же подобные примеры есть, и их становится всё больше. Без цикличного проведения оценки рисков с той или иной степенью детализации и результативности приступать к реализации SOC нецелесообразно. Помимо того, что этого требуют основные отраслевые регуляторы и стандарты, важно помнить, что, только основываясь на постоянном и цикличном процессе оценки и анализа рисков, можно получать и актуализировать знания о контролируемой инфраструктуре, актуальных угрозах и, что немаловажно, о допустимой стоимости применяемых контрмер. Это информация, которую недооценить крайне сложно, особенно при выборе соответствующих сервисов и продуктов. Для дополнения классических методик оценки рисков инженеры и аналитики Центра киберустойчивости группы компаний Angara предлагают свои уникальные наработки по автоматизированной атрибуции потенциальных угроз и TTP (Tactics, Techniques and Procedures), основанной на публичных данных, полученных в ходе расследований реальных, подтверждённых инцидентов ИБ.В том числе возможность приведения итоговых результатов к соответствию новой методике оценки угроз БДУ ФСТЭК и маппинга к ресурсам MITRE ATT&CK® и MITRE SHIELD®.

Результаты, во-первых, будут гарантированно повторяемыми благодаря автоматизации, а значит, применимыми в рамках цикла PDCA, что позволит создавать и сравнивать карты покрытия техник в разных промежутках времени. Во-вторых, помогут в процессе оценки и выбора различных сервисов и продуктов.

Баланс между внутренними и внешними SecOps движется к размытому или разносоставному равновесию: сторонняя экспертиза может быть привлечена к работе как с уже внедрёнными, собственными СЗИ, процессами и сервисами, включая SOC, так и со своим инструментарием SecOps ввиду отсутствия у компании необходимых ресурсов. Возможны варианты привлечения лишь технологий SecOps, например, в формате SaaS, с дополнительным консалтингом. Экспертиза будет востребована в различных гибридных форматах: для полного или частичного замещения и дополнения любых функциональных и технологических потребностей SecOps и бизнеса конкретной организации, меняющихся в зависимости от её ресурсов или пересмотра стратегии. Следуя требованиям времени, группа компаний Angara создала Центр киберустойчивости для консолидации опыта и экспертизы двух ранее обособленных направлений: подразделения, занимавшегося развитием и внедрением решений по направлению SecOps on-premise, и подразделения, предоставлявшего услуги коммерческого SOC в качестве сервиса. Объединение позволило приступить к формированию той самой гибридной модели оказания услуг исходя из текущих и будущих потребностей бизнеса.

На сегодняшний день Центр киберустойчивости включает широкий перечень направлений. У нас даже есть опыт выполнения функций по реагированию на подозрения на инциденты ИБ, которые направляет сторонний SOC.

При таком количестве решений и угроз различных классов и высоких требований к экспертизе, с целью постоянного закрепления имеющихся навыков и развития новых группа компаний Angara проводит регулярные спринты с участием SOC и подразделения анализа защищённости (pentest). При подготовке к ним руководители «красной» и «синей» команд совместно определяют перечень векторов атаки, которые либо давно не прорабатывались, либо ещё никогда не использовались (новые уязвимости, модели нарушителей и т. д.).

Каждый спринт улучшает общий уровень зрелости и защиты, и нападения, а накопленный практический опыт преобразуется в новые правила SOC и новые инструменты pentest. Все наработанные инструменты защиты и нападения впоследствии переходят в промышленную эксплуатацию при оказании услуг коммерческого SOC и анализа защищённости. Одновременно с этим, поскольку спринты проводятся на инфраструктуре группы компаний Angara, повышается уровень защищённости собственных объектов инфраструктуры, которому уделяется значительное внимание. В дополнение к спринтам регулярно проводятся учения с использованием методов социальной инженерии, сканирования периметра и других.

Для организации подобных спринтов или учений используются адаптированные под собственные процессы и ресурсы выдержки из общемировых методологий, например, таких как Singapore – AASE, EU – TIBER-EU, NATO – CRT и других.

C учётом скорости развития информационной безопасности в целом и необходимости постоянно быть готовыми ответить на любые современные вызовы группа компаний Angara моделирует и подготавливает решения и услуги с целью удовлетворения любых потребностей бизнеса. Известный нюанс гласит о том, что «Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее!». И этого «вдвое» можно достичь путём объединения усилий организации и надёжного партнёра в области информационной безопасности, каким является группа компаний Angara для своих заказчиков.