SOC в финансовой сфере
В рамках SOC-Форума «Практика противодействия кибератакам и построение центров мониторинга ИБ», который прошел 7-8 декабря, состоялась сессия, посвященная вопросам функционирования SOC в финансовой отрасли. Эксперты различных компаний и банков поделились своим опытом построения центров реагирования на компьютерные инциденты.
Практика построения гибридного SOC
Артем Сычев, руководитель направления Управления информационной безопасности АО «АльфаСтрахование», рассказало практике построения гибридного SOC (внешний SOCaaS и собственный OpenSource).
В компании было принято решение о развитии собственной экспертизы, с одной стороны. С другой стороны, о поиске партнера для работы по аутсорсинговой схеме. Среди всего перечня функций были отобраны те, развивать которые посчитали целесообразным внутри компании и функции, которые лучше передать на аутсорс.
«Мы считаем, что взломать можно любую систему и поэтому решили сделать упор на развитие плейбуков реагирования, – отметил Артем Сычев. – Поскольку мы лучше знаем нашу инфраструктуру, то поиск угроз был отдан на внутреннюю экспертизу. Нам хотелось уже за год выйти на какое-то рабочее решение по реагированию на инциденты (система учета инцидентов). При этом не потратить на это слишком много ресурсов, как денежных, так и людских».
Артем Сычев объяснил, как в компании видят гибридный SOC с точки зрения архитектуры: «Нам не нравилась модель черного ящика, SOC как сервис, поэтому для нас стало ключевым моментом то, что наши работники могут в любое время и проводить проактивный поиск угроз по сырым данным SOC, и видеть инциденты напрямую. Мы можем обучаться и задавать вопросы нашим партнёрам – почему было принято то или иное решение».
От лица партнеров АО «Альфа-Страхование» по данному проекту выступил Тимур Зиннятуллин, директор Центра киберустойчивости Angara SOC. Он отметил, что в прошлом году в рамках единой структуры произошло объединение двух направлений – сервисного и интеграции. Благодаря этому появилась возможность адаптироваться к любой гибридной модели SOC, необходимой бизнесу, в данном случае компании «Альфа Страхование».
«В настоящее время к SOC подключены не все объемы той инфраструктуры, которые находятся во владении у коллег, но это связано с тем, что есть определенные этапы приоритезации, которые соответствуют моделям угрозам, критичным сегментам и активам», – отметил Тимур Зиннятуллин.
В качестве пути дальнейшего развития Артем Сычев назвал покрытие SOC полностью всей инфраструктуры компании с упором на автоматизацию реагирования на инциденты и повышение скорости процессов.
Построение внутреннего SOC в банке
Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка, рассказал о построении внутреннего SOC кредитной организации, о плюсах, минусах и подводных камнях этого процесса.
Подготовка к проекту предполагала непосредственно проектирование SOC и придание ему тех контуров, которые он сейчас имеет. Также был произведен расчет серверных мощностей, проработанный архитектором совместно с подразделением по созданию и поддержке ИТ-инфраструктуры. Была создана архитектура и выполнен кропотливый подбор ПО.
«Очень важны расчеты HR-подразделения, потому что известно, что SOC – это люди, технологии, процессы. И все три составляющие требуют серьезных денежных вложений, – подчеркнул директор департамента ИБ МКБ.
По словам Вячеслава Касимова, в рамках подготовки к проекту в банке выяснили, что стоимость владения собственным SOC ниже на 40% за четыре года по сравнению с коммерческими SOC, существующими на рынке. Поэтому стоимость – это очевидный плюс собственногоSOC. Еще одним преимуществом внутреннего SOC является быстрая скорость реагирования на инциденты.
Среди минусов таких проектов эксперт назвал длительные сроки реализации и необходимость поиска персонала.
Детектирующая логика: как на раннем этапе заложить порядок в SIEM
Владимир Зуев, начальник отдела Корпоративного центра взаимодействия с Системой «ГосСОПКА» Департамента информационной безопасности АО «Россельхозбанк», в своем выступлении осветил вопросы наведения порядка в SIEM-системах.
«Поскольку некоторое время назад существовал очевидный тренд на закупку таких систем, многие организации приобрели себе данный инструмент. Однако если не подготовиться должным образом к его применению, можно получить ряд проблем, разочароваться в данном решении, потратить серьезные ресурсы и при этом не получить никакой ценности от них», – отметил Владимир Зуев.
Эксперт предложил проанализировать ключевой элемент таких систем – корреляционные правила и рассмотреть их как набор тестов, которые проходит каждое событие, которое поступило на корреляционный движок в зависимости от архитектуры SIEM.
Именно корреляционные правила являются главной ценностью центра мониторинга, считает Владимир Зуев.
Как приспособить SOC к эволюции корпорации
Юрий Наместников, руководитель SOC Яндекc Банка, свое выступление посвятил вопросу функционирования SOC в условиях быстро растущей организации на примере компании Яндекс.
Нет сомнений, что безопасность должна успевать за стремительным ростом бизнеса, должна уметь масштабироваться на возрастающее количество «железа», мощностей и серверов.
По словам Юрия Наместникова, существует несколько вариантов развития событий в данном случае.
Первый – строить SOC в каждой новой структуре, которая присоединяется к материнской. «Это дорого, но вполне рабочий вариант», – подчеркивает эксперт.
Второй – использовать внутренний SOC для материнской компании, где все процессы уже выстроены и понятны, а безопасность всех новых дочерних организаций отдать на аутсорсвнешнему SOC.
Третий – это использование внутреннего SOC, внутри которого выделяются направления по работе с различными частями бизнеса – логистикой, финансами и т.д.