О теории относительности в сети. Как SOC и NOC каждый день спасают бизнес

BIS Journal №4(51)2023

20 ноября, 2023

О теории относительности в сети. Как SOC и NOC каждый день спасают бизнес

«Порядок потребен лишь глупцу, гений властвует над хаосом».

Альберт Эйнштейн

 

Иногда кажется, что проблемы взаимодействия ИБ и ИТ в инфраструктуре поможет решить только магия. Но если заменить магию на теорию, например, теорию относительности и приложить воображение, то эти проблемы станут гораздо понятнее. Предлагаем поднять фундаментальные вопросы задач ИБ и ИТ в защите сети, найти точки пересечения обязанностей каждого, устранить теневую инфраструктуру и выбрать подходящие инструменты. 

 

ВВЕДЕНИЕ В СИТУАЦИЮ

Покой ― состояние, которого не существует. Альберт Эйнштейн обозначил это ещё в XX веке. Все объекты находятся в непрерывном движении относительно друг друга. В бизнесе, например, теория относительности отлично работает. Ни одна компания не абсолютна и не находится в состоянии покоя. На её способность зарабатывать, быть конкурентной, приносить пользу обществу и окружающему миру влияет всё. Потому что всё относительно! 

Тем не менее что-то стабильное, абсолютное все-таки есть. Например, цифровые рельсы. Бизнес в России уже встал на них и довольно уверенно движется вперед. Например, финтех-корпорации не могут существовать без Big Data, Data Science, Machine Learning. Вся экосистема компаний построена на них, и пользователи привыкли к удобному технологичному сервису. В промышленности по цифровым рельсам, можно сказать, несётся целый исторический локомотив. Индустриальные компании наращивают цифровые активы, внедряют новые технологии, вводят процессы и процедуры… Но и внутри локомотива нет покоя: чтобы оставаться прибыльным для страны и акционеров, будь готов к модернизации. Кстати, государственные регуляторы этому неплохо способствуют. Вводят новые нормативные акты, подталкивающие важные сегменты экономики страны к обновлению. Тот же Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» предлагает компаниям пищу для размышлений и руководство к действию. 

В целом вектор развития понятен, в условиях конкурентного рынка большим и малым игрокам не обойтись без современных систем автоматизации и информатизации. А поскольку абсолютного покоя нет, то информационные ресурсы постоянно изменяются, оптимизируются и добавляются. Бизнесу же важно, чтобы эти ресурсы оставались надежными, стабильными и производительными. По-другому не может быть. Поэтому высоконагруженный сервис всегда нуждается в ресурсах, а еще в отказоустойчивой архитектуре систем и, разумеется, резервировании данных. Для решения этих задач в любом интерпрайзе есть целая бригада штатных ИТ-специалистов. 

Так же обязательна и безопасность систем. Под безопасностью я подразумеваю недопущение неприемлемых для бизнеса событий на трех уровнях: сетевом, системном и прикладном.

Получается, что ИБ и IT — это два важных звена для бизнеса, их задачи сильно переплетены.

 

ЗАДАЧИ ИБ ИИТ. КАК ПРОВЕСТИ ЧЕРТУ

И вновь обратимся к Альберту Эйнштейну. Мысль, положенная в основу теории относительности, посетила его, когда он ехал в трамвае. Глядя на фонарные часы, ученый предположил, что если бы он смог разогнаться до скорости света, то для него время на этих часах остановилось бы и перестало существовать. Вот вам пример того, как решение задачи может основываться не только на знаниях и опыте, но и на воображении. 

Но вернемся к ИБ и ИТ. Как известно, практически весь интерпрайз имеет in-house службы ИБ и ИТ, но не ограничивается ими. Вместе они обеспечивают достижение трех важных условий функционирования бизнеса (рис. 1):

  • целостность цифровых ресурсов компании;
  • доступность приложений, услуг и сервисов для внешних и внутренних пользователей;
  • конфиденциальность передаваемой и используемой информации.

Рисунок 1. ИТ и ИБ являются основой для бизнеса

 

Наверняка читатель помнит, что любая из служб ИБ или ИТ отвечает за множество доменов и поддоменов. Раз уж мы говорим про относительность, то применительно к сети IT-департамент представляет собой NOC (Network Operation Center). Он отвечает за сетевой доступ к бизнес-приложениям и сервисам для всех пользователей, контролирует целостность сети и управляет ей.

ИБ относительно сети представляет собой SOC (Security Operations Center) эксперты центра реагирования могут фокусироваться на защите периметра, каналов связи и в целом всей сетевой инфраструктуры.

Рассмотрим каждую службу поближе.

 

ЗАДАЧИ NOC

Как вы думаете, сколько стоит простой сервиса для бизнеса? Например, остановка важного сервиса финансовой организации в течение 30 минут обойдется минимум в 4 млн рублей. Сумма может только увеличиваться в зависимости от числа пользователей, специалистов в NOCе и времени на восстановление доступа. Если такой простой будет регулярно повторяться, то существование бизнеса уже под угрозой. NOC делает все, чтобы этого не произошло, и решает семь задач (рис. 2):

  • анализ сетевого трафика;
  • управление сетевыми событиями;
  • контроль конфигураций сетевого оборудования и ПО;
  • обнаружение неисправности сети;
  • диагностика и устранение неисправностей в оборудовании и ПО;
  • поддержка сетевой инфраструктуры.
  • мониторинг сети.

Рисунок 2. Задачи, решаемые с помощью NOC

 

NOC отлично знает корпоративную сеть, вносит в нее изменения и актуализирует данные. Все это позволяет быстро решать проблемы с доступом к бизнес-приложениям и сервисам, устранять неполадки и строить отказоустойчивую и производительную сеть. Разумеется, для этих задач специалисты используют разный набор инструментов. Например, CMDB позволяет собирать данные об устройствах и оборудовании, проводить детальную инвентаризацию активов и управлять этими данными. Система мониторинга, например, Zabbix обеспечивает данными о доступности сервисов, серверов и сетевого оборудования и помогает вовремя обнаружить неисправность и среагировать на нее. Ну и как же без анализа трафика, всем известного Wireshark. Инструментов много, как платных, так и бесплатных. Каждый специалист выбирает то, что ему удобно. 

 

ЗАДАЧИ SOC

Простой сервиса из-за ошибки оборудования или ПО понятен. А сколько будет стоить бизнесу взлом этого сервиса, утечка данных и компрометация всей инфраструктуры? Скажем, 87,25 млн. рублей. Эта сумма будет зависеть от количества узлов в сети, стоимости каждого актива и информации в нем, включая цену оборудования и ПО. Чем больше инфраструктура, тем стоимость компрометации будет выше. Если компрометация сервиса и, как следствие, всей инфраструктуры будет повторяться, значит стоимость такого взлома нужно умножать на его количество. В организации может быть несколько доменов, которые нужно защищать и обеспечивать в них:

  • безопасность и мониторинг сетей;
  • контроль мобильных устройств;
  • контроль узлов;
  • безопасность ОС и ПО;
  • защита данных;
  • безопасность виртуальных сред;
  • безопасность облаков;
  • безопасность приложений;
  • управление уязвимостями.

Рисунок 3. Задачи, решаемые SOC

 

А какие из них связаны в сети? Декомпозируем и получим (рис. 4):

  • организацию межсетевого экранирования и формирование периметра;
  • контроль каналов связи;
  • мониторинг внутренней сети и угроз;
  • мониторинг облачных сетей.

Рисунок 4. Сетевые задачи, решаемые SOC

 

Читатель наверняка заметил, что есть явное пересечение зон ответственности NOC и SOC. Оба подразделения контролируют сеть. Задача у них одна, а результаты разные.

 

ЦЕЛЬ ОБЩАЯ, РЕЗУЛЬТАТЫ ― РАЗНЫЕ

Мониторинг сети ― общая задача для NOC и SOC, но есть нюансы. Первый нюанс связан с исходными данными, полученными из сети для выполнения задачи.

NOCу достаточно получать сетевую статистику (NetFlow, sFlow, NetStream и пр.), записывать трафик по настраиваемому правилу и собирать метрики устройств с помощью SNMP, WMI, CLI, API или логов. Эта информация дает контекст сетевой проблемы, позволяет найти источник неисправности и решить возникшую аварию. Для этого даже существует отдельный класс продуктов сетевого мониторинга ― NPM (Network Performance Monitoring).

SOCу нужна глубина. Тут недостаточно только сетевой статистики и поверхностных данных. Чем больше информации можно получить из сети, тем лучше. Поэтому предпочтение отдается анализу копии сырого трафика, запись его в хранилище, извлечение метаданных и автоматический ретроспективный анализ по ним. Для этого тоже существует отдельный класс решений NTA (Network Traffic Analysis) для мониторинга сети и обнаружения угроз.

Второй нюанс в решении задач подразделениями SOC и NOC заключается в отсутствии налаженного взаимодействия между ними. Это чревато «раздуванием» бюджетов каждого департамента, отсутствием единой базы данных о сетевом устройстве сети и нерегулярным обновлением данных. Например, IT-департамент вводит новый сервис для тестов. Работает с ним на протяжении нескольких недель, перестраивает часть инфраструктуры, разрешает доступы пользователям, не предупредив специалистов по ИБ. Протестировав, специалисты решают оставить ресурс без каких-либо изменений на какое-то время. Тем временем специалисты по ИБ даже не подозревают о появлении нового сервиса в инфраструктуре. Агентов (EPP/EDR) на них нет, журналы не заведены в SIEM-системы. 

Другой пример. Случился инцидент, специалисты по ИБ провели сбор артефактов и принялись реагировать. Часть задач можно выполнить через имеющийся ИБ-инструментарий (EDR, NGFW), но учетную запись, например, уже не заблокировать на уровне инфраструктуры без участия IT. Поэтому ИБшникам в такой ситуации нужно собрать все артефакты и попросить специалистов NOC сделать блокировку. Результат получится быстрым, если NOC поверит им на слово. Но на практике айтишники предложат подождать, пока они сами разберутся, кого и почему нужно блокировать, на какой срок, а главное, когда возвращать доступ. 

Третий нюанс в совместной работе ИБ и ИТ — это теневая инфраструктура. Администраторы сети меняют место работы, пользователи устанавливают новые приложения, которые взаимодействуют с интернетом, приносят в офис собственные мобильные устройства. Это все приводит к появлению активов, про которые никто не знает и не может их контролировать. Сочетание теневой инфраструктуры и отсутствие взаимодействия между подразделениями дают атакующим преимущество для проникновения в инфраструктуру и осуществления неприемлемых для бизнеса событий. 

В итоге, получаем, что абсолютного покоя нет даже внутри казалось бы стабильной инфраструктуры компании, а каждая сеть относительно другой уникальна. Проблема же повторяется от компании к компании. Возьмем этот тезис за аксиому и попробуем решить проблему теневой инфраструктуры и отсутствие взаимодействия между ИТ и ИБ с помощью одного инструмента. Например, NTA.

 

КАК SOC И NOC ПОДРУЖИЛИСЬ… В NTA-СИСТЕМЕ

Мир не идеален. В ИБ, например, для решения конкретной задачи нужно использовать отдельный инструмент, который хорошо делает свою работу. На практике все, конечно, получается совсем не просто. Один и тот же инструмент часто применяют для решения смежных задач. Лучшим выходом из такой ситуации будет обозначить пересекающиеся задачи и выработать критерии для выбора подходящей системы. 

Для начала обозначим четыре шага, которые важно пройти, чтобы избежать появления теневой инфраструктуры:

  1. Получить полную видимость сети.
  2. Разделить обнаруженные приложения, сервисы и узлы на категории: разрешенные, подозрительные, запрещенные.
  3. Оценить уровни риска обнаруженных приложений, сервисов и узлов.
  4. Получить полный контроль над выявленными активами.
  5. Вывести из эксплуатации ненужные или запрещенные активы.

Первый, второй, четвертый и пятый шаги — это в чистом виде задачи для NOC. Все, кроме пятого, находятся в поле зрения SOC. Перейдем к требованиям, предъявляемым к системам NTA.

К обязательным можно отнести:

  • Гибкие варианты сбора трафика в инфраструктуре. Чем больше вариантов получения зеркалированного трафика из инфраструктуры поддерживает система, тем проще начать работать с инструментом. Идеально, если система поддерживает технологии SPAN, RSPAR, ERSPAN, GRE. Немаловажным преимуществом является поддержка аппаратных TAP-устройств и возможность работы с брокерами сетевых пакетов.
  • Пропускная способность. Внутри сети широкие каналы, а значит система должна обрабатывать весь поток без ошибок. Потоки могут достигать 10 Гбит/c и выше.
  • Хранение сырых данных и метаданных. Система должна иметь несколько хранилищ. Хранилище сырых данных нужно для ИБ, хранилище метаданных — для IT. Здесь важно соблюсти баланс между временем хранения данных и ресурсами на оборудование. На практике рекомендованное время хранения сырого трафика достигает семи дней, а хранение метаданных — до двух недель.
  • Легкость внедрения. Наличие конфигуратора и инсталлятора существенно упрощают внедрение в инфраструктуру и настройку системы.
  • Гибкость внедрения. Двухуровневая архитектура системы позволяет горизонтально масштабироваться на всю компанию. Установка системы в виртуальную инфраструктуру, включая отечественные, актуально после ухода иностранных вендоров с российского рынка. Напомню, что виртуальных средах возможны ограничения по обработке потока данных.
  • Количество обрабатываемых сетевых протоколов. Количество поддерживаемых протоколов не означает их детальный разбор. Например, система может обнаружить 40 протоколов, а разбирать всего пять. Нужно находить баланс между количеством и качеством. И не стоит забывать про вложенные друг в друга протоколы. Хороший инструмент умеет определять инкапсуляцию и разбирает весь трафик внутри туннелей.
  • Визуализация накопленных данных. Возможность строить виджеты и дашборды на основе полученных данных.
  • Система поиска. Гибкий поиск по всем индексируемым данным. Возможность сохранить фильтры и делиться ими с коллегами.
  • Экспертиза. Важный пункт для ИБ и не менее важный для IT. Система должна уметь определять приложения, операционные системы, типы и роли устройств, и используемые учетные записи.

Список требований не конечный и каждый для себя добавит, что ему необходимо.

Рисунок 5. Обнаружение теневой инфраструктуры с помощью NTA


Итак, мы разобрались с требованиями, выбрали инструмент, внедрили его и используем. А что делать с регламентами и взаимодействием департаментов? Регламент лежит на поверхности. Общая система анализа трафика дает ИБ и ИТ общую карту сети, информацию обо всех узлах, подключенных к ЛВС (локальной вычислительной сети); об учетных записях, паролях, ролях и типах устройств. Теперь ИБ не нужно постоянно запрашивать актуальные данные у ИТ, достаточно обратиться к NTA-системе. У ИТ исчезает часть рутинных задач. Теперь им не нужно собирать данные для специалистов по ИБ. Внедрения единой системы поможет построить взаимовыгодные отношения между подразделениями.  

Отлично, а что дальше? Эффективность процесса будет зависеть от принятых в компании регламентов. Возьму базовый сценарий. Например, ИБ обнаруживает новый узел с помощью NTA. Оператор обращается к системе и смотрит детали по обнаруженному узлу. При необходимости может перейти в сетевой граф и оценить насколько узел:

  • Легитимный. Специалист формирует фильтр и ставит задачу в ИТ по установке систем защиты конечных точек и заведению журналов и событий с узла в SIEM-систему.
  • Подозрительный. Оператор помечает узел как подозрительный и продолжает наблюдать за его активностью в сети. Эксперту предстоит понять, с кем этот узел уже взаимодействовал и продолжает общаться, нет ли обращений к доменному контроллеру или к критическим сегментам сети, какие протоколы используются для передачи данных, какой используется User-Agent и т. п.
  • Нежелательный. Оператор формирует фильтр и задачу на деактивацию узла. ИТ получает задание, использует полученный фильтр с нужными деталями и выключает нежелательный хост.

Получается, все подразделения уже в курсе появления нового узла, определили его опасность, вовремя предприняли соответствующие меры и закрыли потенциальный вектор для атаки. Система NTA однозначно знает, что происходит и вовремя сообщает об этом специалистам SOC и NOC (рис. 5).

***

«Так причем здесь теория относительности?», ― спросите вы, и будете правы. Очень важно не прекращать задавать вопросы и искать ответы даже там, где все кажется очевидным.

Все в нашем мире меняется: окружение, люди, бизнес. При этом, как мы выяснили, инфраструктура бизнеса подчиняется тем же законам физики. И дело не в том, что изменения происходят, а в том, что они происходят непрерывно и часто незаметно. Невидимые и неконтролируемые системы в инфраструктуре компании ― общая проблема для ИБ и ИТ, и она обостряет необходимость менять процессы, регламенты и суть взаимодействия между экспертами из разных отраслей. Решить задачу комплексно и получить при этом новый качественный результат, поможет только нестандартный подход, и главный инструмент тут — воображение!

 

Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. Развитие корпоративных и коммерческих центров мониторинга (SOC) немыслимо без новых технологий, которые постоянно появляются на рынке и помогают решать многочисленные задачи ИБ. Однако эффект от новых технологий напрямую зависит от правильности подобранного решения, его адаптации и эксплуатации.

Узнайте на «Технологии SOC», как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ!

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
24.04.2024
«Мы разработали законодательную инициативу по дропам»
24.04.2024
«Мы обеспечили определённый уровень заказа». ГРЧЦ продолжает импортозамещать чипы
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн
23.04.2024
Хакеры всё активнее DDoS-ят российскую отрасль энергетики
23.04.2024
Минпромторг начнёт выдавать баллы блокам питания?
23.04.2024
Microsoft — угроза для нацбезопасности? Бывает и такое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных