О теории относительности в сети. Как SOC и NOC каждый день спасают бизнес

О теории относительности в сети. Как SOC и NOC каждый день спасают бизнес

«Порядок потребен лишь глупцу, гений властвует над хаосом».

Альберт Эйнштейн

Иногда кажется, что проблемы взаимодействия ИБ и ИТ в инфраструктуре поможет решить только магия. Но если заменить магию на теорию, например, теорию относительности и приложить воображение, то эти проблемы станут гораздо понятнее. Предлагаем поднять фундаментальные вопросы задач ИБ и ИТ в защите сети, найти точки пересечения обязанностей каждого, устранить теневую инфраструктуру и выбрать подходящие инструменты. 

ВВЕДЕНИЕ В СИТУАЦИЮ

Покой ― состояние, которого не существует. Альберт Эйнштейн обозначил это ещё в XX веке. Все объекты находятся в непрерывном движении относительно друг друга. В бизнесе, например, теория относительности отлично работает. Ни одна компания не абсолютна и не находится в состоянии покоя. На её способность зарабатывать, быть конкурентной, приносить пользу обществу и окружающему миру влияет всё. Потому что всё относительно! 

Тем не менее что-то стабильное, абсолютное все-таки есть. Например, цифровые рельсы. Бизнес в России уже встал на них и довольно уверенно движется вперед. Например, финтех-корпорации не могут существовать без Big Data, Data Science, Machine Learning. Вся экосистема компаний построена на них, и пользователи привыкли к удобному технологичному сервису. В промышленности по цифровым рельсам, можно сказать, несётся целый исторический локомотив. Индустриальные компании наращивают цифровые активы, внедряют новые технологии, вводят процессы и процедуры… Но и внутри локомотива нет покоя: чтобы оставаться прибыльным для страны и акционеров, будь готов к модернизации. Кстати, государственные регуляторы этому неплохо способствуют. Вводят новые нормативные акты, подталкивающие важные сегменты экономики страны к обновлению. Тот же Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» предлагает компаниям пищу для размышлений и руководство к действию. 

В целом вектор развития понятен, в условиях конкурентного рынка большим и малым игрокам не обойтись без современных систем автоматизации и информатизации. А поскольку абсолютного покоя нет, то информационные ресурсы постоянно изменяются, оптимизируются и добавляются. Бизнесу же важно, чтобы эти ресурсы оставались надежными, стабильными и производительными. По-другому не может быть. Поэтому высоконагруженный сервис всегда нуждается в ресурсах, а еще в отказоустойчивой архитектуре систем и, разумеется, резервировании данных. Для решения этих задач в любом интерпрайзе есть целая бригада штатных ИТ-специалистов. 

Так же обязательна и безопасность систем. Под безопасностью я подразумеваю недопущение неприемлемых для бизнеса событий на трех уровнях: сетевом, системном и прикладном.

Получается, что ИБ и IT — это два важных звена для бизнеса, их задачи сильно переплетены.

ЗАДАЧИ ИБ ИИТ. КАК ПРОВЕСТИ ЧЕРТУ

И вновь обратимся к Альберту Эйнштейну. Мысль, положенная в основу теории относительности, посетила его, когда он ехал в трамвае. Глядя на фонарные часы, ученый предположил, что если бы он смог разогнаться до скорости света, то для него время на этих часах остановилось бы и перестало существовать. Вот вам пример того, как решение задачи может основываться не только на знаниях и опыте, но и на воображении. 

Но вернемся к ИБ и ИТ. Как известно, практически весь интерпрайз имеет in-house службы ИБ и ИТ, но не ограничивается ими. Вместе они обеспечивают достижение трех важных условий функционирования бизнеса (рис. 1):

• целостность цифровых ресурсов компании;
• доступность приложений, услуг и сервисов для внешних и внутренних пользователей;
• конфиденциальность передаваемой и используемой информации.

Рисунок 1. ИТ и ИБ являются основой для бизнеса

Наверняка читатель помнит, что любая из служб ИБ или ИТ отвечает за множество доменов и поддоменов. Раз уж мы говорим про относительность, то применительно к сети IT-департамент представляет собой NOC (Network Operation Center). Он отвечает за сетевой доступ к бизнес-приложениям и сервисам для всех пользователей, контролирует целостность сети и управляет ей.

ИБ относительно сети представляет собой SOC (Security Operations Center) эксперты центра реагирования могут фокусироваться на защите периметра, каналов связи и в целом всей сетевой инфраструктуры.

Рассмотрим каждую службу поближе.

ЗАДАЧИ NOC

Как вы думаете, сколько стоит простой сервиса для бизнеса? Например, остановка важного сервиса финансовой организации в течение 30 минут обойдется минимум в 4 млн рублей. Сумма может только увеличиваться в зависимости от числа пользователей, специалистов в NOCе и времени на восстановление доступа. Если такой простой будет регулярно повторяться, то существование бизнеса уже под угрозой. NOC делает все, чтобы этого не произошло, и решает семь задач (рис. 2):

• анализ сетевого трафика;
• управление сетевыми событиями;
• контроль конфигураций сетевого оборудования и ПО;
• обнаружение неисправности сети;
• диагностика и устранение неисправностей в оборудовании и ПО;
• поддержка сетевой инфраструктуры.
• мониторинг сети.

Рисунок 2. Задачи, решаемые с помощью NOC

NOC отлично знает корпоративную сеть, вносит в нее изменения и актуализирует данные. Все это позволяет быстро решать проблемы с доступом к бизнес-приложениям и сервисам, устранять неполадки и строить отказоустойчивую и производительную сеть. Разумеется, для этих задач специалисты используют разный набор инструментов. Например, CMDB позволяет собирать данные об устройствах и оборудовании, проводить детальную инвентаризацию активов и управлять этими данными. Система мониторинга, например, Zabbix обеспечивает данными о доступности сервисов, серверов и сетевого оборудования и помогает вовремя обнаружить неисправность и среагировать на нее. Ну и как же без анализа трафика, всем известного Wireshark. Инструментов много, как платных, так и бесплатных. Каждый специалист выбирает то, что ему удобно. 

ЗАДАЧИ SOC

Простой сервиса из-за ошибки оборудования или ПО понятен. А сколько будет стоить бизнесу взлом этого сервиса, утечка данных и компрометация всей инфраструктуры? Скажем, 87,25 млн. рублей. Эта сумма будет зависеть от количества узлов в сети, стоимости каждого актива и информации в нем, включая цену оборудования и ПО. Чем больше инфраструктура, тем стоимость компрометации будет выше. Если компрометация сервиса и, как следствие, всей инфраструктуры будет повторяться, значит стоимость такого взлома нужно умножать на его количество. В организации может быть несколько доменов, которые нужно защищать и обеспечивать в них:

• безопасность и мониторинг сетей;
• контроль мобильных устройств;
• контроль узлов;
• безопасность ОС и ПО;
• защита данных;
• безопасность виртуальных сред;
• безопасность облаков;
• безопасность приложений;
• управление уязвимостями.

Рисунок 3. Задачи, решаемые SOC

А какие из них связаны в сети? Декомпозируем и получим (рис. 4):

• организацию межсетевого экранирования и формирование периметра;
• контроль каналов связи;
• мониторинг внутренней сети и угроз;
• мониторинг облачных сетей.

Рисунок 4. Сетевые задачи, решаемые SOC

Читатель наверняка заметил, что есть явное пересечение зон ответственности NOC и SOC. Оба подразделения контролируют сеть. Задача у них одна, а результаты разные.

ЦЕЛЬ ОБЩАЯ, РЕЗУЛЬТАТЫ ― РАЗНЫЕ

Мониторинг сети ― общая задача для NOC и SOC, но есть нюансы. Первый нюанс связан с исходными данными, полученными из сети для выполнения задачи.

NOCу достаточно получать сетевую статистику (NetFlow, sFlow, NetStream и пр.), записывать трафик по настраиваемому правилу и собирать метрики устройств с помощью SNMP, WMI, CLI, API или логов. Эта информация дает контекст сетевой проблемы, позволяет найти источник неисправности и решить возникшую аварию. Для этого даже существует отдельный класс продуктов сетевого мониторинга ― NPM (Network Performance Monitoring).

SOCу нужна глубина. Тут недостаточно только сетевой статистики и поверхностных данных. Чем больше информации можно получить из сети, тем лучше. Поэтому предпочтение отдается анализу копии сырого трафика, запись его в хранилище, извлечение метаданных и автоматический ретроспективный анализ по ним. Для этого тоже существует отдельный класс решений NTA (Network Traffic Analysis) для мониторинга сети и обнаружения угроз.

Второй нюанс в решении задач подразделениями SOC и NOC заключается в отсутствии налаженного взаимодействия между ними. Это чревато «раздуванием» бюджетов каждого департамента, отсутствием единой базы данных о сетевом устройстве сети и нерегулярным обновлением данных. Например, IT-департамент вводит новый сервис для тестов. Работает с ним на протяжении нескольких недель, перестраивает часть инфраструктуры, разрешает доступы пользователям, не предупредив специалистов по ИБ. Протестировав, специалисты решают оставить ресурс без каких-либо изменений на какое-то время. Тем временем специалисты по ИБ даже не подозревают о появлении нового сервиса в инфраструктуре. Агентов (EPP/EDR) на них нет, журналы не заведены в SIEM-системы. 

Другой пример. Случился инцидент, специалисты по ИБ провели сбор артефактов и принялись реагировать. Часть задач можно выполнить через имеющийся ИБ-инструментарий (EDR, NGFW), но учетную запись, например, уже не заблокировать на уровне инфраструктуры без участия IT. Поэтому ИБшникам в такой ситуации нужно собрать все артефакты и попросить специалистов NOC сделать блокировку. Результат получится быстрым, если NOC поверит им на слово. Но на практике айтишники предложат подождать, пока они сами разберутся, кого и почему нужно блокировать, на какой срок, а главное, когда возвращать доступ. 

Третий нюанс в совместной работе ИБ и ИТ — это теневая инфраструктура. Администраторы сети меняют место работы, пользователи устанавливают новые приложения, которые взаимодействуют с интернетом, приносят в офис собственные мобильные устройства. Это все приводит к появлению активов, про которые никто не знает и не может их контролировать. Сочетание теневой инфраструктуры и отсутствие взаимодействия между подразделениями дают атакующим преимущество для проникновения в инфраструктуру и осуществления неприемлемых для бизнеса событий. 

В итоге, получаем, что абсолютного покоя нет даже внутри казалось бы стабильной инфраструктуры компании, а каждая сеть относительно другой уникальна. Проблема же повторяется от компании к компании. Возьмем этот тезис за аксиому и попробуем решить проблему теневой инфраструктуры и отсутствие взаимодействия между ИТ и ИБ с помощью одного инструмента. Например, NTA.

КАК SOC И NOC ПОДРУЖИЛИСЬ… В NTA-СИСТЕМЕ

Мир не идеален. В ИБ, например, для решения конкретной задачи нужно использовать отдельный инструмент, который хорошо делает свою работу. На практике все, конечно, получается совсем не просто. Один и тот же инструмент часто применяют для решения смежных задач. Лучшим выходом из такой ситуации будет обозначить пересекающиеся задачи и выработать критерии для выбора подходящей системы. 

Для начала обозначим четыре шага, которые важно пройти, чтобы избежать появления теневой инфраструктуры:

1. Получить полную видимость сети.
2. Разделить обнаруженные приложения, сервисы и узлы на категории: разрешенные, подозрительные, запрещенные.
3. Оценить уровни риска обнаруженных приложений, сервисов и узлов.
4. Получить полный контроль над выявленными активами.
5. Вывести из эксплуатации ненужные или запрещенные активы.

Первый, второй, четвертый и пятый шаги — это в чистом виде задачи для NOC. Все, кроме пятого, находятся в поле зрения SOC. Перейдем к требованиям, предъявляемым к системам NTA.

К обязательным можно отнести:

• Гибкие варианты сбора трафика в инфраструктуре. Чем больше вариантов получения зеркалированного трафика из инфраструктуры поддерживает система, тем проще начать работать с инструментом. Идеально, если система поддерживает технологии SPAN, RSPAR, ERSPAN, GRE. Немаловажным преимуществом является поддержка аппаратных TAP-устройств и возможность работы с брокерами сетевых пакетов.
• Пропускная способность. Внутри сети широкие каналы, а значит система должна обрабатывать весь поток без ошибок. Потоки могут достигать 10 Гбит/c и выше.
• Хранение сырых данных и метаданных. Система должна иметь несколько хранилищ. Хранилище сырых данных нужно для ИБ, хранилище метаданных — для IT. Здесь важно соблюсти баланс между временем хранения данных и ресурсами на оборудование. На практике рекомендованное время хранения сырого трафика достигает семи дней, а хранение метаданных — до двух недель.
• Легкость внедрения. Наличие конфигуратора и инсталлятора существенно упрощают внедрение в инфраструктуру и настройку системы.
• Гибкость внедрения. Двухуровневая архитектура системы позволяет горизонтально масштабироваться на всю компанию. Установка системы в виртуальную инфраструктуру, включая отечественные, актуально после ухода иностранных вендоров с российского рынка. Напомню, что виртуальных средах возможны ограничения по обработке потока данных.
• Количество обрабатываемых сетевых протоколов. Количество поддерживаемых протоколов не означает их детальный разбор. Например, система может обнаружить 40 протоколов, а разбирать всего пять. Нужно находить баланс между количеством и качеством. И не стоит забывать про вложенные друг в друга протоколы. Хороший инструмент умеет определять инкапсуляцию и разбирает весь трафик внутри туннелей.
• Визуализация накопленных данных. Возможность строить виджеты и дашборды на основе полученных данных.
• Система поиска. Гибкий поиск по всем индексируемым данным. Возможность сохранить фильтры и делиться ими с коллегами.
• Экспертиза. Важный пункт для ИБ и не менее важный для IT. Система должна уметь определять приложения, операционные системы, типы и роли устройств, и используемые учетные записи.

Список требований не конечный и каждый для себя добавит, что ему необходимо.

Рисунок 5. Обнаружение теневой инфраструктуры с помощью NTA

Итак, мы разобрались с требованиями, выбрали инструмент, внедрили его и используем. А что делать с регламентами и взаимодействием департаментов? Регламент лежит на поверхности. Общая система анализа трафика дает ИБ и ИТ общую карту сети, информацию обо всех узлах, подключенных к ЛВС (локальной вычислительной сети); об учетных записях, паролях, ролях и типах устройств. Теперь ИБ не нужно постоянно запрашивать актуальные данные у ИТ, достаточно обратиться к NTA-системе. У ИТ исчезает часть рутинных задач. Теперь им не нужно собирать данные для специалистов по ИБ. Внедрения единой системы поможет построить взаимовыгодные отношения между подразделениями.  

Отлично, а что дальше? Эффективность процесса будет зависеть от принятых в компании регламентов. Возьму базовый сценарий. Например, ИБ обнаруживает новый узел с помощью NTA. Оператор обращается к системе и смотрит детали по обнаруженному узлу. При необходимости может перейти в сетевой граф и оценить насколько узел:

• Легитимный. Специалист формирует фильтр и ставит задачу в ИТ по установке систем защиты конечных точек и заведению журналов и событий с узла в SIEM-систему.
• Подозрительный. Оператор помечает узел как подозрительный и продолжает наблюдать за его активностью в сети. Эксперту предстоит понять, с кем этот узел уже взаимодействовал и продолжает общаться, нет ли обращений к доменному контроллеру или к критическим сегментам сети, какие протоколы используются для передачи данных, какой используется User-Agent и т. п.
• Нежелательный. Оператор формирует фильтр и задачу на деактивацию узла. ИТ получает задание, использует полученный фильтр с нужными деталями и выключает нежелательный хост.

Получается, все подразделения уже в курсе появления нового узла, определили его опасность, вовремя предприняли соответствующие меры и закрыли потенциальный вектор для атаки. Система NTA однозначно знает, что происходит и вовремя сообщает об этом специалистам SOC и NOC (рис. 5).

***

«Так причем здесь теория относительности?», ― спросите вы, и будете правы. Очень важно не прекращать задавать вопросы и искать ответы даже там, где все кажется очевидным.

Все в нашем мире меняется: окружение, люди, бизнес. При этом, как мы выяснили, инфраструктура бизнеса подчиняется тем же законам физики. И дело не в том, что изменения происходят, а в том, что они происходят непрерывно и часто незаметно. Невидимые и неконтролируемые системы в инфраструктуре компании ― общая проблема для ИБ и ИТ, и она обостряет необходимость менять процессы, регламенты и суть взаимодействия между экспертами из разных отраслей. Решить задачу комплексно и получить при этом новый качественный результат, поможет только нестандартный подход, и главный инструмент тут — воображение!

Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. Развитие корпоративных и коммерческих центров мониторинга (SOC) немыслимо без новых технологий, которые постоянно появляются на рынке и помогают решать многочисленные задачи ИБ. Однако эффект от новых технологий напрямую зависит от правильности подобранного решения, его адаптации и эксплуатации.

Узнайте на «Технологии SOC», как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ!