«Порядок потребен лишь глупцу, гений властвует над хаосом».
Альберт Эйнштейн
Иногда кажется, что проблемы взаимодействия ИБ и ИТ в инфраструктуре поможет решить только магия. Но если заменить магию на теорию, например, теорию относительности и приложить воображение, то эти проблемы станут гораздо понятнее. Предлагаем поднять фундаментальные вопросы задач ИБ и ИТ в защите сети, найти точки пересечения обязанностей каждого, устранить теневую инфраструктуру и выбрать подходящие инструменты.
ВВЕДЕНИЕ В СИТУАЦИЮ
Покой ― состояние, которого не существует. Альберт Эйнштейн обозначил это ещё в XX веке. Все объекты находятся в непрерывном движении относительно друг друга. В бизнесе, например, теория относительности отлично работает. Ни одна компания не абсолютна и не находится в состоянии покоя. На её способность зарабатывать, быть конкурентной, приносить пользу обществу и окружающему миру влияет всё. Потому что всё относительно!
Тем не менее что-то стабильное, абсолютное все-таки есть. Например, цифровые рельсы. Бизнес в России уже встал на них и довольно уверенно движется вперед. Например, финтех-корпорации не могут существовать без Big Data, Data Science, Machine Learning. Вся экосистема компаний построена на них, и пользователи привыкли к удобному технологичному сервису. В промышленности по цифровым рельсам, можно сказать, несётся целый исторический локомотив. Индустриальные компании наращивают цифровые активы, внедряют новые технологии, вводят процессы и процедуры… Но и внутри локомотива нет покоя: чтобы оставаться прибыльным для страны и акционеров, будь готов к модернизации. Кстати, государственные регуляторы этому неплохо способствуют. Вводят новые нормативные акты, подталкивающие важные сегменты экономики страны к обновлению. Тот же Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» предлагает компаниям пищу для размышлений и руководство к действию.
В целом вектор развития понятен, в условиях конкурентного рынка большим и малым игрокам не обойтись без современных систем автоматизации и информатизации. А поскольку абсолютного покоя нет, то информационные ресурсы постоянно изменяются, оптимизируются и добавляются. Бизнесу же важно, чтобы эти ресурсы оставались надежными, стабильными и производительными. По-другому не может быть. Поэтому высоконагруженный сервис всегда нуждается в ресурсах, а еще в отказоустойчивой архитектуре систем и, разумеется, резервировании данных. Для решения этих задач в любом интерпрайзе есть целая бригада штатных ИТ-специалистов.
Так же обязательна и безопасность систем. Под безопасностью я подразумеваю недопущение неприемлемых для бизнеса событий на трех уровнях: сетевом, системном и прикладном.
Получается, что ИБ и IT — это два важных звена для бизнеса, их задачи сильно переплетены.
ЗАДАЧИ ИБ ИИТ. КАК ПРОВЕСТИ ЧЕРТУ
И вновь обратимся к Альберту Эйнштейну. Мысль, положенная в основу теории относительности, посетила его, когда он ехал в трамвае. Глядя на фонарные часы, ученый предположил, что если бы он смог разогнаться до скорости света, то для него время на этих часах остановилось бы и перестало существовать. Вот вам пример того, как решение задачи может основываться не только на знаниях и опыте, но и на воображении.
Но вернемся к ИБ и ИТ. Как известно, практически весь интерпрайз имеет in-house службы ИБ и ИТ, но не ограничивается ими. Вместе они обеспечивают достижение трех важных условий функционирования бизнеса (рис. 1):
Рисунок 1. ИТ и ИБ являются основой для бизнеса
Наверняка читатель помнит, что любая из служб ИБ или ИТ отвечает за множество доменов и поддоменов. Раз уж мы говорим про относительность, то применительно к сети IT-департамент представляет собой NOC (Network Operation Center). Он отвечает за сетевой доступ к бизнес-приложениям и сервисам для всех пользователей, контролирует целостность сети и управляет ей.
ИБ относительно сети представляет собой SOC (Security Operations Center) эксперты центра реагирования могут фокусироваться на защите периметра, каналов связи и в целом всей сетевой инфраструктуры.
Рассмотрим каждую службу поближе.
ЗАДАЧИ NOC
Как вы думаете, сколько стоит простой сервиса для бизнеса? Например, остановка важного сервиса финансовой организации в течение 30 минут обойдется минимум в 4 млн рублей. Сумма может только увеличиваться в зависимости от числа пользователей, специалистов в NOCе и времени на восстановление доступа. Если такой простой будет регулярно повторяться, то существование бизнеса уже под угрозой. NOC делает все, чтобы этого не произошло, и решает семь задач (рис. 2):
Рисунок 2. Задачи, решаемые с помощью NOC
NOC отлично знает корпоративную сеть, вносит в нее изменения и актуализирует данные. Все это позволяет быстро решать проблемы с доступом к бизнес-приложениям и сервисам, устранять неполадки и строить отказоустойчивую и производительную сеть. Разумеется, для этих задач специалисты используют разный набор инструментов. Например, CMDB позволяет собирать данные об устройствах и оборудовании, проводить детальную инвентаризацию активов и управлять этими данными. Система мониторинга, например, Zabbix обеспечивает данными о доступности сервисов, серверов и сетевого оборудования и помогает вовремя обнаружить неисправность и среагировать на нее. Ну и как же без анализа трафика, всем известного Wireshark. Инструментов много, как платных, так и бесплатных. Каждый специалист выбирает то, что ему удобно.
ЗАДАЧИ SOC
Простой сервиса из-за ошибки оборудования или ПО понятен. А сколько будет стоить бизнесу взлом этого сервиса, утечка данных и компрометация всей инфраструктуры? Скажем, 87,25 млн. рублей. Эта сумма будет зависеть от количества узлов в сети, стоимости каждого актива и информации в нем, включая цену оборудования и ПО. Чем больше инфраструктура, тем стоимость компрометации будет выше. Если компрометация сервиса и, как следствие, всей инфраструктуры будет повторяться, значит стоимость такого взлома нужно умножать на его количество. В организации может быть несколько доменов, которые нужно защищать и обеспечивать в них:
Рисунок 3. Задачи, решаемые SOC
А какие из них связаны в сети? Декомпозируем и получим (рис. 4):
Рисунок 4. Сетевые задачи, решаемые SOC
Читатель наверняка заметил, что есть явное пересечение зон ответственности NOC и SOC. Оба подразделения контролируют сеть. Задача у них одна, а результаты разные.
ЦЕЛЬ ОБЩАЯ, РЕЗУЛЬТАТЫ ― РАЗНЫЕ
Мониторинг сети ― общая задача для NOC и SOC, но есть нюансы. Первый нюанс связан с исходными данными, полученными из сети для выполнения задачи.
NOCу достаточно получать сетевую статистику (NetFlow, sFlow, NetStream и пр.), записывать трафик по настраиваемому правилу и собирать метрики устройств с помощью SNMP, WMI, CLI, API или логов. Эта информация дает контекст сетевой проблемы, позволяет найти источник неисправности и решить возникшую аварию. Для этого даже существует отдельный класс продуктов сетевого мониторинга ― NPM (Network Performance Monitoring).
SOCу нужна глубина. Тут недостаточно только сетевой статистики и поверхностных данных. Чем больше информации можно получить из сети, тем лучше. Поэтому предпочтение отдается анализу копии сырого трафика, запись его в хранилище, извлечение метаданных и автоматический ретроспективный анализ по ним. Для этого тоже существует отдельный класс решений NTA (Network Traffic Analysis) для мониторинга сети и обнаружения угроз.
Второй нюанс в решении задач подразделениями SOC и NOC заключается в отсутствии налаженного взаимодействия между ними. Это чревато «раздуванием» бюджетов каждого департамента, отсутствием единой базы данных о сетевом устройстве сети и нерегулярным обновлением данных. Например, IT-департамент вводит новый сервис для тестов. Работает с ним на протяжении нескольких недель, перестраивает часть инфраструктуры, разрешает доступы пользователям, не предупредив специалистов по ИБ. Протестировав, специалисты решают оставить ресурс без каких-либо изменений на какое-то время. Тем временем специалисты по ИБ даже не подозревают о появлении нового сервиса в инфраструктуре. Агентов (EPP/EDR) на них нет, журналы не заведены в SIEM-системы.
Другой пример. Случился инцидент, специалисты по ИБ провели сбор артефактов и принялись реагировать. Часть задач можно выполнить через имеющийся ИБ-инструментарий (EDR, NGFW), но учетную запись, например, уже не заблокировать на уровне инфраструктуры без участия IT. Поэтому ИБшникам в такой ситуации нужно собрать все артефакты и попросить специалистов NOC сделать блокировку. Результат получится быстрым, если NOC поверит им на слово. Но на практике айтишники предложат подождать, пока они сами разберутся, кого и почему нужно блокировать, на какой срок, а главное, когда возвращать доступ.
Третий нюанс в совместной работе ИБ и ИТ — это теневая инфраструктура. Администраторы сети меняют место работы, пользователи устанавливают новые приложения, которые взаимодействуют с интернетом, приносят в офис собственные мобильные устройства. Это все приводит к появлению активов, про которые никто не знает и не может их контролировать. Сочетание теневой инфраструктуры и отсутствие взаимодействия между подразделениями дают атакующим преимущество для проникновения в инфраструктуру и осуществления неприемлемых для бизнеса событий.
В итоге, получаем, что абсолютного покоя нет даже внутри казалось бы стабильной инфраструктуры компании, а каждая сеть относительно другой уникальна. Проблема же повторяется от компании к компании. Возьмем этот тезис за аксиому и попробуем решить проблему теневой инфраструктуры и отсутствие взаимодействия между ИТ и ИБ с помощью одного инструмента. Например, NTA.
КАК SOC И NOC ПОДРУЖИЛИСЬ… В NTA-СИСТЕМЕ
Мир не идеален. В ИБ, например, для решения конкретной задачи нужно использовать отдельный инструмент, который хорошо делает свою работу. На практике все, конечно, получается совсем не просто. Один и тот же инструмент часто применяют для решения смежных задач. Лучшим выходом из такой ситуации будет обозначить пересекающиеся задачи и выработать критерии для выбора подходящей системы.
Для начала обозначим четыре шага, которые важно пройти, чтобы избежать появления теневой инфраструктуры:
Первый, второй, четвертый и пятый шаги — это в чистом виде задачи для NOC. Все, кроме пятого, находятся в поле зрения SOC. Перейдем к требованиям, предъявляемым к системам NTA.
К обязательным можно отнести:
Список требований не конечный и каждый для себя добавит, что ему необходимо.
Рисунок 5. Обнаружение теневой инфраструктуры с помощью NTA
Итак, мы разобрались с требованиями, выбрали инструмент, внедрили его и используем. А что делать с регламентами и взаимодействием департаментов? Регламент лежит на поверхности. Общая система анализа трафика дает ИБ и ИТ общую карту сети, информацию обо всех узлах, подключенных к ЛВС (локальной вычислительной сети); об учетных записях, паролях, ролях и типах устройств. Теперь ИБ не нужно постоянно запрашивать актуальные данные у ИТ, достаточно обратиться к NTA-системе. У ИТ исчезает часть рутинных задач. Теперь им не нужно собирать данные для специалистов по ИБ. Внедрения единой системы поможет построить взаимовыгодные отношения между подразделениями.
Отлично, а что дальше? Эффективность процесса будет зависеть от принятых в компании регламентов. Возьму базовый сценарий. Например, ИБ обнаруживает новый узел с помощью NTA. Оператор обращается к системе и смотрит детали по обнаруженному узлу. При необходимости может перейти в сетевой граф и оценить насколько узел:
Получается, все подразделения уже в курсе появления нового узла, определили его опасность, вовремя предприняли соответствующие меры и закрыли потенциальный вектор для атаки. Система NTA однозначно знает, что происходит и вовремя сообщает об этом специалистам SOC и NOC (рис. 5).
***
«Так причем здесь теория относительности?», ― спросите вы, и будете правы. Очень важно не прекращать задавать вопросы и искать ответы даже там, где все кажется очевидным.
Все в нашем мире меняется: окружение, люди, бизнес. При этом, как мы выяснили, инфраструктура бизнеса подчиняется тем же законам физики. И дело не в том, что изменения происходят, а в том, что они происходят непрерывно и часто незаметно. Невидимые и неконтролируемые системы в инфраструктуре компании ― общая проблема для ИБ и ИТ, и она обостряет необходимость менять процессы, регламенты и суть взаимодействия между экспертами из разных отраслей. Решить задачу комплексно и получить при этом новый качественный результат, поможет только нестандартный подход, и главный инструмент тут — воображение!
Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. Развитие корпоративных и коммерческих центров мониторинга (SOC) немыслимо без новых технологий, которые постоянно появляются на рынке и помогают решать многочисленные задачи ИБ. Однако эффект от новых технологий напрямую зависит от правильности подобранного решения, его адаптации и эксплуатации.
Узнайте на «Технологии SOC», как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ!
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных