29 января, 2015, BIS Journal №4(15)/2014

SOC: от теории к практике


Пуха Александр

руководитель Центра мониторинга ИБ (АМТ-ГРУП)

Централизованные средства комплексного управления ИБ всё более востребованы на рынке

В настоящее время все более востребованными на рынке становятся средства централизованного управления информационной безопасностью (ИБ), позволяющие комплексно решать задачи в области безопасности. Говоря о мониторинге ИБ, набирающей популярность концепцией является SOC (Security Operation Center). В последние годы немало сказано о данной концепции и различных подходах к организации SOC. Прислушаемся к поговорке «теория без практики мертва» и в настоящем материале затронем ряд практических моментов, связанных с внедрением и эксплуатацией SOC на примере сервиса SOC, предлагаемого «АМТ ГРУП».

 

Сервис SOC, предлагаемый АМТ-ГРУП – это услуга по комплексному мониторингу инцидентов ИБ. В ее рамках эксперты АМТ-ГРУП осуществляют постоянный мониторинг и анализ событий ИБ в инфраструктуре заказчика, своевременно оповещают об обнаруженных инцидентах ИБ и участвуют в реагировании на них. При этом вовлеченность специалистов заказчика в сам процесс мониторинга минимальна – они получают уже готовую информацию для принятия решений.

СОСТАВ СЕРВИСА SOC

Для оказания услуги на площадке заказчика разворачивается система мониторинга, которая интегрируется в существующую IT-инфраструктуру. Настройка и обслуживание всех компонентов системы выполняется специалистами АМТ-ГРУП. Детальные характеристики и состав сервиса могут быть существенно кастомизированы под потребности и индивидуальные особенности инфраструктуры заказчика, набор услуг уникален в каждом конкретном случае.

Мониторинг событий ИБ может осуществляться на уровне ОС, СУБД, прикладного ПО (в том числе собственной разработки). Также осуществляется мониторинг критичных сегментов сети и событий с используемых средств защиты информации, проводится периодический анализ уязвимостей.

Экспертный анализ указанных данных является ключевым звеном SOC, позволяя выявлять инциденты ИБ любой сложности, включая сетевые аномалии и нарушения требований действующих регламентов и стандартов по обеспечению ИБ. При этом заказчику выдаются подробные рекомендации по их устранению (включая возможные варианты), что существенно облегчает работу специалистов заказчика и экономит их время. Они избегают рутинной работы и, фактически, не работают с «сырыми» данными (например, результатами сканирования технических уязвимостей).

Помимо информирования «онлайн», востребованным со стороны большинства заказчиков результатом являются периодические отчеты различной степени детализации для различных категорий работников, включая не только  подразделения ИТ и ИБ, но и, например, руководство организации. Отчеты содержат описания выявленных инцидентов ИБ, статистику по их обнаружению и обработке, детальные рекомендации по устранению, информацию о состоянии и динамике ИБ организации.

Помимо «базовых» функциональных возможностей сервиса, со стороны многих заказчиков в рамках SOC востребованы дополнительные услуги, например: оценка эффективности используемых мер защиты, тесты на проникновение, экспресс-аудиты ИБ, анализ существующих конфигураций узлов, оценка их соответствия различным требованиям и рекомендациям, разработка политик и процедур, касающихся эксплуатации SOC и обеспечения ИБ в целом.

ОБРАБОТКА ИНЦИДЕНТОВ ИБ

Учитывая основное назначение SOC, закономерным будет вопрос, какие инциденты можно обнаруживать с его помощью? Учитывая, что инцидентом считается некое событие, или последовательность событий, то, основываясь на правилах, настроенных в системе, а также на экспертном анализе, SOC позволяет обнаруживать практически любые виды инцидентов, если настроен и осуществляется сбор событий от соответствующих источников.

На практике выявляемые инциденты могут быть совершенно разными, большинство из них является следствием внутренних нарушений. Распространенными примерами могут служить несанкционированное использование учетных записей, заражение вредоносным ПО, ошибки при конфигурации сервисов, использование запрещенного ПО, различные нарушения действующих требований и регламентов ИБ. Регулярно выявляются случаи подключения к корпоративной сети несанкционированного оборудования (например, личных ноутбуков), в том числе с целью копирования данных в обход функционирующей DLP-системы. Выявляются случаи злоупотребления своими полномочиями администраторами: например, на короткий промежуток времени создается учетная запись, которой предоставляют нелегитимный доступ к информации, после выполнения злоумышленных действий запись удаляется. В таких случаях задачей является своевременное информирование заказчика, который затем использует эту информацию по своему усмотрению.

Специалисты АМТ-ГРУП, как правило, вовлекаются в процесс реагирования на инциденты ИБ. Степень участия зависит от потребностей заказчика и вовлеченности его специалистов. Одних достаточно уведомить по электронной почте или телефону, и они сами занимаются обработкой инцидента и устранением последствий; другие требуют, чтобы наш специалист выехал к ним на площадку и лично выполнил действия по устранению инцидента на месте.

Степень вовлеченности в реагирование на инцидент сильно зависит и от того, какой уровень доступа к компонентам инфраструктуры имеют специалисты SOC. В случае полного аутсорсинга средств обеспечения ИБ сервис SOC дополняет оказываемые заказчику сервисы. В данном варианте большинство операций по устранению последствий и причин инцидента специалисты SOC способны выполнить самостоятельно, в том числе удаленно. В остальных случаях выдаются рекомендации по устранению инцидента либо продолжается сбор информации, необходимой для его устранения.

Отдельно хотелось бы отметить, что постоянное использование сервиса SOC дает возможности для предотвращения инцидентов еще до момента их появления (т.е. позволяет предотвратить сам факт появления инцидента). Информация об обнаруженных событиях хранится длительное время, что дает возможность выполнять ретроспективный анализ данных.

ВНЕДРЕНИЕ СЕРВИСА SOC

Внедрение системы занимает до двух месяцев. В первые две недели осуществляется инсталляция и базовая настройка. Система имеет базовый набор правил и настроек, но эти правила не всегда применимы в инфраструктуре заказчика, и здесь все сильно зависит от отрасли и действующих политик безопасности.

После инсталляции в течение полутора месяцев выполняется тонкая настройка системы. При этом формируются наборы правил корреляции для выявления инцидентов с учетом особенностей инфраструктуры. Также производится отработка ложных срабатываний и формируется база исключений. Вовлеченность специалистов заказчика заключается, в основном, в участии в обследовании, в заполнении опросных листов и в помощи при первичной инсталляции.

В дальнейшем донастройка системы, создание новых правил корреляции и т.п. выполняются постоянно на протяжении всего срока оказания сервиса. Все изменения, происходящие в инфраструктуре или на организационном уровне, в том или ином виде будут отражены в настройках системы.

Стоимость сервиса зависит от состава оказываемых услуг, потребностей заказчика и параметров контролируемой IT-инфраструктуры. В целом, SOC как сервис обходится дешевле, чем создание собственного SOC. При этом существенная нагрузка ложится на нас как на провайдера услуги, а не на заказчика. Заказчику нет необходимости закупать лицензии ПО и аппаратных платформ, не требуется нанимать выделенный персонал, проводить его обучение и постоянно поддерживать высокую квалификацию. Окупаемость сервиса также зависит и от инцидентов, которые будут обнаружены – несложно представить себе ситуацию, когда сервис может окупиться и за 1 инцидент.

ЗАКЛЮЧЕНИЕ

Концепция SOC является достаточно новым направлением на российском рынке. Но заинтересованность компаний в решениях SOC сейчас, несомненно, есть. На текущий момент решения SOC становятся для организаций средством, позволяющим проактивно, максимально комплексно и целостно подойти к обеспечению ИБ, превентивно реагировать на угрозы и эффективно организовать процесс управления инцидентами ИБ. SOC позволяет связать в единое целое задачи бизнеса, применимые нормативные требования и используемые меры обеспечения ИБ, разложить все по полочкам и навести «порядок».

Формат реализации SOC как сервиса привлекателен тем, что позволяет существенно снизить стоимость владения: компания не покупает оборудование и программное обеспечение, не содержит свой персонал, не тратит ресурсы на его обучение. При этом достигается и поддерживается требуемый уровень обеспечения ИБ, риски находятся под контролем, процессы ИБ функционируют максимально эффективно за счёт использования высоких компетенций экспертов нашего SOC, обладающих, в том числе, и опытом построения комплексных систем ИБ в компаниях различных отраслей.

На текущий момент SOC как сервис   – это уже действительность. И все указывает на то, что популярность сервисов SOC на нашем рынке непременно будет расти. Сложившаяся «культура» начнёт постепенно меняться, и будет развиваться практика передачи такой чувствительной материи как информационная безопасность на аутсорсинг.

 

 

Смотрите также

Подпишись на новости!
Подписаться