6 декабря, 2016, BIS Journal №4(23)/2016

Подбирая лучшее для SOC…


Мальнев Алексей

руководитель Jet CSIRT (компания «Инфосистемы Джет»)

Как фильтровать маркетинговые тренды

За последние 10 лет в области информационной безопасности объявлялось множество “революций”, которые на поверку оказывались лишь маркетинговым ходом. Цель такого хода – дать новый импульс продажам, представив эволюционное развитие отдельного продукта как некую революцию и абсолютно новый подход. Проблема в том, что часто конечный потребитель не в состоянии определить, появился ли на рынке новый продукт, полезный для бизнеса, или что-то давно известное «обернули в новую упаковку». Как правило, планируя SOC, у нас в запасе есть только “один выстрел” чтобы реализовать с первого раза максимально эффективную службу с оптимальным набором технических инструментов. Поэтому мы должны правильно фильтровать маркетинговые тренды.

Например, развитие межсетевых экранов шло по пути (упрощенно): Stateless (packet) Firewall -> Statefull Firewall-> UTM firewall -> Application Firewall -> Next Generation Firewall. На мой взгляд, это показательный пример эволюционного развития одного класса решений ИБ. Нужно ли менять удовлетворительно работающий UTM на NGFW? Далеко не всегда. Являются ли новые функции NGFW необходимыми? Как правило, они полезны, но не необходимы даже с поправкой на особую модель угроз: IPS и потоковый антивирус в составе UTM тоже делает инспекцию приложений, пусть и без набора функций NGFW.

Также давайте вспомним про внезапный рост популярности такого явления как APT (Advanced Persistent Threat) и развития “специализированных” решений борьбы с APT. А раньше APT не было? Угрозы, конечно, каждый год растут, но это касается любого типа угроз. И разве бывают IPS, не противодействующие APT – таргетированным и сложным атакам? Так или иначе любое средство ИБ в какой-то степени разработано для борьбы с APT. Глобальная задача любого решения ИБ одна: обнаруживать и подавлять злонамеренную активность, как обособленную, так и в составе сложной APT-атаки. Поэтому менять корректно настроенный и обновляющийся (сигнатурные базы) сигнатурный IPS на сигнатурный APT IPS в большинстве случаев не представляется необходимым.

Это не камень в огород маркетинга, это жизнь и, вообще, нужно честно признаться, что главным драйвером развития ИБ являются, в первую очередь, не объективные угрозы, а рынок и продажи (в свою очередь, только косвенно зависимые от тех самых угроз).

В этом контексте хотелось бы подвести некоторую черту и оценить современный (существующий) рынок ИБ с целью поиска наиболее эффективных, инновационных решений ИБ для службы SOC. При этом, разумеется, я не беру в расчет комплекс необходимых и уже традиционных технических мер (межсетевые экраны, антивирусы, сканеры уязвимостей, системы предотвращения вторжений и некоторые другие), которые хорошо зарекомендовали себя лет двадцать назад и остаются актуальными, понемногу эволюционируя. Точно так, как и не говорю о специализированных решениях для защиты конкретных систем (защита баз данных и Web, Honeypot и др.). Ниже мой список наиболее эффективных, “must have” решений и технологий SOС:
  1. Появление в лог-серверах корреляционных механизмов и алгоритмов определило новую эру в системах управления и мониторинга информационной безопасности. В результате появился класс продуктов SIEM. SIEM способен в десятки раз ускорить как обнаружение инцидентов, так и их расследование. SIEM кардинальным образом повышает эффективность ИБ – это тот случай, когда найден способ отдать машине рутинные операции, оставив человеку лишь аналитику.  Именно поэтому, SIEM стал вычислительным “мозгом” и основным инструментом SOC. 
  2. Поведенческий анализ сетевого трафика в системах обнаружения вторжений. Сигнатурные механизмы могут быть эффективными, однако целый пласт zero-day атак и DDoS-атак они детектировать не способны. Сейчас поведенческие механизмы обнаружения атак реализуются в большом количестве продуктов, определив новый класс решений Next Generation IPS и системы защиты от DDoS. В корпоративной, банковской среде – это один из самых эффективных механизмов ИБ, направленных против пресловутых APT атак. Для SOC эти продукты могут стать незаменимыми инструментами обнаружения zero-day и расследования инцидентов. 
  3. Системы мониторинга действий пользователей и администраторов. Принципиально новый класс продуктов, позволяющий службе SOC получить дополнительные инструменты предотвращения, мониторинга и расследования инцидентов, в первую очередь, в случае реализации угроз через векторы атак со стороны внутреннего злоумышленника. 
  4. Ботнет-фильтрация. Простой и изящный механизм, позволяющий SOC-команде оперативно детектировать и нейтрализовать свершившийся факт заражения узла. Несмотря на простоту реализации, потребовал определенного периода повышения уровня зрелости продуктов ИБ, связанных с регистрацией и блокированием управляющего трафика ботнет и сбора базы данных по CC-серверам. 
  5. Системы однонаправленной передачи данных (они же диоды данных). Единственные решения, сертифицированные ISO/IEC Common Criteria по уровню EAL7 (Evaluation Assurance Level 7), что, по сути, означает гарантированную защиту периметра от внешних угроз ИБ (ни одно другое техническое решение ИБ не обеспечивает такой гарантии, потому что диоды данных делают это на аппаратном уровне). Системы однонаправленной передачи данных полностью изолируют критичный сегмент, сохраняя необходимый уровень взаимодействия со смежными системами. Это может быть востребовано в SOC, например, для безопасного сбора событий или копий трафика из критичных сетей и их сегментов (не подвергая их рискам при подключении к внешним каналам связи) для дальнейшего анализа. 
  6. SI (Security Intelligence) – аналитика в SOC. Новый подход, который, в частности, используется в услуге компании AMT-ГРУП (сервис AMT SOC). Как правило, служба SOC оперирует фактами на языке ИБ (события, инциденты), получая эти данные в виде отчетов и визуализированных графиков со стороны SIEM. Однако для бизнеса и топ-менеджеров такое представление на оперативном уровне не всегда (почти никогда не) является информативным, показательным и определяющим необходимость каких-то действий. SI позволяет получить более высокий уровень корреляции событий и инцидентов ИБ с бизнес-процессами компании, данными от HR (например новые сотрудники или уволенные сотрудники), СКУД, бухгалтерии и других бизнес-систем. Этот подход требует квалифицированной работы для создания модели данных со стороны бизнес-аналитиков компании и специалистов SOC. При этом на выходе, со стороны руководства, мы получаем немаловажное понимание эффективности службы ИБ и необходимости трат на ИБ. 
  7. OpenSOC. Когда мы говорим о SOC регионального уровня (уровня города, крупной международной корпорации) с сотнями тысяч пользователей и источников событий, то на первое место выходят новые вызовы для SOC. Такие масштабы характеризуются огромным количеством системных событий и событий ИБ, исчисляющихся (ежедневно) триллионами, миллиардными показателями Flow per Second статистики, терабайтами переданного трафика. Два главных технологических вызова SOC при таких масштабах: необходимость оперировать действительно большими базами данных (индексация, хранение, поиск) и необходимость создавать корреляционные правила для огромной инфраструктуры. Концепция OpenSOC (open source решение, продвигаемое компанией Cisco Systems) воспринимает информацию от различных источников событий (сетевой трафик, статистика Flow, события и т.д.) – как телеметрию (т.е. огромный поток входных данных BigData). Процесс парсинга, форматирования, индексирования и выявления инцидентов в терминологии OpenSOC называется обогащением (enrichment) и при этом используются технологии BigData, разработанные под масштабирование высокого уровня. Но какую бы производительную платформу с высокоскоростным индексированием и поиском мы не использовали, SOC командам понадобилась бы целая армия квалифицированных специалистов для оперативного создания корреляционных правил - дело в том, что на больших масштабах инфраструктуры инциденты новых типов могут возникать быстрее чем SOC-команда будет успевать их идентифицировать и определять в корреляционных правилах. Для решения этой задачи OpenSOC использует технологию поведенческого событийного анализа для прогнозного моделирования возможных инцидентов.  Другими словами, все возможные элементы рутинных операций, включая поведенческий событийный анализ, уже отдаются машине. 

По отдельности элементы такого решения в той или иной форме начинают развиваться в существующих . Однако, эффективно решает эту задачу на принципиально ином уровне и в других масштабах в сравнении с традиционными – примерно, как крупная ГЭС отличается от водяного колеса на небольшой речушке при схожих принципах работы.  Кто знает, может когда-нибудь, подобная концепция будет реализована в глобальных национальных системах типа ГОССОПКА?

 

Смотрите также

Два берега И-реки

24 ноября, 2016
Подпишись на новости!
Подписаться