BIS Journal №3(30)/2018

20 июля, 2018

Второй SOC Сбербанка

Модернизацию Security Operation Centre Сбербанка в самом Сбербанке называют одним из крупнейших в Европе и самым масштабным в России проектом трансформации SOC. Речь идёт не только о технологических новшествах, но и о вещах фундаментальных: внедряется абсолютно новая процессная модель, вводится новая оргштатная структура и, самое главное, меняется профессиональное сознание людей, так или иначе участвующих в проекте.

На вопросы ведущего рубрики "SOCи России" Александра Бодрика о причинах и предпосылках этой инициативы, структуре и взаимодействии SOC 2.0 со смежными подразделениями отвечает управляющий директор – начальник центра киберзащиты Сбербанка Сергей Валуйских.

ИСТОРИЯ, СТРУКТУРА И ЗАДАЧИ  

До последнего времени не вызывал сомнения тот факт, что SOC Сбербанка справляется со своими задачами и имеет запас прочности на несколько лет вперёд. Расскажите, пожалуйста, историю формирования SOC Сбербанка вообще и историю возникновения SOC 2.0 в частности?

- SOC в том или ином виде существует в банке давно, и пока Сбербанк был классическим банком, работающая в нём система кибербезопасности полностью соответствовала выдвигаемым требованиям.

Трансформация Сбербанка в серьезную и мощную технологическую компанию связанная с растущей диджитализацией, выходом на рынок цифровых услуг и созданием цифровых платформ, повлекла за собой необходимость перехода функции безопасности в новое качество. SOC, который до этого устраивал компанию, перестал отвечать на новые вызовы.

SOC 2.0 часто называют Intelligence-Driven SOC, однако чёткого определения не существует. Для кого-то это просто внедрение новых технологий, таких, как UBA (User Behavior Analytics). Для нас же это понятие выходит за рамки внешнего «тюнинга» и означает глубокую трансформацию на всех уровнях: в процессах, технологиях и, самое важное, в сознании людей.

Минимизация ущерба от масштабных инцидентов требует координации усилий многих подразделений. Какая структура у вашей службы кибербезопасности?

- В состав службы кибербезопасности входят крупные операционные подразделения, в первую очередь, центр киберзащиты и управление противодействия кибермошенничеству. Они полностью отвечают за инцидент-менеджмент и выполняют все оперативные функции реагирования на инциденты. В зону ответственности управления методологии кибербезопасности входит нормативная база — стандарты, регламенты, политики. Центр внутрикорпоративного взаимодействия — связующее звено между кибербезопасностью и бизнес-подразделениями банка. Управление экспертизы кибербезопасности участвует в разработке программных продуктов. Дирекция программ и проектов отвечает за реализацию проектов по кибербезопасности. Лаборатория кибербезопасности проводит перспективные исследования в области кибербезопасности.

Как структурирован сам SOC? В чём отличие структур и функционального назначения SOC и SOC 2.0?

- SOC Сбербанка географически распределён. Основные подразделения расположены в Москве, но существуют ещё четыре региональных сервисных центра. Все они имеют чёткую структуру:

Круглосуточная дежурная смена отвечает за мониторинг событий кибербезопасности и реагирование на инциденты в режиме 24/7.
Отдел реагирования на инциденты кибербезопасности, в котором трудятся высококвалифицированные эксперты, подключается, когда компетенций дежурной службы оказывается недостаточно.
Отдел киберугроз (Cyber Threat Intelligence) занимается аналитикой в сфере киберугроз и ранним предупреждением о рисках возникновения угроз и инцидентов.
Отдел средств защиты администрирует все системы, стоящие «в разрыв», то есть непосредственно влияющие на предоставление сервисов банка, к примеру, межсетевые экраны.
Отдел мониторинга сопровождает все остальные средства и системы защиты, например, все системы поддержки процессов SOC, такие как SIEM, Ticketing, Reporting и многие другие.

Основное отличие SOC и SOC 2.0 с точки зрения оргштатной структуры — в наличии подразделения Cyber Threat Intelligence. Оно должно заменить реактивную модель SOC на проактивную: пресечь возможный инцидент до его возникновения.

Занимается ли служба кибербезопасности мониторингом доступности и эффективности бизнес-процессов силами SOC?

- Эффективность — нет, но бизнес-метрики мониторим. Обеспечение доступности сервисов — одна из задач cлужбы кибербезопасности. И если, скажем, среднестатистический показатель числа пользователей, использующих Сбербанк Онлайн, вдруг резко уменьшается, это может быть признаком снижения доступности. Другой пример — при защите от DDoS-атак мы постоянно отслеживаем метрики доступности атакуемых систем.

Развитые SOC часто идут по пути технического улучшения, например, форензики, реверс-инжиниринга и киберразведки. Какие из этих практик применяются в Сбербанке?

- Все. Киберразведкой занимается, в частности, подразделение Cyber Threat Intelligence. Реверс-инжинирингом — отдел реагирования. Кстати, реверс-инжиниринг активно применялся при разборе нашумевших вирусных эпидемий WannaCry, NotPetya, Bad Rabbit, и используется ежедневно при реагировании на фишинговые атаки. Форензика входит в задачи отдела расследований центра киберзащиты, который привлекается для сбора цифровых доказательств в случае крупных, резонансных инцидентов. Кроме этого, в составе центра киберзащиты работает команда Red Team. Она производит постоянную оценку защищенности систем банка, тестируя их на проникновение. Это важное направление, которое является, в том числе элементом SOC 2.0.

Входит ли в SOC служба фрод-мониторинга?

- Сейчас нет, но с внедрением модели Fusion Сentre дежурная служба фрод-мониторинга войдет в его состав. Сейчас же дежурная служба SOC и фрод-мониторинга активно сотрудничают.

Многие крупные корпорации при создании SOC выносят операционное ядро в регионы, надеясь снизить затраты и получить доступ к менее конкурентным, чем московский, рынкам труда. Как распределяются по регионам подразделения вашего SOC?

- Как я уже отметил, SOC географически распределён. Частично это действительно связано с некоторой экономией, но это не единственная причина такого решения. В Москве часто приходится иметь дело с чем-то глобальным, а в регионах дефицит информации стимулирует желание разобраться в предмете детальнее.

На базе региональных SOC мы создаем центры компетенций, каждый из которых отвечает за определенную зону защиты (к примеру, периметр сети) и является уникальным подразделением в структуре SOC.

ТЕХНОЛОГИЧЕСКОЕ ОБЕСПЕЧЕНИЕ SOC

Сбербанк известен высокой степенью автоматизации SOC. Какие ключевые системы вы бы выделили? Чем в этом смысле отличается SOC 2.0?

- Применительно к SOC я бы выделил, в первую очередь, системы поддержки процессов SOC. Прежде всего, Ticketing System и Reporting System. Они полностью внедрены в SOC. Также сейчас мы активно внедряем Threat Intelligence Platform и Incident Response Platform — системы, которых не было в SOC и которые являются неотъемлемой частью SOC 2.0.

Главной проблемой баз данных управления конфигурации (Configuration Management Database) обычно является их быстро устаревающее наполнение. Как эта проблема решается у вас?

- Проблема присуща всем системам CMDB, особенно в компаниях с развитой инфраструктурой. Мы используем ту же CMDB, что и в IT. Уровень её актуальности достаточно высок и для её поддержания в IT выделено целое подразделение. Чтобы наполнение не устаревало, необходимо соблюдать своего рода «гигиенический» IT-минимум: каждый сотрудник как владелец определенного ресурса должен следовать инструкции и поддерживать свои записи в базе в актуальном состоянии. Это должно войти в привычку: внёс изменения — сделал запись. Иначе никакой отдел не поможет.

Для служб кибербезопасности характерна проблема приоритетности задач по доработке Service Desk для IT над задачами кибербезопасности. Вы используете общий с IT Service Desk или отдельный?

- Для работы с инцидентами кибербезопасности мы используем свою тикетинг- систему, о которой я уже говорил. Почему свою? В рамках проекта модернизации SOC в условиях сжатых сроков и необходимости автоматизации многих процессов было необходимо динамично её дорабатывать. Это очень сложно, когда вы не являетесь владельцем системы. Кроме того, в силу специфики, доступ к нашей информации должен быть ограничен для остальных сотрудников. В одном решении сложно соблюсти все условия, поэтому пока используем своё. Возможно, в будущем, если мы найдем продукт, который удовлетворит требованиям обоих подразделений, ИБ и IT, в том числе по разграничению прав доступа, мы сможем использовать общее решение.

Ведёте ли вы разработку ПО для потребностей SOC?

- Да. Как я уже говорил, Сбербанк — высокотехнологичная компания, и это касается и кибербезопасности. У нас есть команды разработчиков, которые занимаются только нашим специализированным ПО.

Используются ли решения на базе Open Source?

- Да, как основу для ряда решений мы используем компоненты открытого программного обеспечения. В дальнейшем мы конечно их кастомизируем, но как база они активно используются.

Как вы решаете проблему контроля регионов, учитывая слабые каналы связи там?

- Все подразделения банка работают онлайн с централизованными IT-системами, поэтому проблемы каналов связи у нас нет.

ПРОЦЕССЫ РАБОТЫ SOC

Как распределяются полномочия в SOC в рамках мониторинга угроз?

- Основная нагрузка выпадает на дежурную смену, которая состоит из трёх линий. На первой линии проводится, собственно, мониторинг угроз. Анализируется подозрение на инцидент на предмет ложного срабатывания и, в случае реальной угрозы, заводится инцидент и передается на вторую линию. Вторая линия занимается категоризацией и маршрутизацией инцидентов. Нужно правильно определить приоритет и направить его в соответствующую группу реагирования. Зачастую инцидент происходит на стыке групп реагирования, и важно понять, какая из групп должна взять инцидент в работу. Третья линия непосредственно реагирует на инцидент.

Какой ролевой модели работы вы придерживаетесь? Изменится ли она с появлением SOC 2.0?

- Помимо этих трёх линий есть определенная модель эскалации инцидента, когда подключаются более квалифицированные специалисты, руководство. Есть дополнительные роли, связанные с Threat Intelligence и Use Case Management, работающие с проактивной компонентой реагирования. Именно последнее, на мой взгляд, и является признаком SOC 2.0 с точки зрения ролей.

Какие основные критерии влияют на решение о критичности инцидента?

- У нас разработана политика реагирования на инциденты. Есть матрицы принятия решений как по приоритетам, так и по эскалациям. Критериев много. Основные из них связаны с ущербом — потенциальным или реальным. Пока влияние потенциальное, мы работаем в нижнем диапазоне приоритетов (низкий, средний, высокий). При реальном влиянии на сервис банка приоритет синхронизируется с приоритетом соответствующего ИТ-инцидента. В случае реального влияния возможен переход в верхний диапазон приоритетов (очень важно, критический, широкомасштабный).

Насколько у вас высок уровень формализации процессов?

- Все процессы в SOC подробно расписаны и формализованы. Все действия сотрудников тоже стандартизованы: заводится инцидент, фиксируется время и действия. Это важно, в том числе для оценки операционных показателей работы SOC и сбора статистики для принятия управленческих решений, корректировки деятельности, повышения эффективности.

Сейчас очень популярна тема обмена информацией (Data Sharing). Происходит ли у вас такой обмен?

- Обязательно. После прошлогодних мощных атак все поняли: только объединив усилия, можно эффективно противостоять угрозам, и информационный голод — самое страшное в таких обстоятельствах. Реагируя на тот или иной инцидент, в отчёте по угрозе мы формируем открытую и закрытую части. Открытая часть может использоваться для распространения. Мы подписали соглашения по взаимодействию со многими организациями, чтобы обмениваться информацией.

О КАДРАХ И НОУ-ХАУ

Как в SOC решается кадровый вопрос? Чем мотивируете, удерживаете людей, как развиваете потенциал сотрудников?

- Проблема дефицита технических специалистов стоит довольно остро, особенно для крупных подразделений кибербезопасности. Но если человек к нам попадает,  Сбербанку есть чем его удержать — интересные проекты и задачи сами по себе неплохо мотивируют. Кроме того, у нас предусмотрена программа обучения и сертификации специалистов, причём обязательная. Сбербанк заключил соглашения с несколькими крупными вузами — это один из источников поиска сотрудников среди молодых специалистов.

Как происходит набор людей для SOC 2.0?

- В SOC 2.0 используются уникальные технологии, пока не очень распространенные в России, поэтому в основном мы используем собственные кадровые ресурсы. Кроме того, мы сотрудничаем с крупными производителями решений, в том числе в части обучения сотрудников.

Какие ноу-хау, присущие только Сбербанку, используются в работе SOC и SOC 2.0?

- У нас есть ряд уникальных проектов, в том числе в области искусственного интеллекта и обработки больших данных, но на сегодняшний день основное ноу-хау — это люди. В прошлом году команда кибербезопасности создала очень серьезную, проработанную до мелочей процессную модель. В ходе работы над ней изменилась профессиональная культура команды. Мы считаем это важным достижением, которое повлияет на наше развитие в будущем.

Смотрите также

15.08.2022
Agile-подход: «культура семьи» VS «культура армии»
15.08.2022
«Банки надо обязать предоставить клиенту возможности настройки профиля безопасности»
15.08.2022
Первая массовая волна кибератак немного стихает
15.08.2022
«Новый институт должен способствовать доверительной атмосфере на рынке»
15.08.2022
Китайский бигтех показал, что у него в карманах
12.08.2022
Dragos: Число кибератак на промсектор снизилось
12.08.2022
Корпоративные данные Lockheed Martin были опубликованы хакерами из Killnet
12.08.2022
VK Видео или Rutube — кто придёт на место YouTube?
12.08.2022
«Расширение возможностей телемедицинских технологий». «Сколково» и «Ростех» держат руку на пульсе
11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»