Расширенный

Расширенный поиск

Автор

Статьи

Интервью с экспертом: «От "бумажной" безопасности к реальной защищенности - через SOC»

11.04.2018 08:50:00
Теги: интервью
Игорь Ляпунов, генеральный директор компании Solar Security, в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о преимуществах и ограничениях модели аутсорсинга информационной безопасности для объектов критической информационной инфраструктуры (КИИ), об эволюции центров по мониторингу и реагированию на инциденты информационной безопасности и их значении для реализации концепции Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

И. Ляпунов.jpg

Игорь Ляпунов: «Вся ИТ-индустрия движется к сервисной модели, и сегмент информационной безопасности движется в том же направлении».

В теории полный спектр средств защиты и обязательной документации, регулирующей использование этих средств, - это все, что необходимо организациям для защиты от киберугроз. На практике закупленные системы безопасности часто не настроены должным образом, а регламенты и инструкции соблюдаются лишь на бумаге. Помочь организациям выявить скрытые проблемы и уязвимости, «оживить» системы безопасности и стать катализатором их развития могут специализированные аутсорсинговые организации – коммерческие центры по мониторингу и реагированию на инциденты информационной безопасности (Security Operation Center, SOC), считает Игорь Ляпунов.

Какую роль в реализации требований ГосСОПКА должны и могут сыграть коммерческие SOC?

Появление законодательных актов по ГосСОПКА – один из наиболее эффективных шагов по развитию российского правового поля в сфере информационной безопасности примерно за 25 лет.

Новые нормативные документы предъявляют требования не к набору обязательных инфраструктурных элементов защиты информации или инструментарию, как было прежде, а к реализации функций и к процессам. Иными словами, в фокусе внимания регуляторов находятся результаты, а не средства их достижения. Это вынуждает организации перейти от формального выполнения законодательных требований, от «бумажной» безопасности, к практическому воплощению защитных мер.

Теперь недостаточно просто приобрести какую-то сертифицированную систему защиты и написать регламент ее обслуживания ради соответствия принятым нормам регулирования. ГосСОПКА требует организовать и запустить процессы: мониторинг, реагирование на инциденты, контроль защищенности – все то, что действительно позволяет обеспечить высокий уровень безопасности.

Однако процессы не существуют сами по себе – в них вовлечены люди, которые должны выполнять определенные функции. Контроль защищенности, мониторинг и реагирование на инциденты – все это очень нетривиальная деятельность, она требует большого количества квалифицированных специалистов, которые должны обеспечивать режим постоянной готовности к обнаружению и реагированию на кибератаки. По оценкам экспертов, минимальная численность команды SOC – десять специалистов, а для нормальной деятельности центра мониторинга необходимо 13-14 человек. Не все организации могут позволить себе содержать в штате такое количество специалистов по информационной безопасности.

Качественная реализация процессов мониторинга и реагирования на инциденты – это очень сложная и ресурсоемкая задача, а привлечение внешнего SOC позволяет субъектам КИИ переложить большой пласт непрофильных для них функций на специализированную компанию-подрядчика. Для многих владельцев КИИ услуги коммерческих SOC – это единственная возможность качественно реализовать процессы, связанные с обеспечением безопасности. Поэтому коммерческие SOC могут сыграть значимую роль в реализации концепции ГосСОПКА.

Методические рекомендации по созданию центров ГосСОПКА предусматривают возможность аутсорсинга отдельных функций ведомственных и корпоративных центров. Какие из функций целесообразно передавать на аутсорсинг коммерческим SOC?

На аутсорсинг стоит отдавать задачи, для выполнения которых требуется большое количество человеческих ресурсов или редкие компетенции в области информационной безопасности. Главное условие – чтобы результаты этой работы можно было формализовать, измерить и проконтролировать. Почти все, что соответствует этим критериям и не требует глубокого знания специфики бизнеса, можно передать специализированной организации.

В первую очередь, это контроль защищенности, мониторинг и реагирование на инциденты, а также проведение расследований. Скорее всего, сервис-провайдер решит эти задачи быстрее и эффективнее, чем собственные сотрудники организации, ведь он располагает опытом, наработками и большим штатом специалистов, у которых есть необходимая экспертиза.

Например, расследование инцидентов требует совокупности знаний в таких областях, как анализ кода вредоносных программ, восстановление технической цепочки событий, приведших к атаке, и многого другого. Поэтому специалистов-форензеров, способных провести расследование на высоком уровне, достаточно мало.

Какие функции передавать нецелесообразно или затруднительно, и почему?

Есть неотторжимые вещи, которые нельзя отдать на аутсорсинг. Это функции принятия решений и управления рисками, ответственность организации за безопасность своих данных. Как бы ни хотел заказчик поделить с поставщиком услуг информационной безопасности ответственность за защищенность компании, она остается только на нем самом.

Аутсорсинг – это лишь один из инструментов обеспечения безопасности, и конкретными рисками заказчик всегда управляет самостоятельно. Он может принять их, хеджировать, компенсировать их техническими средствами самостоятельно или же привлечь для этого внешнего исполнителя. И как поступить в отношении каждого конкретного риска, решает только сам заказчик.

Кроме того, как я уже говорил, нельзя передать на аутсорсинг процессы, которые не формализованы и не имеют явных целевых показателей. Следует добавить, что задачи, требующие глубоких коммуникаций внутри самой организации или владения специфичной информацией о ней, на аутсорсинг отдавать нежелательно. В частности, если ставится задача обеспечить безопасность разработанных самостоятельно бизнес-приложений, то, как правило, их защиту организация оставляет за собой.

Но прежде чем принять решение по какой-то конкретной функции или процессу, ситуацию нужно детально проанализировать. Например, сейчас принято считать, что борьба с утечками – это внутренняя задача, которую нельзя отдавать вовне. На самом же деле ее можно передать на аутсорсинг, потому что DLP-система, как бы хорошо она ни была настроена, генерирует огромное количество уведомлений о различных событиях. При этом служба информационной безопасности в большинстве организаций может уделить работе с DLP-системой час-два в день. И подобная ситуация де-факто является нормой. Сколько указаний на инциденты служба успела разобрать за пару часов, столько и успела. Все остальные сигналы DLP остаются без должного внимания.

Но ведь качественный мониторинг предполагает комплексный и полный охват объекта наблюдения. Это можно сделать, передав функцию борьбы с утечками на аутсорсинг. Тогда множество ложных срабатываний будет отсеиваться силами поставщика услуг мониторинга, и останется небольшой список инцидентов (примерно 10% от общего количества), с которым заказчику действительно можно и нужно разбираться самостоятельно.

Как при передаче эксплуатации DLP-системы на аутсорсинг решить проблему недоверия заказчика поставщику услуг?

Аутсорсинговой компании необходимо четко ограничивать круг задач. DLP-систему можно настроить таким образом, чтобы поставщик услуг мониторинга не видел содержания писем, а делал только верхний срез по некоторым метаданным писем и чуть-чуть погружался в «окрестности» инцидента. В этом случае, если анализ показывает, что в переписке присутствует явная опасность утечки конфиденциальных данных, письмо передается в службу информационной безопасности заказчика.

На каком этапе жизненного цикла должен находиться коммерческий SOC, чтобы качественно выполнять свои обязательства перед клиентом (владельцем КИИ) в рамках концепции ГосСОПКА?

Заказчики ожидают от коммерческого SOC результата – защищенности. А для этого в самом SOC должно быть реализовано очень много функций и процессов, причем зрелых.

Достаточно высокий уровень мониторинга требует от SOC не менее 2000 корреляционных правил и сотен сценариев выявления атак, а также полноценной работы с данными системы обнаружения угроз (Threat Intelligence), запуск которой сопряжен с серьезными финансовыми затратами и организационными усилиями.

Кроме того, как уже говорилось, SOC не может обеспечить защищенность компании, если он не работает в режиме 24х7. А запустить SOC в непрерывном режиме, не имея достаточного числа квалифицированных специалистов, невозможно.

Таким образом, порог вхождения на рынок коммерческих SOC остается достаточно высоким. Если же говорить о развитии, то на него во многом влияет число клиентов сервиса. Для вызревания коммерческого SOC необходимы требовательные заказчики, которые установят адекватную рыночную планку уровня обслуживания. Три-пять таких требовательных и «занудных» заказчиков помогут команде центра мониторинга за пару лет поднять уровень зрелости процессов, которые затем можно развивать.

По каким критериям клиенту (владельцу КИИ) следует оценивать успешность перехода к модели аутсорсинга при передаче функций безопасности коммерческому SOC?

Все просто: если передача задач информационной безопасности на аутсорсинг экономически выгоднее при том же или более высоком качестве их выполнения, то она оправдана.

При оценке качества можно ориентироваться на соглашение об уровне предоставления услуги (Service Level Agreement, SLA), существовавшее в организации до передачи процессов на аутсорсинг. Успешность перехода к сервисной модели можно оценивать по количественным параметрам, определяющим скорость реагирования, объем отфильтрованных ложных срабатываний, число отработанных инцидентов. Если же у заказчика ранее не был организован внутренний процесс реагирования и мониторинга с утвержденными параметрами SLA, то он может ориентироваться хотя бы на качественное ощущение защищенности.

Изменилось ли в целом в лучшую сторону отношение клиентов к данной модели?

Вся ИТ-индустрия движется к сервисной модели, и сегмент информационной безопасности не исключение. Обычно компании достаточно прочувствовать на себе один масштабный инцидент, чтобы осознать, что ей необходим мониторинг, осуществляемый круглосуточно и на системной основе. Поэтому сейчас аутсорсинг информационной безопасности уже не воспринимается как диковинка.

Для большинства специалистов по информационной безопасности это один из возможных вариантов решения проблем. У них больше не возникает сомнений, надо или не надо, опасно или не опасно передать часть функций и процессов на аутсорсинг. Вместо этого офицеры информационной безопасности задают практические вопросы: как правильно применить эту модель, как на нее перейти.

Кроме того, руководители служб информационной безопасности «устали» от классических интеграционных проектов, которые традиционно включают в себя несколько этапов – обследование инфраструктуры заказчика, закупку оборудования, обучение персонала, запуск в эксплуатацию и др. Такие проекты длятся год или больше. За это время ИТ-инфраструктура и бизнес-процессы, ради защиты которых и приобреталось ИБ-решение, меняются. В результате все усилия оказываются напрасными – система информационной безопасности оказывается не соответствующей текущим потребностям организации. Аутсорсинг же, напротив, позволяет получить готовую бизнес-функцию уже через месяц, а затем в случае необходимости быстро изменить ее параметры без капитальных вложений. А если окажется, что данное решение больше не нужно, от него будет легко отказаться.

Какие риски для организации сопряжены с передачей функций безопасности коммерческому SOC, и как эти риски учитываются в соглашениях об уровне обслуживания (SLA)?

Главный риск обусловлен неверным представлением, что передача на аутсорсинг какого-то процесса информационной безопасности эквивалентна разделению ответственности организации с поставщиком услуг за возможные инциденты. Очень часто у руководителей служб информационной безопасности возникает ложное ощущение безопасности при подключении к какому-то коммерческому SOC. Как мы уже говорили выше, нужно отдавать себе отчет в том, что аутсорсинг – лишь инструмент для повышения уровня защищенности организации, и полагаться только на него ни в коем случае нельзя.

Зачастую организации опасаются возможных утечек конфиденциальной информации через аутсорсинговые компании или боятся снижения уровня обслуживания. Между тем, защищенность аутсорсинговой компании, в которой хорошо отстроены бизнес-процессы, многократно выше, чем у самого заказчика, и система собственной безопасности в коммерческом SOC организована профессиональнее. Ведь репутация – один из ключевых активов поставщика услуг, и соглашения, регулирующие уровень сервиса (SLA), предусматривают материальную ответственность за несоблюдение установленного уровня.

Как распределяется ответственность между заказчиком услуг коммерческого SOC и самим SOC? Готовы ли, например, аутсорсинговые SOC компенсировать ущерб своим клиентам в случае нарушения SLA?

Аутсорсинговая компания, безусловно, отвечает деньгами за исполнение своих обязательств. Компенсация рассчитывается не из суммы ущерба, а в соответствии с условиями, прописанными в SLA.

Однако повторюсь, аутсорсинг функций информационной безопасности – инструмент, а не панацея или страховка от инцидентов, особенно если это касается объектов КИИ. Здесь, как бы заказчик ни хотел психологической разгрузки, де-юре ответственность за последствия инцидента несет именно он, а не коммерческий SOC.

В перспективной архитектуре SOC важное место занимают технологии искусственного интеллекта, машинного обучения и анализа Больших Данных. Что все-таки важнее для SOC – интеллектуальные технологии или живые люди и процессы, в которых они участвуют?

Не верю, что машины скоро полностью заменят людей в SOC. Но три «умные» технологии в ближайшие годы кардинально изменят центры мониторинга и реагирования: это Большие Данные, искусственный интеллект и визуальная аналитика. Чтобы обеспечить информационную безопасность на должном уровне, сейчас приходится собирать и анализировать колоссальный объем информации - миллионы разнородных событий в секунду. Это связано с тем, что внутри организаций обращаются огромные потоки данных, а снаружи постоянно меняются способы атак, их источники и технологии взлома. Это очень живая и непредсказуемая материя. Поэтому необходимо научиться хранить неструктурированные данные, так или иначе связанные с безопасностью, то есть освоить работу с Большими Данными.

Кроме того, эти данные нужно научиться обрабатывать – не просто уметь сравнить один столбец с другим, а, даже не предполагая тип результата обработки, суметь получить этот результат и потом интерпретировать. Этот класс задач связан с применением технологий нейронных сетей и машинного обучения.

Сейчас еще допустимо занимать условно «реактивную» позицию – ты узнал о типе атаки и запрограммировал ее обнаружение средствами мониторинга. Но совсем скоро этого будет недостаточно. Две трети инцидентов теперь выявляются вовсе не потому что системе информационной безопасности заранее известен характер атаки, используемый злоумышленником, а потому, что мы научились выявлять аномалии. Инцидентом сегодня является не только проникновение в сеть, но и факт нестандартного поведения какой-нибудь системы, это повод начать анализировать ситуацию и сделать выводы.

Вскоре такой анализ и выводы будет делать сама машина, а человек будет работать с уже агрегированной информацией о высокоуровневых инцидентах.

Можно ли говорить о специфике российских коммерческих SOC? Отличаются ли они от зарубежных, например, по зрелости выстроенных процессов, набору технологий, организационной структуре?

В технологическом плане наши SOC не уступают заграничным. На международных конференциях наши возможности по выявлению и предупреждению кибератак производят очень сильное впечатление.

Но при этом зарубежные центры мониторинга отличает очень высокий уровень организации и стандартизации процессов. Это естественно, ведь крупный иностранный SOC обслуживает десятки тысяч клиентов, а у нашего самого продвинутого центра их не больше ста.