• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Статьи по теме: «Информационная безопасность»

Главная Специалистам Статьи Практический опыт построения корпоративного SOC

Практический опыт построения корпоративного SOC

Информационные технологии стали неотъемлемой частью жизни любой компании. Но с огромными преимуществами, которые дает бизнесу информатизация, связаны новые риски и угрозы. Ландшафт кибератак становится все более разнообразным. И если цели злоумышленников в общем остаются одними и теми же, то этого нельзя сказать о методах взлома.

Практический опыт построения корпоративного SOC

Место SOC в стратегии ИБ организации

Эксперты по всему миру отмечают, что только постоянное и тщательное наблюдение за ИТ-активами позволяет значительно снизить вероятность реализации киберугроз, вовремя заметить факт взлома и принять соответствующие меры по минимизации ущерба. Наиболее эффективным образом этого можно добиться, внедрив практики и процедуры Security Operation Center (SOC).

Разрабатывая план развития системы информационной безопасности (ИБ), организациям необходимо учесть множество факторов, которые будут оказывать существенное влияние на эффективность будущего SOC. К таким факторам относятся:

  • экспертиза и квалификация группы реагирования;
  • технологии обнаружения компьютерных атак и методы обработки больших потоков информации;
  • практики и процессы реагирования.

Выбор технологий для строящегося SOC и типичные ошибки

Для эффективной работы SOC выбор технологий играет немаловажную роль. При планировании необходимо спрогнозировать результаты создания SOC на несколько лет вперед и определить цели, которые будут достигнуты после этого. Начинать следует с разработки концепции создания SOC, в которой будут отражены цели и задачи будущего центра реагирования, а также этапы развития и достижения необходимого уровня. Также необходимо включить в концепцию функции, которые будут реализовываться на технологическом уровне:

  1. Инвентаризация ИТ-активов и поддержание информации в актуальном состоянии.
  2. Анализ уязвимостей и контроль их устранения.
  3. Обработка событий безопасности и их корреляция.
  4. Анализ сетевого трафика и файлов на вредоносную активность.
  5. Поведенческий анализ файлов.
  6. Анализ действий пользователей.
  7. Резервирование данных для их восстановления в случае повреждения или шифрования.
  8. Обработка информации об инцидентах, в том числе обогащение их сведениями об актуальных угрозах.
  9. Проверка устойчивости ресурсов информационных систем к внешним воздействиям (тесты на проникновение).
  10. Проведение тренировок по реагированию на инциденты (киберполигоны).
  11. Обеспечение бесперебойной работы ИТ-инфраструктуры.

При этом очень важно предусмотреть масштабирование ИТ-инфраструктуры SOC, так как при развитии технологического ядра потребуется наращивать объемы хранения информации, усиливать отказоустойчивость и увеличивать скорость обработки данных. В случае, если предполагается создавать распределенную систему SOC, необходимо также оценить пропускную способность каналов связи до удаленных площадок и предусмотреть возможные варианты их расширения.

Подготовить инфраструктуру к хранению больших объемов данных нужно обязательно. Например, события ИБ и сетевой трафик за сутки с инфраструктуры в 1000 узлов, в которую входят серверы, рабочие станции, сетевое оборудование и другие компоненты, могут занимать около 2 Тбайт дискового пространства и более. Эти данные потребуются для ретроспективного анализа при расследовании инцидентов и хранения артефактов (файлы, индексы и дампы трафика, запросы с DNS-серверов и т. п.).

Для эффективного мониторинга необходимо правильным образом настроить сбор событий безопасности с компонентов инфраструктуры, а именно – включить расширенный аудит источников событий безопасности для формирования более полной информации для корреляций и минимизации ложных срабатываний системы SIEM (Security information and event management). К параметрам политики расширенного аудита относятся вход и выход в учетную запись, подробное отслеживание приложений, доступ к объектам, использование привилегий и изменение политик и т. п.

На настоящее время все типовые SOC фокусируются на обнаружении атак в режиме реального времени, не принимая во внимание новые методы и тактики атакующих, которые выявить непосредственно в момент нападения очень сложно. Поэтому важно научиться работать с индикаторами компрометации и другими признаками угроз, которые необходимо включать в ретроспективный анализ для выявления проникновения и закрепления в ИТ-инфраструктуре, произошедших в прошлом.

Кроме того, для эффективной работы будущего SOC рекомендуется предварительно реализовать следующие меры:

  • настроить парольные политики;
  • включить двухфакторную аутентификацию;
  • минимизировать привилегии и доступы;
  • настроить контроль конфигураций;
  • организовать резервное копирование;
  • сегментировать сеть при помощи межсетевых экранов.

Создание SOC является сложной комплексной задачей, успешному решению которой нередко препятствуют типичные просчеты и ошибки:

  1. Недостаточный уровень зрелости системы ИБ. Любые меры защиты должны быть адекватны защищаемой информации. Одной из самых распространенных проблем является проблема зрелости системы информационной безопасности в организации. При наличии только базовых средств защиты (например, межсетевого экрана и средств антивирусной защиты) построение SOC вероятно является преждевременным этапом.
  2. Небольшая команда. SOC состоит не только из технических средств, но требует также наличия команды для выполнения аналитических функций и работы первой линии. И размер команды SOC играет в данном случае не последнюю роль.
  3. Неверное толкование SOC. Довольно часто SOC отождествляются с системами класса SIEM. Подобного рода системы позволяют лишь выявлять инциденты и предоставлять базовую информацию для их расследования. Функции SOC – шире.
  4. Неправильное планирование этапов. Создание комплексной системы предполагает поэтапный ввод средств защиты в эксплуатацию, с учетом распределенности инфраструктуры.
  5. Неправильное ресурсное планирование. При формировании команды довольно часто встречаются две ошибки – наём высокооплачиваемых специалистов до формирования экспертных задач, а также наём и взращивание с «нуля» специалистов без должной мотивационной составляющей (как следствие, они обычно переходят на повышенный оклад к другому работодателю).
  6. Бездумное применение мировых практик приводит к низкой эффективности SOC за счет отсутствия адаптивных процессов.

Подготовка персонала

Перед началом построения SOC необходимо определиться с руководителем, который возьмет на себя организацию и ответственность за процессы управления инцидентами ИБ. Организационная структура SOC, как правило, состоит из разных уровней (линий):

  • Руководитель SOC. Главное ответственное лицо за работу центра. Управляет реестром инцидентов и отчетов по ним. Контролирует написание регламентов и инструкций в рамках процесса. Распределяет нагрузку на специалистов и контролирует выполнение SLA при его наличии.
  • Первая линия. Сотрудники, непосредственно занимающиеся мониторингом, обработкой ложных срабатываний, первичным анализом в рамках типовых сценариев реагирования (playbook). Такие сценарии помогают специалистам SOC быстро принимать решения по типовым ситуациям. Сотрудники первой линии эскалируют инцидент на вторую линии при необходимости.
  • Вторая линия. Сотрудники принимают оповещения об инцидентах от первой линии и занимаеюся детальным расследованием инцидентов.
  • Третья линия. Сотрудики занимаются глубоким анализом инцидентов, разбором деталей и артефактов. Могут использовать сложную аналитику, включая reverse engineering приложений.
  • Аналитики. Занимаются корректировкой действующий правил корреляции, написанием и актуализацией сценариев реагирования.


Рисунок 1. Организационная структура SOC

Для специалистов SOC требуется разный уровень квалификации. Экспертиза для третьей линии требуется высокая, а при этом инциденты такого уровня могут происходить довольно редко. Поэтому целесообразно для расследований, требующих глубокого анализа, приглашать сторонние организации, специализирующиеся на оказании услуг в расследовании.

Для оформления результатов расследования и при необходимости подачи их в правоохранительные органы потребуется подключать специалистов с соотвествующим опытом и квалификацией (юристы).

Злоумышленники, обладающие высокой квалификацией в области хакинга, постоянно совершенствуют методы и тактики для проникновения в целевые ИТ-инфраструктуры, поэтому команда реагирования должна быть готова к новым вызовам. Для этого необходимо постоянно развивать навыки, изучать тенденции в области компьютерных атак, проходить обучение с практическим уклоном, устраивать тренировки для накопления опыта и отработки практик оперативного реагирования на разного рода воздействия извне.

Количество специалистов на первой и второй линиях реагирования зависит от объемов инфраструктуры, числа выявляемых инцидентов, задач, возлагаемых на специалистов и их квалификации. Кроме того, важно учитывать режим работы центра и применяемые средства автоматизированной обработки. Например, для мониторинга инфраструктуры 1000 узлов в режиме 24/7 потребуется сформировать три дежурные смены по два специалиста широкого профиля. В таком формате работы центра специалисты должны обладать широким набором навыков, разбираться в сетевых технологиях, уметь работать с разными классами решений и автоматизировать рутинные задачи.

Этапы создания SOC и выбор технологий

Подготовительный этап

Задачами на данном этапе являются:

  • инвентаризация внешних компонентов информационных систем;
  • анализ типовых уязвимостей внешних компонентов информационных систем.

В результате данного этапа SOC узнает о «белых пятнах» на периметре, а также о том, как выглядит ИТ-инфраструктура снаружи для внешнего нарушителя.

Для реализации этапа в основном применяются средства анализа защищенности (сканеры безопасности и средства инвентаризации с возможностью автоматического сравнительного анализа данных в разные периоды времени).

Этап 1

После инвентаризации и выявления слепых зон на периметре предлагается реализовать меры по усилению защиты периметра, а именно:

  • выявление атак на периметре;
  • выявление вредоносного ПО на периметре;
  • обнаружение атак на публичные сервисы.

Результатом этапа является защита периметра от наиболее актуальных векторов атак внешнего нарушителя — от веб-атак, атак на электронную почту и атак через пользовательский трафик.

Для реализации этапа применяются средства анализа сетевого трафика, средства защиты веб-приложений, а также средства выявление вредоносного ПО для анализа файлов, поступающих из внешних источников (почтовый и сетевой трафик).

Этап 2

После инвентаризации и усиления защиты периметра выполняют следующие задачи:

  • инвентаризация и выявление уязвимостей внутренних информационных систем;
  • выявление вредоносного ПО внутри инфраструктуры;
  • выявление следов компрометации во внутренней инфраструктуре;
  • анализ событий безопасности и выявление инцидентов.

Результатом реализации этапа является:

  • создание и автоматическое обновление полной картины ИТ-инфраструктуры и бизнес-активов организации;
  • автоматический анализ событий и выявление инцидентов в ИТ-инфраструктуре.

Для автоматизации указанных задач используются:

  1. Средства анализа сетевого трафика.
  2. Средства анализа защищенности.
  3. Средства выявления вредоносного ПО.
  4. Средства сбора событий безопасности и выявления инцидентов класса SIEM. Данное средство помогает решить следующие задачи:
    • проследить за событиями со всех возможных источников событий за счет нормализации;
    • сопоставить события безопасности в определенную последовательность (корреляция);
    • сохранить события безопасности для расследований и ретроспективного анализа.
  5. Средства поведенческого анализа пользователей (User and Entity Behavior Analytics) для анализа отклонений от среднестатистических данных полученных за долгое время.
  6. Чтобы детектировать события на конечных узлах пользователей и серверах в ИТ инфраструктуре может быть использовано средство класса EDR (Endpoint Detection and Response), которое может детальнее анализировать происходящее на уровне операционной системы. EDR может выступать источником событий для SIEM системы.

Все указанные средства выступают в качестве источников данных для SIEM. Таким образом работа группы реагирования организуется в режиме единого окна.

Этап 3

Следующим этапом решаются задачи:

  • формализация процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на контролируемые информационные ресурсы;
  • проведение мероприятий по оценке степени защищенности контролируемых информационных ресурсов;
  • проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы;
  • организация процессов реагирования, ликвидации последствий и устранения причин компьютерных инцидентов;
  • взаимодействие с вышестоящим регулятором или отраслевым CERT (Computer Emergency Response Team) при необходимости обмена информацией об атаках (с возможностью обратиться за помощью).

Результатом реализации этапа является организация взаимодействия с регуляторами и/или CERT-ами, в том числе для выполнения требований действующего законодательства.

Для автоматизации указанных задач используются решения класса IRP (Incident Response Platform) или более продвинутое решение класса SOAR (Security Orchestration, Automation and Response), а также средства взаимодействия с CERT-ами и государственными регуляторами (порталы, средства взаимодействия по API и др.).

Этап 4

В рамках данного этапа решаются следующие задачи:.

  • анализ исходного кода (при условии наличия критичных веб-приложений, как внутренних, так и внешних) для построения цикла безопасной разработки;
  • ретроспективный анализ сетевого трафика, событий, и передаваемых по сети файлов;
  • динамический анализ файлов в инфраструктуре и на периметре на наличие ВПО;
  • оценка соответствия требованиям корпоративных, отраслевых или международных стандартов;
  • расследование инцидентов;
  • создание процесса Threat hunting.

Результаты реализации Этапа 4:

  • снижены риски взлома веб-приложений и инфраструктуры в целом;
  • выстроен процессный подход к расследованию и выявлению атак;
  • инфраструктура соответствует внешним и внутренним стандартам ИБ.

Для реализации этапа, помимо средств, применяемых на предыдущих стадиях, используются:

  1. Средства поведенческого анализа файлов («Песочницы»).
  2. Средства оценки соответствия.
  3. Средства учета и обработки угроз (Threat Intelligence).
  4. Средства анализа сетевого трафика в ретроспективных режимах.
  5. Средства анализа исходного кода.
  6. Средства обработки Больших данных (big data), включая машинное обучение.

Этап 5

Следующий этап предусматривает обучение специалистов SOC с низкой квалификацией (при расширении штата часто на первую линию набирают специалистов, которые только закончили институт) по следующим направлениям:

  • обучение реагированию на инциденты;
  • обучение расследованию инцидентов.

Кроме того, на данном этапе должны проводится совместные киберучения между специалистами для повышения эффективности реагирования и выработки совместных сценариев для оперативной обработки. Процесс совершенствования навыков позволит при возникновении критических ситуаций в реальной обстановке оперативно реагировать на инциденты и атаки, блокировать распространение угроз и ликвидировать последствия.

Результатом Этапа 5 являются:

  • повышение уровня экспертизы сотрудников первой линии в выполнении задач по непрерывному мониторингу;
  • повышение уровня экспертизы сотрудников центра в расследовании и реагировании на инциденты.

Далее производится совершенствование SOC для достижения определенного уровня зрелости.

Трансформация процессов обеспечения ИБ в связи с запуском SOC

Перед запуском SOC существующие в организации процессы обеспечения ИБ необходимо адаптировать. SOC – это прежде всего автоматизация обработки большого потока информации, выявление реальных инцидентов и оперативное реагирование на них.

В классическом понимании к базовым процессам ИБ относятся:

  • управление ИТ-активами;
  • управление уязвимостями;
  • управление доступом;
  • криптографическая защита;
  • управление инцидентами;
  • защита от вредоносного ПО;
  • повышение осведомленности.

Все указанные процессы в рамках создания SOC должны быть автоматизированы для оперативной обработки большого объема информации. Кроме того, для повышения уровня зрелости SOC и повышения уровня защищенности ИТ-инфраструктуры необходимо регулярное улучшение выстроенных процессов, их детальная конкретизация и план дальнейшего развития. SOC позволяет не только автоматизировать базовые процессы ИБ, но и выстроить новые, более эффективные процедуры обеспечения ИБ.

Рекомендации по оценке эффективности будущего SOC

Для оценки эффективности работы SOC могут применяться различные метрики, например:

  • время обнаружения инцидента;
  • количество инцидентов в работе у конкретного специалиста;
  • время закрытия (локализации) инцидента;
  • отношение закрытых и открытых инцидентов.

Но прежде всего это время реакции (SLA) и оценка с финансовой точки зрения – какой ущерб мог быть нанесен организации, если бы SOC вовремя не выявил атаку и не блокировал ее.

Для оценки эффективности созданного Security Operation Center также необходимо проводить тренировки, в рамках которых можно использовать внешнее и внутреннее тестирование на проникновение, то есть этичный хакинг c практической реализацией атак. В рамках тестирования на проникновение можно оценить работу SOC, понять реально ли были закрыты те векторы атак, которые реализуют риски для организации. После чего устранить недостатки и усовершенствовать стратегию развития системы информационной безопасности.

Результатом такой тренировки является оценка состояния защищенности информационных систем как с точки зрения потенциальных векторов проникновения, так и с точки зрения используемых механизмов защиты.

Регулярная оценка эффективности SOC позволяет достичь максимальных ключевых показателей устойчивости бизнеса и обеспечить бесперебойное функционирование критичных информационных систем организации.

Автор:
Сергей Куц, руководитель направления по комплексным системам кибербезопасности Positive Technologies.
Интервью с экспертом: «Ростелеком-Солар» адаптирует сервисы ИБ для региональных госзаказчиков Обзор международных стандартов в области ИБ