Как трансформируется SOC в текущих условиях
Введение
С начала 2022 года мир информационной безопасности (ИБ) сильно изменился. Новых типов атак скорее не появилось, но их количество выросло в разы. Так, во втором квартале мы наблюдали почти трехкратное увеличение количества подтвержденных инцидентов высокой степени критичности. Хакеры стали атаковать даже те компании, на которые раньше не обращали внимания.
Весной российские компании захлестнула лавина несложных массовых атак на веб-ресурсы и каналы связи. Но к середине года их потеснили более точечные и сложные удары по конкретным отраслям. Почти треть всех атак в первом полугодии была связана с применением хакерами вредоносного программного обеспечения (ПО). Причем его стали распространять не только с помощью фишинга, но и в составе легитимного софта через файлообменники, а также размещать на взломанных сайтах для дальнейшего заражения устройств пользователей. Растет доля инцидентов, связанных с эксплуатацией уязвимостей. Этот тренд сохранится и в будущем, так как многие компании не могут установить обновления на уязвимое программное обеспечение из-за ухода зарубежных компаний с российского рынка, а злоумышленники наращивают темпы использования новых уязвимостей.
Что в итоге? Если раньше только часть компаний, которые мы подключали к мониторингу Solar JSOC, находились в этот момент под атакой, то сейчас – практически все. Раньше у нас было время локализовать инцидент, сейчас же приходится реагировать «на горячую», времени разбираться почти нет, и ключевым фактором становится оперативность – при колоссальных нагрузках на операторов мониторинга, аналитиков, форензеров и прочих специалистов. И все это «приправлено» уходом зарубежных вендоров и оправданной паникой со стороны заказчиков.
В таких условиях для любого SOC еще более болезненным становится столкновение с привычной триадой проблем: кадры, технологии и процессы.
Кадры
Нехватка специалистов по информационной безопасности всегда была одной из основных проблем отрасли. По различным оценкам, дефицит кадров в сфере ИБ в России составляет десятки тысяч человек ежегодно. Даже имеющееся количество выпускников профильных вузов не закрывает потребность рынка, а ведь часть из них выбирает работу не по специальности. Те же, кто остаются в ИБ, сталкиваются с проблемой несоответствия полученных знаний реальным вызовам отрасли.
Практиковаться студентам помогают стажировки, но их проводят далеко не все компании. В Solar JSOC, например, стажировки для студентов старших курсов проходят дважды в год. Мы активно сотрудничаем с техническими вузами и готовим по давно сформированной трехмесячной программе специалистов L1-L3. В рамках курса студенты разбирают боевые инциденты и погружаются в особенности работы SOC. Раннее знакомство с будущей профессией способствует конверсии выпускающихся молодых специалистов и стимулирует их оставаться в отрасли.
Также отработать практические навыки как студенты, так и молодые специалисты могут в рамках так называемых киберполигонов. Такая практическая работа с регулярной фильтрацией ложноположительных срабатываний и расследованием реальных кейсов может подготовить к работе в «боевых» системах. Очевидно, что подобных программ будет становиться все больше, а специалисты SOC должны принимать в них непосредственное участие.
Технологии
Еще одна тема, которая коснулась практически всех, – это импортозамещение в SOC. То, что надо двигаться в сторону отечественного ПО, было очевидно давно, но не все верили в реальность угрозы или же медлили до последнего, поскольку не представляли себе, как менять уже сложившуюся на иностранных решениях инфраструктуру. Да и заказчики SOC достаточно комфортно чувствовали себя на привычных зарубежных системах и не хотели ничего менять.
Конечно, не все было иностранным. Solar JSOC начал внедрять отечественные ИБ-решения с 2017 года. Сначала мы выделили группу разработчиков контента, которые совместно с вендором трансформировали контент зарубежной системы управления событиями информационной безопасности (Security Information and Event Management, SIEM) для отечественного решения, а вендор внес необходимые доработки в продукт для комфортного выполнения нами соглашения об уровне обслуживания (Service Level Agreement, SLA) на новой системе.
В то же время была выделена отдельная группа из опытных сотрудников первой и второй линий мониторинга, которые уверенно обрабатывали инциденты уже на новой SIEM-системе. Постепенно этим навыкам, по мере выравнивания возможностей двух систем, обучили всех сотрудников. К слову, от зарубежной SIEM-системы мы тоже не отказались – на ней оставалась часть заказчиков. Но сейчас нашим инженерам мониторинга не важно, на какой системе расследовать инциденты.
Для всех стало очевидно, что нельзя строить SOC только на иностранных технологиях – всегда должна быть отечественная замена. Причем российское решение на должно лежать в коробке и «ждать своего часа». Начинать его интеграцию в SOC надо сразу же, иначе процесс «переезда» на новую систему займет слишком много времени, которого в текущих условиях просто нет.
Процессы
После выхода в мае этого года Указа Президента Российской Федерации № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» на стыке технологий, процессов и нормативного регулирования оказалась и тематика недопустимых событий. Последние несколько лет ИБ-сообщество много говорит о том, что фокусироваться на периметре, выстраивать крепости и верить при этом в их неприступность – это, все равно что требовать от пограничной службы выявления всех шпионов непосредственно на границе путем зоркого взгляда прямо в душу.
Надо принять как данность, что злоумышленник уже внутри – «крепость» взломана. Еще в прошлом году мы отмечали, что каждая десятая компания-субъект критической информационной инфраструктуры заражена каким-то видом ВПО. Очевидно, что сейчас злоумышленники стремятся проникнуть практически во все критические инфраструктуры. И вопрос не в том, как в полной темноте с завязанными глазами на кончиках пальцев ощутить ветер от бокового перемещения хакеров или как оперативно и эффективно выстроить EDR, NTA, DLP, SOAR, XDR и прочий deep machine learning. На это уже не хватит ни времени, ни возможностей. Ключевая задача – выявить такие риски, при реализации которых (если говорить по-простому) ваш бизнес перестанет существовать, или будет нанесен существенный урон стране. То есть определить недопустимые события.
Определение таких рисков – задача нескольких месяцев. Но угрозы становятся все сложнее, а времени на их анализ – все меньше. Поэтому в настоящий момент компаниям лучше пригласить сторонних экспертов по консалтингу, объединить их со штатными специалистами, которые занимаются бизнес-рисками, и совместно выявить пять-семь недопустимых событий.
Например, для производственной компании сайт-визитка не столь важен, а вот атака на АСУ ТП может привести к экологической катастрофе или даже человеческим жертвам. Наоборот, для крупного интернет-магазина атака на веб может обернуться миллионными убытками. В период распродаж представители крупного ритейла оценивают минуту простоя в среднем в 3 млн рублей.
После определения недопустимых событий можно уже «углублять» и «расширять» мониторинг на особо критичных участках зоны ответственности SOC, внедрения EDR, NTA и т. д.
Еще один тренд рынка ИБ – это объединение усилий. Все эти годы разные SOC берегли свой процесс отслеживания угроз (Threat Intelligence) как зеницу ока, но стоит признаться, что обмен опытом и «переопыление» специалистов из разных центров мониторинга необходимо. Нужно делиться данными о произошедших инцидентах и компьютерных атаках, и неважно, на каком этапе они были выявлены и какой ущерб успели нанести. Любые данные могут быть полезны при выявлении или расследовании.
Компаниям же стоит побороть страх перед ГосСОПКА и наладить обмен данными с системой (для этого также можно привлечь сторонний SOC). Когда горит здание, это сразу видно и жители соседних домов начинают принимать меры, чтобы огонь не перекинулся к ним, а если перекинулся, то огнетушители уже наготове. Но в кибербезопасности не всякая организация вообще в курсе, что ее взломали и надо как-то реагировать. Если компанию пока не атакуют, значит, у кого-то до нее просто не дошли руки. А когда дойдут, то злоумышленники, скорее всего, будут использовать уже применявшийся ими ранее набор техник, тактик и процедур. Поэтому атака пойдет по стандартному сценарию, только жертва этот сценарий не узнает: ведь те, кого атаковали ранее, доблестно молчат и никому о своих проблемах не рассказывают.
Заключение
Определенно, работа SOC стала более напряженной. Больше инцидентов, больше нагрузки, больше паники со стороны заказчиков и технологические сложности, которые иногда приходится исправлять быстро «на коленке». Ключевым для центров мониторинга становится команда, способная справиться с лавиной атак с одной стороны и паникой заказчиков – с другой. А объединение усилий всего рынка поможет каждому отдельному SOC более качественно реагировать на инциденты и выявлять атаки еще на подлете.
Автор:
Павел Гончаров, заместитель директора по развитию бизнеса Solar JSOC.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
