Обычно SOC предлагает меню сервисов, из которого заказчику предлагается самостоятельно выбрать тот или иной комплект услуг. Это не совсем корректно, поскольку не дает возможности связать получаемые услуги с бизнес-целями самого заказчика. CyberART придерживается другого подхода: с самого начала вместе с заказчиком определяются так называемые недопустимые события, то есть действительно критичные для компании, которые могут нанести серьезный ущерб как операционной деятельности, так и стратегическим целям, а иногда даже привести к краху компании.
Автор: Владимир Дмитриев, руководитель центра предотвращения киберугроз CyberART ГК Innostage
Далее все недопустимые события рассматриваются в контексте инфраструктуры, определяя системы, на которых потенциальный злоумышленник может реализовать их. Аналитики CyberART выявляют сегменты, в которых находятся эти системы, таким образом строя потенциальные сценарии реализации недопустимых событий.
Затем в дело вступает "красная" команда CyberART, одной из основных задач которой является проверка текущего уровня защиты. Проверяется собственная инфраструктура заказчика, ее текущее состояние, устойчивость к угрозам, имеющиеся уязвимости, исследуется периметр, через который потенциальный злоумышленник может проникнуть в систему. Исходя из результатов проверки настраивается сервис мониторинга на уровне инфраструктуры, объектов, сети, бизнес-приложений и т.д.
В дальнейшем недопустимые события исключаются соответствующими технологиями, работами и экспертизой специалистов CyberART. Данный подход основан на концепции практической безопасности стратегического партнера ГК Innostage – компании Positive Technologies.
CyberART предлагает разные модели взаимодействия с SOC:
- Если у заказчика нет собственной службы ИБ, то CyberART работает как внешний SOC.
- Довольно часто встречаются модели, когда специалисты службы информационной безопасности на стороне заказчика выполняют оговоренный ряд задач. Мы стараемся развивать гибридные форматы, предоставляя при этом услуги SOC как классический сервис-провайдер.
- Самый распространенный формат – это построение центров SOC на стороне заказчика. Как правило, крупный бизнес стремится иметь такую службу в собственной структуре. В этой модели мы решаем задачи разработки архитектуры, внедрения средств защиты и последующей их эксплуатации. По мере появления у заказчика собственных специалистов мы передаем им опыт, экспертизу, знания, обучаем, поддерживаем и постепенно перемещаемся на вторую и третью линии.
SOC CyberART технологически во многом основывается на решениях своего стратегического партнера – компании Positive Technologies. Используются также и доработанные нашей командой системы на базе продуктов Open Source, включая специализированные утилиты для киберзащиты, стэк технологий больших данных и др. Для того чтобы связать все продукты и процессы в единое целое, в ядре SOC CyberART используется собственная платформа реагирования на инциденты ИБ Innostage IRP [1].
Защита технологического сегмента
Во многих отраслях недопустимые события, как правило, должны быть исключены в первую очередь на производстве. Стоит отметить, что в зарубежной практике разделены понятия ИТ-SOC и ОТ-SOC, они смотрят на корпоративный и технологический сегмент соответственно. Однако опыт показывает, что такое разделение не оптимально, поскольку технологии и там, и там используются одни и те же, тактики и техники злоумышленников во многом совпадают, разве только цели различаются. С учетом этого в CyberART есть команды аналитиков, которые специализируются на защите технологического сегмента, и есть команды, которые специализируются на корпоративных сетях. При этом они обмениваются знаниями и умением делать недопустимые события невозможными.
Ни одна атака не происходит мгновенно, она, как правило, проходит стадии разведки, закрепления, проникновения, продвижения, и только потом происходит целенаправленное воздействие. В рамках нашего подхода о недопустимости неприемлемых событий ИБ мы стремимся сократить количество точек возможного проникновения в защищаемую систему. Для этого увеличивается число шагов от периметра до целевой системы, то есть возрастает сложность возможной атаки.
Технически подключить к SOC можно любую инфраструктуру. Но в тривиальном случае это ничего не даст, кроме потока событий и уведомлений, не приводящего к какому-либо полезному результату. Поэтому не любую инфраструктуру можно подключить к SOC эффективно, и могут потребоваться определенные работы по ее трансформации.
Как правило, у заказчика не бывает много недопустимых событий и все они локализуются на известных целевых системах. В этом случае SOC может сконцентрироваться на контроле и защите именно этих целевых систем. Иными словами, если у заказчика есть филиальные сети от Кореи до Карелии, но при этом руководство определяет первоочередной задачей защиту от определенных событий только в значимых системах, то можно сконцентрироваться на защите именно данных систем, не "размазывая" функциональность SOC на всю инфраструктуру. В противном случае может получиться долго, дорого и без должного уровня качества. Если заказчик знает, что конкретно он хочет защитить, то получает возможность выделить бюджет именно на защиту необходимых систем, не ввязываясь в подключение тысяч источников во внутреннюю или внешнюю SIEM.
Для совершенствования внутренних процессов SOC CyberART использует три инструмента:
- Threat Hunting – выявление новых угроз у заказчиков.
- Полевые киберучения, в том числе на киберполигонах, например на таких, как The Standoff, в результате которых появляется новая информация о подходах атакующих, выявленных уязвимостях и используемых инструментах. Аналитики CyberART разбирают полученную информацию и затем используют ее на реальных объектах.
- Threat Intelligence – сбор данных о киберугрозах из закрытых и открытых источников. Аналитики собирают новую информацию о тактике атак, известных брешах и уязвимостях, инструментарии и применяют эти знания в рамках нашей работы.
Три типовые ошибки при взаимодействии с SOC
Опыт CyberART подсказывает, что существуют три распространенные проблемы при взаимодействии заказчика с внешними SOC.
- Заказчик должен изначально быть готовым, что использование внешнего SOC обязательно потребует значительных усилий с его, заказчика, стороны. Чтобы SOC был эффективным, требуется выстраивание хорошего взаимодействия и с бизнес-пользователями, и с функциональными, и с ИТ, и со службами безопасности. Единого простого рецепта для повышения эффективности этих коммуникаций нет, и важно не забывать, что даже в случае использования таких высокотехнологичных услуг в итоге всегда люди работают с людьми.
- SOC не должен восприниматься как просто служба оповещения о нештатных ситуациях. Если SOC начинает считать, что его работа ограничивается только отправкой тревожного сообщения заказчику, его деятельность неэффективна. Цель SOC заключается в том, чтобы вместе с заказчиком дойти до корня возникающих проблем и помочь ему и в аспекте реагирования. Это кропотливая работа с обеих сторон, включающая в том числе тренировки службы заказчиков для повышения готовности к поступающей информации и запросам от SOC. SOC должен стать ресурсом, экспертизой и помощью заказчику в деле защиты от киберугроз.
- SOC – не волшебная пилюля, которая защитит всегда и от всего. Неправильное целеполагание со стороны заказчика может не позволить SOC сконцентрироваться на действительно важных для него задачах. Заказчик должен четко определить те самые недопустимые события, которые SOC должен предотвращать.
Вовлечение топ-менеджмента
Как объяснить топ-менеджменту, зачем организации нужен SOC и почему за это нужно платить? Разумеется, отчеты с техническими метриками о количестве поступивших в систему событий, отработанных правилах, временных характеристиках – все это бизнесу неинтересно ни в режиме реального времени, ни постфактум. Для коммуникации с топ-менеджментом как раз прекрасно подходит практическая концепция недопустимых событий. Она позволяет SOC говорить на языке бизнеса: для вас выделены конкретные недопустимые события, наступление которых чревато финансовыми потерями, остановкой производства, репутационными издержками. И SOC в этой концепции занимается не просто мониторингом, а именно предотвращением киберугроз.
Формы представления информации для руководства заказчика могут быть различными, они меняются от компании к компании, от отрасли к отрасли и совсем не обязательно должны быть эстетически приятными. Достаточно доступно рассказать бизнесу про риски и реализацию функции предотвращения того, что действительно для него недопустимо.
Что ж, рассмотрим более конкретную ситуацию: прошел очередной год использования SOC, за который не произошло ни одного инцидента. Как в этих условиях обосновать топ-менеджменту заказчика целесообразность дальнейшего использования SOC? Как доказать, что недопустимое для заказчика на самом деле невозможно? На помощь приходят регулярные киберучения, в рамках которых привлекаются независимые команды атакующих. Таким способом демонстрируется, что SOC действительно способен обнаруживать потенциальные атаки, а также блокировать действия атакующих до того, как они дошли до целевой системы и смогли реализовать неприемлемое.
Но мы пошли еще дальше, предусмотрев опцию в контракте на обслуживание, активирующуюся в случае, если за период не произошло атак. Дело в том, что часть стоимости сервиса закладывается как раз на активную фазу противодействия, в которой наши аналитики занимаются разбором и реагированием в усиленном режиме. Если подобных атак за время оказания сервиса не зафиксировано, мы можем вернуть часть стоимости сервиса либо в виде снижения суммы счета, либо в форме зачета оплаты за будущие периоды. Это честно и всегда прекрасно воспринимается топ-менеджментом.
Заключение
К сожалению, часто в конкурсах заказчики, исходя из сложившейся практики, начинают требовать те параметры, которые на самом деле им не нужны: реакцию на инцидент в течение 20–30 мин., поток в 10 тыс. событий в секунду, предоставления 97% доступности сервиса. Да, конечно, все это в конечном счете имеет значение, но это лишь технические параметры, которые не отвечают на главный вопрос: а зачем, собственно, SOC нужен?
Рынок ждет следующий шаг в развитии концепции SOC, когда сервис станут выбирать не по численным характеристикам, а по понятной пользе – защите собственных объектов от недопустимых событий. Мы преследуем цель исключить реализацию недопустимых событий и киберрисков за счет создания центра предотвращения киберугроз, под который мы трансформируем наш SOC. Он решает главную потребность заказчиков – недопущение рисков и бесперебойную работу бизнеса.
***