Сергей Шамаев, руководитель отдела мониторинга и оперативного реагирования, поделился своим опытом и рассказал о распространенных заблуждениях, связанных с Центром оперативного управления безопасностью (SOC).
Начнем распространенного мифа: SOC и SIEM – одно и то же
Тут стоит начать с определения Security Operation Center (SOC). SOC – это одно из подразделений организации, занимающееся мониторингом инфраструктуры, на предмет наличия (предпосылок к созданию) угроз информационной безопасности. SOC разворачивается в целях обнаружения, предупреждения, и ликвидации последствий компьютерных атак.
При этом стоит понимать, что SOC– это прежде всего люди, специалисты, работающие на разных уровнях вовлеченности и выполняющих свои обязанности в рамках различных процессов. SOC имеет достаточно гибкую структуру и может содержать в себе различные подразделения.
Безусловным фактором качественной работы специалистов SOCявляется тот набор инструментов, с которым они работают на различных стадиях мониторинга и расследования компьютерных инцидентов. Одним из ключевых инструментов является SIEM. SIEM(Security Information and Event Management) — это комплексная система, которая собирает, анализирует и обрабатывает данные безопасности из различных источников в реальном времени.
Теперь, когда мы разобрались в определениях, становится абсолютно ясным тот факт, что SIEM не равно SOC и наоборот.
Внедрение СЗИ может заменить центр мониторинга
В настоящее время классов СЗИ существует достаточно большое количество. Это могут быть средства антивирусной защиты, межсетевые экраны, системы обнаружения и предотвращения вторжений, песочницы и т.д. Однако в вопросе о замене полнофункционального SOC, стоит обратиться к одному, популярному примеру. Предположим, что у нас есть некая компания, которая имеет в своей инфраструктуре некоторый антивирус. И в один из дней, системный администратор, обнаружил уведомление об обнаружении вредоносного ПО на одном из хостов. Он успешно удалил этот файл и забыл. На следующий день, антивирус снова сигнализировал ему об этом. И снова ВПО было удалено, и даже запущена проверка на полное сканирование антивирусом. И так может продолжаться долго. Мы получили ситуацию, в которой организация, развернув СЗИ уже скомпрометирована, но в виду отсутствия должного мониторинга за событиями безопасности и квалифицированных специалистов не может полностью избавится от последствий компрометации. При наличии SOC, его специалисты могли бы не только удалить ВПО с хоста, после информирования со стороны антивируса, но при наличии должной компетенции провести его анализ. Узнать каким образом оно попало в инфраструктуру, изучить его активность и способы закрепления. Проанализировав трафик, можно обнаружить нетипичные домены и IP-адреса, к которым оно обращается по сети, например для загрузки дополнительных модулей. СЗИ – это мощный инструмент в борьбе со злоумышленниками, но всю свою эффективность они способны показать, только в руках квалифицированных специалистов.
Свой SOC построить проще и дешевле внешнего, по сути, все центры мониторинга одинаковые, разница только в цене. И вообще, SOC подходит только крупному бизнесу. Да и зачем он нужен, если сообщает об атаке уже после ее реализации?
Ответ на данный вопрос я хочу начать с его конца. Тут стоит вернуться к базе и сказать, что такое Cyber Kill Chain. Cyber Kill Chain — это модель, разработанная компанией Lockheed Martin, которая описывает этапы, через которые проходит злоумышленник при осуществлении кибератаки. Эта модель помогает организациям лучше понимать и противостоять угрозам, идентифицируя ключевые моменты, на которых можно остановить атаку.
Модель имеет семь этапов. И лишь на последнем, злоумышленник выполняет действия, на которые он был нацелен изначально. Это может быть все, что угодно: от кражи финансов и шпионажа, до человекоуправляемых атак с вирусами-шифровальщиками. Задача специалистов SOC выявить действия злоумышленника на ранних стадиях и не дать ему достичь своих целей.
Сам факт проникновения хакера в инфраструктуру компании не очень приятен, но он не так страшен, как ее шифрование. Если специалисты SOC смогли детектировать атаку на начальных ее этапах и остановить развитие, это уже победа.
Но даже если хакер смог реализовать свой замысел, задача сотрудников SOC, и группы реагирования в частности (если такая выделена) провести полное расследование, узнать способы получения первоначального доступа к инфраструктуре, способы закрепления в ней. Для того, чтобы в будущем, после устранения последствий инцидента, устранить и причины его возникновения.
Вернемся к вопросу о том, какой SOC выбрать. Строить свой SOC или же прибегнуть к услуге внешнего?
Этот вопрос достаточно многогранный. Тут прежде всего стоит ориентироваться на область, в которой действует компания\организация и те требования, которые к ним предъявляют регуляторы.
Но в основе эффективной работе SOCстоят специалисты, которые в нем работают. И при ответе на этот вопрос, компания должна для себя определить способна ли она набрать нужный штат подготовленных специалистов, которые могут перекрыть весь функционал SOC, от мониторинга за событиями до реагирования и расследования инцидентов. Которые смогут не только смотреть в монитор на выдачу SIEM, но и при необходимости собрать дополнительные артефакты, проанализировать дампы оперативной памяти и энергонезависимых накопителей. Провести исследование вредоносного ПО не просто просканировав его антивирусом, а полноценные динамический и статический анализ. Написать правила детекта этого ВПО.
Зачастую все эти компетенции есть у сотрудников компаний, предоставляющих SOC как услугу. И в ситуации с дефицитом кадров, я все же склоняюсь доверить эту работу профессионалам.
На кого всё же ориентирован современный SOC, как он помогает компаниям и бизнесу?
Современный SOC, как явление, не ориентируется на кого-то конкретного. Это очень гибкая структура, которую можно создать в компании любого размера и финансового состояния.
Предположим, есть небольшая компания, в которой штат сотрудников достаточно мал. А вся инфраструктура состоит из десятка рабочих станций и роутера. В случае компрометации даже такой малой инфраструктуры могут наступить печальные для компании последствия, от финансовых и репутационных потерь, вплоть до полного банкротства. Как же такая компания может себя защитить, используя возможности мониторинга, которые предоставляет SOC?
Все на самом деле достаточно просто. Есть большое число Open-source инструментов, которые при наличии грамотного специалиста, смогут решить большинство задач, стоящих перед SOC. Можно развернуть open-source SIEM– Wazuh, агенты которого установить на конечные узлы и собирать все события, происходящие в инфраструктуре. Можно установить различные open-source IDS, наподобие Suricata и Snort. Которые будут следить за трафиком на рабочих станциях и информировать аналитика путем отправки логов в SIEM.
Уже такой, «маленький» SOC способен очень эффективно работать в небольшой компании.
Возьмем противоположный пример. Крупная компания, с сотнями сотрудников и рабочих станций. Со штатом IT-специалистов, которые следят за работоспособностью IT-инфраструктуры. Такой компании потребуется уже абсолютно другой подход к организации и структуре SOC. В крупной компании нужно выделять отдел реагирования на инциденты, отдела администрирования средств защиты, либо делить сотрудников SOC на уровни, в зависимости от сложности решаемых ими задач.
Такая компания может позволить выделить сотрудников для выполнения функций Threat Intelligence и Threat Hunting. Чтобы искать факты возможной компрометации, которые были пропущены средствами защиты. Можно выделить группу, которая будет заниматься управлением уязвимостями. Которая создаст виртуальную лабораторию и сможет тестировать все обновления и приобретаемое ПО на факт наличия уязвимостей или незадекларированных возможностей.
Таким образом современный SOC представляет собой динамичную и адаптируемую структуру, способную обеспечить эффективную защиту информационных активов компании вне зависимости от ее размера и финансовых возможностей. Несмотря на то, что SOC может существенно различаться в зависимости от масштабов бизнеса, его основная цель остается неизменной: предотвращение, обнаружение и реагирование на киберугрозы.