Аврал в SOC
Наибольшая активность хакеров пришлась на март и апрель этого года. Сейчас они немного ослабили свою «хватку», но количество атак пока не снижается. Помимо кражи персональных данных — телефонов, ФИО и адресов электронной почты — мошенники стремятся нарушить работу систем и целостность информации. Становится изощреннее и тактика нападений.
Однако совершенствуется не только темная сторона. Компании-производители в области информационной безопасности тоже не отстают и разрабатывают новые продукты. При этом мало кто из них совершенствует старые решения, на рынок выходят новые системы. Таким образом, практически в любой организации, даже в нашем SOC, имеется настоящий «зоопарк» из средств защиты информации, который нужно обслуживать непрерывно. Фактически за каждую консоль нам нужно посадить отдельного ИБ-специалиста. Позволить такую роскошь мы не можем, поскольку дефицит кадров в отрасли катастрофичный.
Типовая организация может насчитывать до 20 разных консолей, и, если в команде ИБ пять человек (это в лучшем случае), то на одного специалиста приходится минимум четыре средства защиты информации, которые он должен отслеживать непрерывно. Реализовать это практически невозможно.
В нашем SOC были такие же проблемы. Мы обнаружили, что просто «убиваем» одного аналитика на одну консоль средства защиты информации, а также теряем возможность объективно анализировать его эффективность. Очень сильно увеличивалось и время, которое тратилось на задачи, не связанные напрямую с мониторингом. Но главная сложность была следующей — дальнейшие заказы SOC-центр мог осилить только при значительном росте команды. Чтобы не ходить по кругу, упираясь в одни и те же препятствия, мы приняли решение изменить подход к работе.
Помочь в такой ситуации могло бы снижение взаимодействия специалистов SOC с заказчиками и руководством. Идеальным вариантом было в целом свести к минимуму необходимость аналитиков знать различные детали. Например, что конкретно происходит в области информационной безопасности у того или иного клиента.
Решение задачи
Работать с разными средствами защиты, конечно, хорошо, но выступать постоянным посредником между системами, тратить время на выгрузку данных из одной консоли и коррелировать их с данными из других систем – это «путь в никуда». Продумывая, как разгрузить аналитиков нашего SOC, мы разработали план из трех шагов: визуализации, создания межвендорной экосистемы и оптимизации операционной деятельности.
Визуализация
Для начала нужно было визуализировать результаты работы SOC-центра в одном интерфейсе. Мы провели анализ используемых средств защиты, состава их компонентов и консолей, перечень контролируемых параметров и критериев штатного функционирования сопровождаемых средств защиты. Одновременно оценили перечень необходимых коммуникаций между командой SOC и заказчиком услуг. После чего начали работать над возможностью сбора и отображения выявленной информации в едином окне без необходимости отслеживания информации в разных консолях, переключения между ними и сопоставления данных из разных средств защиты информации для принятия решения об их корректной работе.
Таким образом, на одного ИБ-специалиста у нас теперь приходится одна платформа, которую мы назвали «Единое окно принятия решений».
К платформе мы можем подключать разные средства защиты информации и выборочно получать оттуда те сведения, которые нам или нашему клиенту кажутся важными. Исходя из нашей практики, к нам могут прийти с вопросами:
- Какие события информационной безопасности происходили за определенный период (месяц, год, пять лет и т. д)? Сколько было случаев заражения вредоносным программным обеспечением?
- Какие инциденты происходят в информационной инфраструктуре?
- Какое количество источников подключено к SIEM-системам и какой процент информационной инфраструктуры находится под защитой?
- Каким образом и как часто происходит реагирование на инциденты?
- Насколько оперативно аналитики отвечают на запросы?
На самом деле вопросов поступает еще больше, мы выбрали самые популярные. Визуализация позволяет нам показать, что подразделение ИБ действительно помогает организации, а не всячески мешает айтишникам и бизнесу.
В едином окне мы видим четкую картину:
- Сколько подозрений на инциденты за это время изучили специалисты SOC, какие из них оказались верными, сколько подтвердили сотрудники, как отрабатывали задачи и правила корреляции событий. Срок хранения данной информации в самих средствах защиты не позволяет давать аналитику данные за большие периоды времени, а функционал самих средств защиты не предусматривает представление подобной информации в удобном для восприятия виде.
- Какие события у заказчиков происходят, например, на уровне сети, а какие — на уровне дисков, памяти или самого вычислительного ресурса. Понять, какая идет нагрузка на процессоры, выяснить сколько осталось свободного места на диске. А также определить, какие процессы и в каком объеме потребляют вычислительные ресурсы заказчика и не наблюдается ли всплесков в потреблении. Это помогает администраторам заказчика гораздо быстрее решать многие проблемы. Оперативно получая от нас подробный анализ, они сразу видят, в чем дело, а не пытаются мучительно разобраться в этом сами.
- Какое количество источников подключено к SIEM-системам. Ведь зачастую они подключаются к таким системам автоматически. Мы научили нашу платформу отслеживать изменения. Это позволяет вычислить процент информационной инфраструктуры, которая находится вне зоны мониторинга.
По итогам работы SOC-центра мы за последние несколько месяцев дошли до создания MVP (или Minimum Viable Product, «минимально жизнеспособный продукт») с тем функционалом, который уже нам помогает в работе. Дальше мы планируем продолжить развивать этот продукт.
Межвендорная экосистема
Во вторую очередь на базе платформы «Единое окно принятия решений» будет создаваться межвендорная экосистема. Мы со своей стороны будем определять целевое состояние процессов информационной безопасности, их цели, задачи и взаимосвязи, анализировать, как один процесс может улучшить и дополнить другой. После чего сможем подобрать необходимый состав и функционал средств защиты и ИТ-систем.
После определения необходимых интеграций, мы создаем некую межсистемную шину на базе продуктов собственной разработки Security Data Lake и Innostage Orchestrator. Ее применение позволяет сократить масштабы ручной обработки и передачи данных.
Операционная деятельность
Мы планируем замкнуть в платформе всю операционную деятельность наших специалистов по информационной безопасности и перераспределить время на закупки, договоры, заявки пользователей, администрирование средств защиты информации, исполнение политик и регламентов.
В целом, платформа значительно облегчает жизнь как аналитикам SOC, так и работникам внутренней службы информационной безопасности наших клиентов. Отчеты об информационной безопасности клиентов могут делаться оперативнее, а контролировать качество оказываемых сервисов становится значительно проще. Рутинные операции специалисты SOC выполняют быстрее, ошибок в ходе работы допускают меньше. При этом у них появляется время на решение нестандартных задач и изучение потенциальных новых угроз.
Авторы:
Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART,
Данияр Исхаков, заместитель директора департамента консалтинга компании Innostage.
Источник публикации