Руслан Рахметов, Security Vision
Эпоха базовых антивирусных программ и межсетевых экранов безвозвратно ушла в прошлое, уступив место продвинутым средствам обнаружения и процессам. Настала эпоха высокоорганизованной киберпреступности, спонсируемых хакерских группировок и автоматизированных вредоносных кампаний: в условиях, когда компрометация корпоративных данных может привести к многомиллионным убыткам и краху репутации, обеспечение информационной безопасности требует централизованного, структурированного и непрерывного подхода. Фундаментом такого подхода выступает специализированное подразделение, известное как Security Operation Center (SOC). Структура этой команды представляет собой не просто группу системных администраторов, а высокотехнологичный командный пункт, функционирующий в режиме 24/7, который объединяет передовые технологии мониторинга, строго регламентированные процессы реагирования и узкопрофильных аналитиков. Именно об этом мы поговорим в текущей статье.
Оглавление
Введение
Традиционно SOC строится по иерархической модели, напоминающей пирамиду: линии поддержки имеют прямое сходство с классической службой технической поддержки. Но в контексте кибербезопасности первая, вторая и третья линия защиты в SOC формируют не просто систему маршрутизации заявок, а систему обороны, где каждый последующий эшелон обладает более высокой квалификацией, глубоким доступом к инфраструктуре и расширенными полномочиями для радикального реагирования на инциденты.
Рисунок 1.1 – этапы инцидента с применением продуктов SV
Системы мониторинга генерируют тысячи, а иногда и миллионы событий в сутки, поэтому разница между L1, L2, L3 заключается в первую очередь в масштабе решаемых задач, уровне аналитического погружения и степени проактивности действий. Вся суть этой иерархии заключается в оптимизации ресурсов.
Аналитик SOC 1 линии
Работа аналитика на первой линии характеризуется интенсивностью, стрессом и строгими алгоритмами. Своеобразные «глаза и уши» центра мониторинга, важнейший первый рубеж обороны организации, ежедневно сталкивающиеся с огромным потоком поступающих уведомлений (алертов), которые генерируются межсетевыми экранами, антивирусами и системами обнаружения вторжений. Основной и наиболее частый запрос к специалистам этого уровня заключается в непрерывном мониторинге экранов систем безопасности в режиме реального времени. Ключевым процессом, лежащим в основе работы первой линии, выступает триаж инцидентов: первичная сортировка и отсеивание ложных срабатываний. Триаж требует от аналитика способности за считанные минуты оценить входящее событие безопасности, сопоставить его с контекстом корпоративной сети и принять решение: является ли это легитимным действием пользователя. Например, системный администратор трижды неправильно ввел пароль из-за опечатки или это начало брутфорс-атаки со стороны хакера?
Это как работа приемного отделения неотложной помощи в больнице, который отлично показывали в кино и сериалах. Термин «триаж» исторически пришел именно из военной медицины, и аналитик SOC 1 линии подобен медсестре в приемном покое: когда поступает поток пациентов, медсестра не проводит сложные нейрохирургические операции, ее задача – быстро измерить температуру, пульс, давление и оценить симптомы, чтобы отделить тех, кто пришел с обычной сезонной простудой (что в кибербезопасности эквивалентно ложным срабатываниям), от тех, у кого инфаркт или тяжелая травма (критический инцидент). Пациентов с критическими показателями немедленно стабилизируют базовыми методами и передают профильному врачу-реаниматологу.
Для выполнения своих задач аналитики L1 не полагаются на интуицию. Они в основном работают по готовым инструкциям и плейбукам. Плейбук представляет собой строго регламентированный пошаговый алгоритм действий для стандартных, хорошо известных инцидентов, а значит его можно отлично автоматизировать. В сценарии реагирования прописано, какие логи нужно проверить, кому из сотрудников отправить запрос на подтверждение действий и какие IP-адреса заблокировать в случае подтверждения угрозы.
Плейбук работает, как инструкция по сборке мебели из IKEA: в ней нет теоретических выкладок о сопротивлении материалов или свойствах древесины; там просто и доступно сказано: «Возьмите деталь А, вставьте в деталь Б, закрутите винт В ключом на 8». Аналитик L1, следуя качественному плейбуку, может успешно изолировать зараженный компьютер от корпоративной сети, просто выполняя пункты 1, 2 и 3, не нуждаясь в глубоком понимании архитектуры вредоносного кода или памяти операционной системы. Более того, благодаря динамическим плейбукам в Security Vision SOAR процесс управления инцидентами подстраивается под инцидент. Также в результате триажа происходит оценка False Positive, классификация инцидента с маппингом на техники и тактики MITRE и БДУ ФСТЭК, поиск похожих и составление рекомендаций на разных этапах, включая первичный анализ.
Аналитик SOC 2 линии
Аналитик второй линии включается в работу тогда, когда инцидент уже прошел триаж, был подтвержден как реальная угроза и требует компетенций, выходящих за рамки стандартного сценария. Он занимается глубоким анализом подтвержденных инцидентов, а не просто их первичной фильтрацией. Главная зона ответственности L2 – это глубокое расследование инцидентов: специалист должен восстановить полную и достоверную картину хакерской атаки: каким образом злоумышленник смог проникнуть в защищенную сеть, какие именно уязвимости были проэксплуатированы, какие серверы и рабочие станции были скомпрометированы, и самое главное – были ли украдены или необратимо изменены конфиденциальные корпоративные данные.
Если аналитик L1 – это обычный патрульный, который первым прибыл на сработку автомобильной сигнализации, спугнул хулиганов и оцепил место происшествия, то L2 – это высококвалифицированный детектив. Он не занимается рутинным патрулированием улиц и прибывает на место уже подтвержденного сложного преступления. Его задача – собрать улики, снять отпечатки пальцев, опросить свидетелей, изъять и изучить многочасовые записи с камер видеонаблюдения, чтобы скрупулезно восстановить хронологию событий, понять мотивы преступной группировки и выявить канал сбыта краденого. Именно этим занимается специалист второй линии, только вместо отпечатков пальцев он анализирует гигабайты системных логов и сетевого трафика.
После понимания масштаба катастрофы L2 разрабатывает и реализует стратегию сдерживания, чтобы остановить дальнейшее распространение угрозы по сети, а затем координирует процесс восстановления ИТ-инфраструктуры до заведомо безопасного состояния. На этом уровне специалисты обязаны обладать фундаментальными знаниями сетевых протоколов, архитектуры операционных систем и психологии злоумышленников, выходя далеко за рамки стандартизированных инструкций.
Аналитики второй линии работают, как пожарные в кислородных масках, которые въезжают прямо в эпицентр катастрофы. Их первоочередная задача – локализовать огонь, то есть отрезать ему пути распространения на соседние этажи (сдерживание инцидента). Затем они должны найти первоначальный очаг возгорания (расследование коренной причины) и полностью ликвидировать его, минимизировав сопутствующий ущерб от воды для остального здания (процесс восстановления систем). Сам процесс реагирования также автоматизируется модулем SOAR, который использует результаты работы аналитиков первого уровня и все возможные средства защиты информации (СЗИ) для управления последствиями.
Аналитик SOC 3 линии
Эксперт третьей линии представляет собой элиту кибербезопасности внутри организации: когда инцидент передается ему на стол, это означает, что компания столкнулась с экстраординарной, крайне сложной или абсолютно новой (Zero-Day) угрозой, которую не смогли идентифицировать ни автоматические системы безопасности, ни аналитики первых двух линий. Они не ждут оповещений от систем, а целенаправленно ищут скрытые и сложные угрозы в инфраструктуре, которые не были обнаружены автоматически, а сам процесс называется Threat Hunting (охота на угрозы).
В то время как медсестры регистратуры (L1) сортируют пациентов, терапевты (L2) лечат явные, проявившиеся симптомы болезни (кашель, высокую температуру), специалист уровня L3 подобен исследователю-эпидемиологу, который работает в закрытой лаборатории максимального уровня биологической защиты. Он изучает мутации нового вируса у летучих мышей на другом конце света, чтобы создать вакцину еще до того, как болезнь пересечет границы его страны и начнется пандемия. Его можно сравнить и с профессиональным онкологом, ищущим микроскопические, скрытые метастазы, которые не показало обычное УЗИ, потому что он знает: если дождаться появления боли, будет уже слишком поздно.
Аналитик формулирует гипотезу на основе глобальных данных о новых мировых киберугрозах (Threat Intelligence, TIP) и начинает «прочесывать» корпоративную сеть в поисках малейших, нетипичных аномалий (User and entity Behavioral Analysis, UEBA), которые могут указывать на то, что хакер уже давно находится внутри и тихо собирает данные. Это позволяет критически снизить так называемое время скрытого присутствия (Dwell Time) злоумышленника в сети.
Кроме того, эксперты L3 занимаются архитектурными задачами: они разрабатывают новые, сложнейшие правила корреляции событий для систем мониторинга, адаптируют инфраструктуру к новым видам атак и создают обучающие материалы для аналитиков L1 и L2. Высший пилотаж кибербезопасности, который также является эксклюзивной зоной ответственности L3, включает в себя два сложнейших технических направления: форензику и реверс-инжиниринг.
Цифровая криминалистика (Digital Forensics) – это строгий процесс сбора, сохранения и анализа цифровых улик, которые злоумышленники оставляют на взломанных серверах. Эксперты снимают дампы оперативной памяти, побайтово копируют содержимое жестких дисков (чтобы не изменить ни одного бита информации на оригинале) и восстанавливают удаленные файлы. Это как работа криминалиста (CSI) на месте тяжкого преступления: он не ловит преступника с пистолетом в руках, а аккуратно собирает образцы ДНК, микроскопические волокна одежды, заливает гипсом следы обуви и ищет мельчайшие капли крови, замытые хлоркой. Из этих невидимых глазу фрагментов он реконструирует картину убийства с точностью до миллиметра.
Это делается не только для того, чтобы понять, как произошел взлом, но и для формирования юридически значимой доказательной базы, которая в дальнейшем может быть представлена в международном суде.
Реверс-инжиниринг (Reverse Engineering), или обратная разработка, применяется тогда, когда аналитики сталкиваются с абсолютно новым, неизвестным науке вирусом. У защитников нет его исходного кода, написанного программистом, есть только скомпилированный бинарный файл (нечитаемый машинный код). Как шеф-повар, который приходит в знаменитый ресторан, заказывает их фирменное, секретное блюдо, и, медленно дегустируя его, пытается по вкусовым рецепторам разобрать готовый продукт на базовые ингредиенты: сколько здесь соли, есть ли розмарин, как долго томилось мясо. Цель – воссоздать рецепт вслепую, имея на руках только финальный результат.
Эксперт L3 с помощью специальных программ-дизассемблеров разбирает этот вирус на мельчайшие инструкции процессора и изучает, к каким командным серверам (C2) обращается вирус, какие криптографические алгоритмы он использует для шифрования файлов жертвы и как именно он обходит антивирусную защиту. Результатом этой титанической работы становится создание «противоядия» – так называемых индикаторов компрометации (IoC), которые затем загружаются в системы защиты по всему миру, делая этот вирус бесполезным.
Заключение
Разница между L1, L2, L3 не сводится исключительно к стажу работы сотрудников, ведь это больше фундаментальная разница в мышлении, методологии и инструментарии. Обязанности аналитиков SOC по уровням жестко и логично стратифицированы, а в работе им помогают продвинутые инструменты вроде тех, что разрабатывает Security Vision. Синергия передовых технологий, процессов и людей с их аналитическим складом ума и потрясающими возможностями решать творческие задачи – вот три кита, на которых строится эффективное управление инцидентами в SOC.
.jpg)
