SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Какими навыками должен овладеть специалист SOC

Какими навыками должен овладеть специалист SOC
21.10.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Аналитики в SOC (Security Operations Center) — это специалисты, которые следят за безопасностью ИТ-систем, комплексов и бизнес-процессов и реагируют на инциденты. Чтобы стать таким аналитиком, нужно соответствовать определённым требованиям. Мир информационной безопасности постоянно развивается: появляются новые типы средств защиты информации, злоумышленники развивают свои методы и придумывают новые тактики, появляются новые технологии и способы сбора данных. Поэтому современному аналитику стоит постоянно учиться и оттачивать свои навыки, как хорошему доктору нужно изучать методы диагностики и лечения, чтобы совершать новые прорывы в медицине.

 

Знание основ ИТ и кибербезопасности


Для аналитика центра реагирования и анализа киберинцидентов, знание и понимание принципов кибербезопасности — это основа работы. Ключевые аспекты включают в себя:


1)   Базовые концепции кибербезопасности, CIA-триада: конфиденциальность, целостность и доступность


   -   Конфиденциальность (Confidentiality) – это защита информации от несанкционированного доступа. Представьте, что вы запираете важные документы в сейф, и только те люди, у кого есть ключ, могут их прочитать. В информационной безопасности этот аспект триады отвечает за защиту данных, чтобы никто лишний не получил к ним доступ.

   -   Целостность (Integrity) гарантирует, что данные остаются неизменными и точными. Это похоже на проверку, что письмо дошло в том виде, в каком его отправили, без изменений и вмешательства со стороны. В кибербезопасности важно, чтобы никто не мог незаметно изменить или подделать данные, которые где-то хранятся и передаются от системы к системе.

   -   Доступность (Availability) – это обеспечение того, что информация и системы всегда доступны, когда они нужны. Например, в жизни это, как если бы у вас всегда был доступ к электричеству дома (когда оно отключается, возникают проблемы), а особенно это критично, например, не для обычного дома, где можно временно обойтись свечами для освещения, а на критически важных объектах, например, в больницах, где без работающих аппаратов пациенты могут лишиться жизни. В ИБ это означает, что сервисы работают стабильно и без сбоев, компания выполняет свои задачи, и клиенты получают желаемый сервис.


2)   Знание типов кибератак


Ранее мы уже рассказывали про различные методы социальной инженерии, когда злоумышленники фокусируются на слабом звене системы – человеке. Среди таких методов достаточно распространены:

   -    фишинг (попытки выманить личную информацию с помощью поддельных писем или сайтов, например, когда приходит письмо от «банка», где «сотрудники» просят срочно ввести свои данные – в реальной жизни это мошенник, который выдаёт себя за сотрудника банка);

   -    DDoS-атаки (Distributed Denial of Service) — атаки, при которых злоумышленники перегружают сайт запросами (он становится не работающим для пользователей, т.е. нарушается доступность данных, о которой мы говорили выше), это, как если бы в кафе вдруг пришло 100 человек одновременно и официанты просто не успевали бы обслужить всех;

   -    SQL-инъекции – атаки, при которой злоумышленники внедряют вредоносный код в запросы к базе данных (так они могут получить доступ к данным, нарушая аспект конфиденциальности). Представьте, что вы пишете запрос в поисковую строку, а злоумышленник незаметно добавляет в него свои команды.

   -    атаки с использованием паролей – попытки взломать учётные записи с помощью подбора или кражи паролей) Это похоже на попытки подобрать ключ к двери в квартиру;

   -    вредоносное ПО, Malware, т.е. программы, которые могут повредить компьютер, украсть данные или шпионить за пользователем. Представьте, что на телефоне появилась программа, которая незаметно читает все сообщения или делает скриншоты и передаёт их злоумышленнику.


3)   Знание тактик и методов атак, основных векторов атак, методов их обнаружения


Существует множество фреймворков – баз знаний, которые ставят своей целью разложить действия злоумышленников по полочкам и предугадать дальнейшие действия. Мы уже проводили аналитику различных баз данных угроз (БДУ), но напомним некоторые данные в текущем обзоре:

   -    OWASP TOP 10 – это список самых распространённых уязвимостей веб-приложений. Его можно представить, как «список самых популярных ловушек», которые злоумышленники используют для взлома сайтов;

   -    CVE (Common Vulnerabilities and Exposures) – это база данных известных уязвимостей, с которыми аналитики постоянно работают, чтобы быть в курсе слабых мест в системах;

   -    MITRE ATT&CK – это база данных тактик и методов атак, которая помогает аналитикам понять, как злоумышленники действуют на разных этапах атаки. Это похоже на учебник с планами действий преступников;

   -    Cyber Kill Chain – это модель, описывающая этапы кибератаки от разведки до завершения. Аналитик, используя эту модель, может определить, на каком этапе находится атака и как её остановить.

 

Аналитик должен уметь распознавать различные «ловушки» и предотвращать эксплуатацию уязвимостей или выполнение сложных атак.

 

Говоря о ключевых этапах жизненного цикла инцидента, из общего перечня можно выделить: обнаружение (это, как если бы вы заметили, что кто-то пытается взломать замок), реагирование (это действия по предотвращению взлома, например, вызов охраны или усиление замков), устранение (если говорить на примере взлома замка – его замена) и восстановление – возвращение системы в нормальное состояние после инцидента. Современные системы класса SOAR позволяют автоматизировать различные действия не только на этих этапах Kill Chain, поэтому в помощь аналитикам можно применять подобные технологии.

 

Аналитик в SOC должен уметь быстро распознать признаки атаки, такие как странные входы в систему или подозрительный трафик, затем выполнить блокировку IP-адресов, отключение заражённых устройств или временное отключение систем для их защиты. Этапы устранения и восстановления отвечают за удаление вредоносных программ, восстановление данных и обеспечение того, что уязвимость закрыта. Это, как если бы вы установили новые, более надёжные замки и провели проверку всех своих вещей в доме, наподобие процесса управления активами и инвентаризацией в ИТ и ИБ.


4)   Технические навыки


Это важная составляющая работы аналитика SOC, которая включает в себя знания операционных систем, умение работать с командной строкой и сценариями, а также понимание виртуализации и облачных технологий. Мы рассмотрим каждый аспект подробнее в следующей статье, посвящённой работе аналитиков.

 

Чтобы эффективно выполнять работу, нужно знать, где находятся двери, камеры и как работает сигнализация. В кибербезопасности это знание, как устроены сети, компьютеры, операционные системы и что такое вирусы или атаки. Помимо этих знаний, специалисту группы реагирования и аналитикам всех уровней будет полезно прокачивать свои софт-скиллы, такие как:

   -   Навыки анализа данных. Это похоже на умение видеть необычные детали в толпе людей. Например, если человек ведёт себя подозрительно, охранник или таможенник в аэропорту обратит на это внимание. Аналитик в SOC делает то же самое, но с данными. Он анализирует сетевой трафик и журналы событий, чтобы заметить аномалии — признаки взлома или утечек данных;

   -   Умение быстро реагировать. Представьте, что вы пожарный и вам нужно действовать быстро и решительно, если где-то начался пожар. В SOC, если аналитик заметил угрозу, он должен сразу реагировать: блокировать атаки, останавливать вредоносное ПО или изолировать заражённые системы;

   -   Командная работа. Как и в футболе, успешная защита – это всегда результат слаженной работы команды. В SOC аналитики работают вместе, чтобы выявить угрозы и устранить их. Они обмениваются информацией, проверяют друг друга и помогают находить лучшие решения;

   -   Коммуникационные навыки. Когда механик объясняет владельцу машины, что нужно починить, он должен говорить простым языком. Аналитик SOC тоже должен уметь доносить информацию: коллегам, менеджерам или даже нетехническим сотрудникам. Он объясняет сложные вещи простыми словами, чтобы все поняли, что произошло и что нужно делать;

   -   Внимание к деталям. Представьте себе работу часовщика, который собирает сложный механизм: один неверный шаг – и часы не запустятся. Аналитик должен замечать мельчайшие отклонения в работе системы, которые могут указывать на угрозу. Это помогает предотвратить атаки на ранних стадиях;

   -   Обучаемость и любопытство. Как шеф-повар, который постоянно пробует новые рецепты, аналитик SOC должен всегда учиться. Хакеры придумывают новые методы атак, и аналитик должен быть готов изучать их, осваивать новые инструменты и технологии, чтобы быть на шаг впереди.

 

Наши эксперты разработали чек-лист требований к аналитикам SOC, который вы можете использовать при поиске и подборе первоклассного специалиста.


1)   Знание и понимание принципов кибербезопасности:

   -   базовые концепции кибербезопасности;

   -   знание типов кибератак;

   -   знание тактик и методов атак, основных векторов атак, методов их обнаружения;

   -   понимание ключевых этапов жизненного цикла инцидента;


2)   Навыки анализа журналов

   -   опыт работы с различными форматами журналов;

   -   умение анализировать журналы событий операционных систем;

   -   анализ журналов сетевых устройств (брандмауэров, маршрутизаторов);

   -   анализ логов приложений и серверов;


3)   Навыки в области сетевых технологий

   -   базовые знания сетевых технологий и знание модели OSI;

   -   базовые знания сетевых протоколов (TCP/IP, HTTP, DNS, DHCP);

   -   понимание сетевых топологий, устройств и их ролей;

   -   умение анализировать сетевой трафик для выявления аномалий;

   -   знание систем сетевого мониторинга и анализа трафика;


К данному списку можно добавить основы работы с операционными системами (Windows, Linux), умение использовать командную строку и языки сценариев для анализа и автоматизации процессов (Bash, PowerShell), знание основных концепций виртуализации и облачных технологий и опыт работы со средствами безопасности, о которых мы поговорим во второй части обзора.

ИБ для начинающих SOC Нарушители ИБ Подкасты ИБ

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Два столпа Linux мониторинга
Два столпа Linux мониторинга
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Два столпа Linux мониторинга
Два столпа Linux мониторинга
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1