Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Как правило, кибербезопасность для подавляющего большинства компаний и организаций является не основной целью, а поддерживающей функцией, которая обеспечивает выполнение миссии компании. Это означает, что для SOC чрезвычайно важно понимать контекст событий ИБ, которые он обрабатывает, и приоритизировать большое количество поступающей информации. Этого можно достичь только четко понимая, что именно и почему защищает SOC.

Для эффективного предоставления услуг заказчикам SOC должен понимать, поддерживать и обмениваться данными ситуационной осведомленности (далее - СО) (англ. Situational Awareness, SA). СО можно определить как восприятие состояния кибербезопасности и ландшафта киберугроз заказчика во времени и пространстве, понимание их взаимосвязи (т.е. киберриска), а также прогнозирование их статуса на ближайшее будущее. Цикл принятия ситуационно-ориентированных решений соответствует циклу OODA (англ. observe, orient, decide, act - наблюдение, ориентирование, принятие решения, выполнение). В SOC все аналитики, иногда неосознанно, выполняют действия в соответствии с OODA-циклом, который может длиться от минут до месяцев, при этом происходит непрерывное повышение СО операторов об инфраструктуре заказчика и актуальных для него киберугрозах. Достижение SOC качественной СО занимает длительное время, но это позволяет предоставлять заказчику оперативную актуальную информацию и отвечать на вопросы вида:

·  Каково состояние кибербезопасности компании в текущий момент времени?

·  Какие последствия будут у успешной кибератаки, включая последствия для предоставляемых и потребляемых услуг?

·  Какие злоумышленники являются реальной угрозой для компании?

·  Каким образом злоумышленники атакуют компанию и каковы их цели?

·  Как лучше реагировать на эти кибератаки?

· Каково состояние установки обновлений безопасности в инфраструктуре компании, установку каких патчей следует приоритизировать?

· К каким системам следует применить определенный набор мер защиты для наиболее эффективной минимизации киберрисков?

· Как изменяются киберугрозы, направленные на компанию, как меняются TTPs атакующих, что нужно компании для мониторинга и защиты от этих новых угроз?

·  Кто из сотрудников или контрагентов компании выполняет нехарактерные действия, и является ли это угрозой?

СО в контексте SOC может быть разделена на следующие 5 областей:

1. Понимание бизнеса и миссии заказчика.

SOC должен понимать фундаментальные цели деятельности компании-заказчика и бизнес-процессы: какие продукты и услуги предлагает компания, какие у нее есть основные потребители, географические точки присутствия, взаимоотношения с третьими лицами (поставщиками, дистрибьюторами, подрядчиками). Понимание миссии компании поможет SOC понять, какие есть основные угрозы (например, для интеллектуальной собственности, выполнения финансовых транзакций, электронной коммерции и т.д.) и какие свойства безопасности информации являются наиболее критичными для тех или иных бизнес-процессов компании (например, конфиденциальность персональных данных клиентов, целостность обрабатываемой информации на фондовой бирже, доступность веб-сервисов для покупателей).

Для эффективного выполнения своих функций SOC должен понимать основной контекст бизнес-миссии заказчика, включая:

· Основные направления ведения бизнеса (англ. lines of business), включая все обеспечивающие службы и функции, а также соответствующие показатели выручки и затрат

· Географические и физические локации осуществления бизнес-процессов

· Соответствие и взаимосвязи между направлениями ведения бизнеса и цифровыми активами, службами, данными, местами хранения информации

· Деловые взаимоотношения между компанией-заказчиком и другими компаниями, организациями, государственными учреждениями.

Для понимания бизнеса заказчика SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Нанимать в SOC сотрудников, у которых есть опыт работы в бизнес-подразделениях компании-заказчика

· Взаимодействовать на постоянной основе с сотрудниками компании, компетентными в области ИБ (англ. security champions, «чемпионы по кибербезопасности»), и по возможности включать их в штатную структуру SOC

· Взаимодействовать на постоянной основе с руководителями компании и владельцами информационных систем, предоставляя информацию о мерах, принимаемых SOC для их защиты, а также получая актуальную информацию об изменениях в их бизнес-процессах

· Обеспечивать проведение регулярных технических тренировок и учений-симуляций для владельцев основных информационных систем

· Поддерживать и эффективно эксплуатировать систему учета информационных активов и сервисов

· Вовлекать и задействовать ИБ-подразделения компании для оценки киберрисков и критичности инцидентов

· Проводить регулярные брифинги в SOC по ключевым аспектам бизнес-деятельности, либо привлекая сотрудников SOC, либо приглашая представителей бизнес-подразделений

· Учитывать информацию о бизнес-процессе при принятии сервиса на мониторинг в SOC

· Поддерживать актуальную информацию о бизнес-подразделениях, например через реестр сервисов.

2. Понимание применимых юридических, регуляторных и нормативных требований.

SOC функционирует в определенном правовом поле, которое регулируется законодательными требованиями страны присутствия бизнес-подразделений, отраслевыми ограничениями, а также иными возможными нормативными требованиями. SOC должен работать совместно с юридическим департаментом компании для учета следующих возможных юридических аспектов функционирования:

· Типы применимых правовых систем

· Типы применимых законодательных требований (например, уголовное законодательство, законодательство о защите интеллектуальной собственности или персональных данных)

· Роль SOC в соответствии применимым юридическим и регуляторным требованиям

· Применимые отраслевые стандарты (например, правила уведомления о киберинцидентах, стандарты хранения персональных данных).

Для понимания применимых юридических, регуляторных и нормативных требований SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Назначение контактных лиц по юридическим вопросам (например, координаторов проведения аудитов и юрисконсультов)

· Разработка внутренних нормативных документов SOC, которые описывают ответственность SOC в разрезе выполнения требований нормативных документов

· Разработка руководства по выполнению определенных юридически значимых действий (например, по сбору компьютерной криминалистической информации)

· Составление списка внутренних контактных лиц, ответственных за поддержку проведения регулярных аудитов.

3. Понимание технической среды, критических систем и данных

Одним из препятствий для эффективной работы SOC может стать отсутствие видимости и недостаточное понимание элементов защищаемой информационной инфраструктуры, систем, данных, сетевого трафика. В идеальном случае SOC должен иметь информацию обо всех системах и данных заказчика, но это может быть сложной задачей, поэтому можно сосредоточиться на таких аспектах, как:

3.1. Расположение цифровых активов заказчика:

· Географическое расположение элементов IT и OT инфраструктуры

· Количество, тип, расположение, сетевая связность IT- и OT-активов, включая ПК, серверы, сетевые и мобильные устройства, IoT-устройства

· Сетевая топология, включая физическую и логическую связность, границы между сетевыми сегментами, внешние точки подключения

· Архитектура активов, сетей, приложений (включая информацию об аутентификции, контроле доступа, аудите)

· Места хранения информации (например, закрытая сеть, облако, мобильные устройства).

3.2. Уровень критичности цифровых активов заказчика:

· Самые важные типы информации и места ее обработки и хранения

· Какие системы выполняют критичные для компании функции и к каким данным предъявляются повышенные требования по конфиденциальности, целостности, доступности.

3.3. Состояние цифровых активов заказчика:

· Какое состояние считается нормальным (штатным) для активов в основных сетевых сегментах и на устройствах

· Изменения в состоянии активов, например, изменения в конфигурации, поведении устройства, используемых портов и протоколов, объеме сетевого трафика

· Уязвимости устройств и приложений, примененные контрмеры для снижения возможности эксплуатации уязвимостей.

Для понимания технической среды, инфраструктуры и данных заказчика SOC совместно с IT-, OT- и сетевыми администраторами, а также с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Участвовать и поддерживать проведение комплексной инвентаризации IT и OT-активов, включая поддержку актуальности сетевых схем и диаграмм основных информационных систем, сбор и анализ отчетов о сканировании на наличие уязвимостей, сопровождение и использование списка ответственных за системы работников компании-заказчика

· Иметь доступ к основным системам заведения заявок в IT и к трекинг-системам, использующимся для управления IT-изменениями

· Собирать данные телеметрии и поддерживать доступ к источникам событий ИБ, включая приложения и базы данных для основных приложений и хранилищ информации

· Использовать сетевые сенсоры, хостовые сенсоры, анализ больших данных, системы Log Management и SIEM.

В публикации «11 стратегий SOC-центра мирового уровня» также подчеркивается важность построения и поддержания в актуальном состоянии перечня защищаемых активов и их свойств, используя все доступные разнородные источники данных, которых может быть особенно много в крупных компаниях. Инвентаризационную информацию следует получать не только с on-prem устройств, но и из облачных инфраструктур (PaaS и SaaS, облачные хранилища), а также учитывать IoT-устройства и хосты, которые могут быть изолированы от сети. Данные об ИТ-активах можно получать из таких источников, как:

· LDAP-каталоги, службы Active Directory

· Данные DHCP

· Инвентаризационные данные от различных подразделений (представленные в различных форматах, от Excel-таблиц до данных из комплексных систем инвентаризации)

· Инвентаризационные данные из облачных инфраструктур

· Данные из MDM и EDR решений, включая события обнаружения неизвестных устройств

· Данные сканеров сети

· Данные сканеров уязвимостей

· ИБ-решения, которые строят список активов на основании обработанных событий ИБ (например, таким функционалом могут обладать SIEM и UEBA системы, некоторые межсетевые экраны)

· Системы управления конфигурациями, обновлениями безопасности, распространением ПО (например, Microsoft SCCM, HCL BigFix, Ivanti Unified Endpoint Manager).

4. Понимание пользователей и их поведения, а также сервисных взаимодействий

Команда SOC должна понимать, какие типичные действия выполняются пользователями при выполнении служебных обязанностей, а также учитывать контекст бизнес-процессов заказчика. Данную аналитику, зачастую с применением алгоритмов машинного обучения, позволяют вести UEBA-платформы, которые контролируют поведение пользователей и технологий, а затем выявляют аномалии и подозрительные действия. Для эффективной работы SOC должен понимать:

· Значение действий пользователей и сущностей (субъектов доступа) в корпоративной сети и на устройствах заказчика, с учетом бизнес-контекста

· Роль, важность, профиль основных групп пользователей, включая системных администраторов, руководителей и административного персонала, субъектов доступа к чувствительной информации, внешних пользователей, прочих групп

· Описание типичного формата работы (с помощью baseline-метрик) пользователей с различными системами и данными, особенно с критичными

· Процессы авторизации и делегирования полномочий при взаимодействии пользователей и сервисов, а также между сервисами

· Зоны (контуры) доверия и взаимозависимости доверия внутри компании и внутри бизнес-направлений.

Для понимания пользователей и их действий, а также поведения сервисов и иных сущностей, SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Поддерживать в актуальном состоянии и использовать данные инвентаризации сервисов и активов

· Иметь доступ к системам авторизации пользователей и приложений

· Иметь компетенции внутри SOC по технологиям управления доступом и «нулевого доверия»

· Иметь доступ к базе знаний об архитектуре и дизайну использующихся систем управления доступом (например, к информации о AD-лесах и выстроенных отношениях доверия между доменами)

· Собирать информацию о событиях входа/выхода субъектов доступа, доступа пользователей к объектам, изменения объектов директорий

· Использовать и поддерживать UEBA-платформу на уровне, соответствующем потребностям SOC.

5. Понимание киберугроз

Понимание бизнеса компании-заказчика поможет SOC понять, какие типы внешних и внутренних злоумышленников и угроз будут актуальными и опасными. Для контекстуализации данных о киберугрозах SOC должен понимать:

5.1. Что именно в бизнесе заказчика будет представлять наибольший интерес для нарушителей? Целью атаки мгут быть, например, закрепление в инфраструктуре компании для дальнейших атак, получение выкупа после шифрования информации, кража интеллектуальной собственности и конфиденциальной информации.

5.2. Какие типы или группы атакующих с большой долей вероятности будут атаковать компанию? Атакующие могут быть случайными хакерами, инсайдерами, хактивистами, опытными киберпреступниками или членами APT-групп. Понимание возможностей актуальных нарушителей поможет корректно выстроить систему киберзащиты.

5.3. Какие киберинциденты случались у заказчика ранее? Понимание типов атакованных систем, скомпрометированных данных, влияния и последствий предыдущих киберинцидентов поможет приоритизировать усилия SOC.

В финале описания Стратегии №1 приводится ряд советов для того, чтобы постепенно повышать уровень ситуационной осведомленности SOC:

1. Следует постепенно, но непрерывно повышать уровень СО и не стремиться достичь всеобъемлющего понимания сразу

2. Следует проводить беседы и встречи с пользователями, экспертами, руководителями для получения их видения того, какие защитные меры требуется приоритизировать

3. Необходимо собирать перечень нормативных требований, которые применимы к деятельности SOC

4. Требуется проводить непрерывную оценку IT-среды, за которую отвечает SOC

5. Следует работать совместно с другими подразделениями компании для повышения СО, например, с ИТ-департаментом, руководителями, юристами

6. Нужно выявить высокоприоритетные системы и данные, затем получить информацию о них в бизнес-контексте и выстраивать модели их нормального поведения и работы с помощью baseline-метрик

7. Рекомендуется использовать средства автоматизации для хранения и контекстуализации информации

8. Вместе с руководителями компании следует непрерывно проверять понимание SOC приоритетов бизнеса

9. Следует выстраивать стандартные операционные процедуры (англ. standard operation procedures, SOPs) и TTPs для деятельности SOC, проводить учения и тренировки по сбору информации, уведомлению об инциденте, координации действий и предоставлению отчетности в рамках действий по защите приоритетных направлений бизнеса компании.