| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Как правило, кибербезопасность для подавляющего большинства компаний и организаций является не основной целью, а поддерживающей функцией, которая обеспечивает выполнение миссии компании. Это означает, что для SOC чрезвычайно важно понимать контекст событий ИБ, которые он обрабатывает, и приоритизировать большое количество поступающей информации. Этого можно достичь только четко понимая, что именно и почему защищает SOC.
Для эффективного предоставления услуг заказчикам SOC должен понимать, поддерживать и обмениваться данными ситуационной осведомленности (далее - СО) (англ. Situational Awareness, SA). СО можно определить как восприятие состояния кибербезопасности и ландшафта киберугроз заказчика во времени и пространстве, понимание их взаимосвязи (т.е. киберриска), а также прогнозирование их статуса на ближайшее будущее. Цикл принятия ситуационно-ориентированных решений соответствует циклу OODA (англ. observe, orient, decide, act - наблюдение, ориентирование, принятие решения, выполнение). В SOC все аналитики, иногда неосознанно, выполняют действия в соответствии с OODA-циклом, который может длиться от минут до месяцев, при этом происходит непрерывное повышение СО операторов об инфраструктуре заказчика и актуальных для него киберугрозах. Достижение SOC качественной СО занимает длительное время, но это позволяет предоставлять заказчику оперативную актуальную информацию и отвечать на вопросы вида:
· Каково состояние кибербезопасности компании в текущий момент времени?
· Какие последствия будут у успешной кибератаки, включая последствия для предоставляемых и потребляемых услуг?
· Какие злоумышленники являются реальной угрозой для компании?
· Каким образом злоумышленники атакуют компанию и каковы их цели?
· Как лучше реагировать на эти кибератаки?
· Каково состояние установки обновлений безопасности в инфраструктуре компании, установку каких патчей следует приоритизировать?
· К каким системам следует применить определенный набор мер защиты для наиболее эффективной минимизации киберрисков?
· Как изменяются киберугрозы, направленные на компанию, как меняются TTPs атакующих, что нужно компании для мониторинга и защиты от этих новых угроз?
· Кто из сотрудников или контрагентов компании выполняет нехарактерные действия, и является ли это угрозой?
СО в контексте SOC может быть разделена на следующие 5 областей:
1. Понимание бизнеса и миссии заказчика.
SOC должен понимать фундаментальные цели деятельности компании-заказчика и бизнес-процессы: какие продукты и услуги предлагает компания, какие у нее есть основные потребители, географические точки присутствия, взаимоотношения с третьими лицами (поставщиками, дистрибьюторами, подрядчиками). Понимание миссии компании поможет SOC понять, какие есть основные угрозы (например, для интеллектуальной собственности, выполнения финансовых транзакций, электронной коммерции и т.д.) и какие свойства безопасности информации являются наиболее критичными для тех или иных бизнес-процессов компании (например, конфиденциальность персональных данных клиентов, целостность обрабатываемой информации на фондовой бирже, доступность веб-сервисов для покупателей).
Для эффективного выполнения своих функций SOC должен понимать основной контекст бизнес-миссии заказчика, включая:
· Основные направления ведения бизнеса (англ. lines of business), включая все обеспечивающие службы и функции, а также соответствующие показатели выручки и затрат
· Географические и физические локации осуществления бизнес-процессов
· Соответствие и взаимосвязи между направлениями ведения бизнеса и цифровыми активами, службами, данными, местами хранения информации
· Деловые взаимоотношения между компанией-заказчиком и другими компаниями, организациями, государственными учреждениями.
Для понимания бизнеса заказчика SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:
· Нанимать в SOC сотрудников, у которых есть опыт работы в бизнес-подразделениях компании-заказчика
· Взаимодействовать на постоянной основе с сотрудниками компании, компетентными в области ИБ (англ. security champions, «чемпионы по кибербезопасности»), и по возможности включать их в штатную структуру SOC
· Взаимодействовать на постоянной основе с руководителями компании и владельцами информационных систем, предоставляя информацию о мерах, принимаемых SOC для их защиты, а также получая актуальную информацию об изменениях в их бизнес-процессах
· Обеспечивать проведение регулярных технических тренировок и учений-симуляций для владельцев основных информационных систем
· Поддерживать и эффективно эксплуатировать систему учета информационных активов и сервисов
· Вовлекать и задействовать ИБ-подразделения компании для оценки киберрисков и критичности инцидентов
· Проводить регулярные брифинги в SOC по ключевым аспектам бизнес-деятельности, либо привлекая сотрудников SOC, либо приглашая представителей бизнес-подразделений
· Учитывать информацию о бизнес-процессе при принятии сервиса на мониторинг в SOC
· Поддерживать актуальную информацию о бизнес-подразделениях, например через реестр сервисов.
2. Понимание применимых юридических, регуляторных и нормативных требований.
SOC функционирует в определенном правовом поле, которое регулируется законодательными требованиями страны присутствия бизнес-подразделений, отраслевыми ограничениями, а также иными возможными нормативными требованиями. SOC должен работать совместно с юридическим департаментом компании для учета следующих возможных юридических аспектов функционирования:
· Типы применимых правовых систем
· Типы применимых законодательных требований (например, уголовное законодательство, законодательство о защите интеллектуальной собственности или персональных данных)
· Роль SOC в соответствии применимым юридическим и регуляторным требованиям
· Применимые отраслевые стандарты (например, правила уведомления о киберинцидентах, стандарты хранения персональных данных).
Для понимания применимых юридических, регуляторных и нормативных требований SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:
· Назначение контактных лиц по юридическим вопросам (например, координаторов проведения аудитов и юрисконсультов)
· Разработка внутренних нормативных документов SOC, которые описывают ответственность SOC в разрезе выполнения требований нормативных документов
· Разработка руководства по выполнению определенных юридически значимых действий (например, по сбору компьютерной криминалистической информации)
· Составление списка внутренних контактных лиц, ответственных за поддержку проведения регулярных аудитов.
3. Понимание технической среды, критических систем и данных
Одним из препятствий для эффективной работы SOC может стать отсутствие видимости и недостаточное понимание элементов защищаемой информационной инфраструктуры, систем, данных, сетевого трафика. В идеальном случае SOC должен иметь информацию обо всех системах и данных заказчика, но это может быть сложной задачей, поэтому можно сосредоточиться на таких аспектах, как:
3.1. Расположение цифровых активов заказчика:
· Географическое расположение элементов IT и OT инфраструктуры
· Количество, тип, расположение, сетевая связность IT- и OT-активов, включая ПК, серверы, сетевые и мобильные устройства, IoT-устройства
· Сетевая топология, включая физическую и логическую связность, границы между сетевыми сегментами, внешние точки подключения
· Архитектура активов, сетей, приложений (включая информацию об аутентификции, контроле доступа, аудите)
· Места хранения информации (например, закрытая сеть, облако, мобильные устройства).
3.2. Уровень критичности цифровых активов заказчика:
· Самые важные типы информации и места ее обработки и хранения
· Какие системы выполняют критичные для компании функции и к каким данным предъявляются повышенные требования по конфиденциальности, целостности, доступности.
3.3. Состояние цифровых активов заказчика:
· Какое состояние считается нормальным (штатным) для активов в основных сетевых сегментах и на устройствах
· Изменения в состоянии активов, например, изменения в конфигурации, поведении устройства, используемых портов и протоколов, объеме сетевого трафика
· Уязвимости устройств и приложений, примененные контрмеры для снижения возможности эксплуатации уязвимостей.
Для понимания технической среды, инфраструктуры и данных заказчика SOC совместно с IT-, OT- и сетевыми администраторами, а также с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:
· Участвовать и поддерживать проведение комплексной инвентаризации IT и OT-активов, включая поддержку актуальности сетевых схем и диаграмм основных информационных систем, сбор и анализ отчетов о сканировании на наличие уязвимостей, сопровождение и использование списка ответственных за системы работников компании-заказчика
· Иметь доступ к основным системам заведения заявок в IT и к трекинг-системам, использующимся для управления IT-изменениями
· Собирать данные телеметрии и поддерживать доступ к источникам событий ИБ, включая приложения и базы данных для основных приложений и хранилищ информации
· Использовать сетевые сенсоры, хостовые сенсоры, анализ больших данных, системы Log Management и SIEM.
В публикации «11 стратегий SOC-центра мирового уровня» также подчеркивается важность построения и поддержания в актуальном состоянии перечня защищаемых активов и их свойств, используя все доступные разнородные источники данных, которых может быть особенно много в крупных компаниях. Инвентаризационную информацию следует получать не только с on-prem устройств, но и из облачных инфраструктур (PaaS и SaaS, облачные хранилища), а также учитывать IoT-устройства и хосты, которые могут быть изолированы от сети. Данные об ИТ-активах можно получать из таких источников, как:
· LDAP-каталоги, службы Active Directory
· Данные DHCP
· Инвентаризационные данные от различных подразделений (представленные в различных форматах, от Excel-таблиц до данных из комплексных систем инвентаризации)
· Инвентаризационные данные из облачных инфраструктур
· Данные из MDM и EDR решений, включая события обнаружения неизвестных устройств
· Данные сканеров сети
· Данные сканеров уязвимостей
· ИБ-решения, которые строят список активов на основании обработанных событий ИБ (например, таким функционалом могут обладать SIEM и UEBA системы, некоторые межсетевые экраны)
· Системы управления конфигурациями, обновлениями безопасности, распространением ПО (например, Microsoft SCCM, HCL BigFix, Ivanti Unified Endpoint Manager).
4. Понимание пользователей и их поведения, а также сервисных взаимодействий
Команда SOC должна понимать, какие типичные действия выполняются пользователями при выполнении служебных обязанностей, а также учитывать контекст бизнес-процессов заказчика. Данную аналитику, зачастую с применением алгоритмов машинного обучения, позволяют вести UEBA-платформы, которые контролируют поведение пользователей и технологий, а затем выявляют аномалии и подозрительные действия. Для эффективной работы SOC должен понимать:
· Значение действий пользователей и сущностей (субъектов доступа) в корпоративной сети и на устройствах заказчика, с учетом бизнес-контекста
· Роль, важность, профиль основных групп пользователей, включая системных администраторов, руководителей и административного персонала, субъектов доступа к чувствительной информации, внешних пользователей, прочих групп
· Описание типичного формата работы (с помощью baseline-метрик) пользователей с различными системами и данными, особенно с критичными
· Процессы авторизации и делегирования полномочий при взаимодействии пользователей и сервисов, а также между сервисами
· Зоны (контуры) доверия и взаимозависимости доверия внутри компании и внутри бизнес-направлений.
Для понимания пользователей и их действий, а также поведения сервисов и иных сущностей, SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:
· Поддерживать в актуальном состоянии и использовать данные инвентаризации сервисов и активов
· Иметь доступ к системам авторизации пользователей и приложений
· Иметь компетенции внутри SOC по технологиям управления доступом и «нулевого доверия»
· Иметь доступ к базе знаний об архитектуре и дизайну использующихся систем управления доступом (например, к информации о AD-лесах и выстроенных отношениях доверия между доменами)
· Собирать информацию о событиях входа/выхода субъектов доступа, доступа пользователей к объектам, изменения объектов директорий
· Использовать и поддерживать UEBA-платформу на уровне, соответствующем потребностям SOC.
5. Понимание киберугроз
Понимание бизнеса компании-заказчика поможет SOC понять, какие типы внешних и внутренних злоумышленников и угроз будут актуальными и опасными. Для контекстуализации данных о киберугрозах SOC должен понимать:
5.1. Что именно в бизнесе заказчика будет представлять наибольший интерес для нарушителей? Целью атаки мгут быть, например, закрепление в инфраструктуре компании для дальнейших атак, получение выкупа после шифрования информации, кража интеллектуальной собственности и конфиденциальной информации.
5.2. Какие типы или группы атакующих с большой долей вероятности будут атаковать компанию? Атакующие могут быть случайными хакерами, инсайдерами, хактивистами, опытными киберпреступниками или членами APT-групп. Понимание возможностей актуальных нарушителей поможет корректно выстроить систему киберзащиты.
5.3. Какие киберинциденты случались у заказчика ранее? Понимание типов атакованных систем, скомпрометированных данных, влияния и последствий предыдущих киберинцидентов поможет приоритизировать усилия SOC.
В финале описания Стратегии №1 приводится ряд советов для того, чтобы постепенно повышать уровень ситуационной осведомленности SOC:
1. Следует постепенно, но непрерывно повышать уровень СО и не стремиться достичь всеобъемлющего понимания сразу
2. Следует проводить беседы и встречи с пользователями, экспертами, руководителями для получения их видения того, какие защитные меры требуется приоритизировать
3. Необходимо собирать перечень нормативных требований, которые применимы к деятельности SOC
4. Требуется проводить непрерывную оценку IT-среды, за которую отвечает SOC
5. Следует работать совместно с другими подразделениями компании для повышения СО, например, с ИТ-департаментом, руководителями, юристами
6. Нужно выявить высокоприоритетные системы и данные, затем получить информацию о них в бизнес-контексте и выстраивать модели их нормального поведения и работы с помощью baseline-метрик
7. Рекомендуется использовать средства автоматизации для хранения и контекстуализации информации
8. Вместе с руководителями компании следует непрерывно проверять понимание SOC приоритетов бизнеса
9. Следует выстраивать стандартные операционные процедуры (англ. standard operation procedures, SOPs) и TTPs для деятельности SOC, проводить учения и тренировки по сбору информации, уведомлению об инциденте, координации действий и предоставлению отчетности в рамках действий по защите приоритетных направлений бизнеса компании.