Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)

Руслан Рахметов, Security Vision

MITRE - это некоммерческая организация, основанная в 1958 году на базе научной лаборатории Массачусетского технологического института (MIT). В настоящий момент MITRE работает в различных направлениях, самым известным из которых является область кибербезопасности, включая такие проекты, как MITRE ATT&CK, CAPEC, CWE, CVE, STIX, MAEC. Совместная работа MITRE с различными SOC-центрами, коммерческими организациями, центрами исследований и разработок послужила основой для разработки методологии и лучших практик по управлению SOC-центрами, которые были представлены в 2014 году в публикации «10 стратегий SOC-центра мирового уровня» (англ. "Ten Strategies of a World-Class Cybersecurity Operations Center"). Публикация получила большую известность, а полученная обратная связь и изменения киберландшафта послужили причиной выпуска обновления публикации в марте 2022 года, которая теперь называется «11 стратегий SOC-центра мирового уровня». Авторами издания являются три человека с богатым и разнообразным опытом работы в ИБ, при этом они подчеркивают, что при написании широко использовались сторонние материалы, список которых предоставлен в Приложении «A» к указанной книге.

Издание предназначено не только для непосредственно сотрудников SOC, но и для всех, кто взаимодействует по вопросам обработки киберинцидентов (включая сотрудников департаментов ИБ, системных администраторов, специалистов по киберрискам и комплаенсу). Публикация предлагает методические рекомендации и практические приемы, изложенные в 11 стратегиях, которые помогут специалистам повысить эффективность проактивного и реактивного поиска, анализа, реагирования на киберугрозы.

Рекомендации из книги основаны на опыте работы зрелых SOC и содержат предложения по архитекторе, инструментам и процессам SOC, предлагают обоснования выделения ресурсов на SOC, описывают методы увеличения пользы инвестиций в сотрудников и технологии SOC, указывают на внешние условия, которые могут оказать влияние на успешность SOC. В новом издании рассмотрено управление киберинцидентами в различных средах, включая облачные, мобильные, OT-инфраструктуры, при этом внимание уделено таким популярным технологиям кибербезопасности, как SIEM, TIP, EDR, UEBA, SOAR, большие данные, машинное обучение, симуляторы атак и взломов.

Публикация «11 стратегий SOC-центра мирового уровня» начинается с вводной части, которую авторы условно обозначили «Стратегия №0»: в ней собраны базовые понятия и принципы работы SOC, даны определения важным терминам, описаны применяемые в SOC технологии. Обзору данной вводной стратегии посвящен настоящий пост.

Итак, в Стратегии №0 авторы книги перечисляют некоторые причины роста популярности SOC в последнее время (несмотря на то, что первые SOC-центры появились еще в 1990-х годах):

· рост числа APT-атак и эволюция тактик, техник и процедур (далее - TTPs: Tactics, Techniques and Procedures) атакующих

· цифровая трансформация бизнесов, диджитализация большинства процессов;

· размытие традиционного сетевого периметра вкупе с массовым переходом на удаленную работу из-за пандемии

· распространение и интеграция систем SCADA, АСУТП, элементов OT-инфраструктуры

· повышение информационного освещения вопросов кибербезопасности, вплоть до обсуждения на уровне ведущих мировых СМИ

· осознание важности кибербезопасности руководителями компаний по всему миру и включение киберрисков в общую структуру управления рисками во многих компаниях.

В публикации также дается определение SOC (англ. Security Operations Center, Центр мониторинга кибербезопасности) как команды, состоящей преимущественно из специалистов в области кибербезопасности, сформированной для предотвращения, выявления, анализа, реагирования на инциденты кибербезопасности и предоставления соответствующей отчетности. Основной задачей SOC является киберзащита своих клиентов/заказчиков (англ. constituency), которая подразумевает защиту от несанкционированных действий в киберпространстве, включая мониторинг, выявление, анализ, реагирование, восстановление после киберинцидентов. Заказчики могут быть внешними (в случае коммерческих SOC) или внутренними (в случае включения SOC в организационную структуру компании), которые пользуются услугами SOC по поиску, анализу, реагированию на кибервторжения, при этом SOC могут быть различными по структуре, функционалу, численности, ресурсам, а также могут именоваться по-разному. Например, зарубежом применяются такие термины, как Computer Security Incident Response Team (CSIRT), Computer Incident Response Team (CIRT), Computer Incident Response Center (CIRC). Кроме того, в литературе встречается также термин Computer Emergency Response Team (CERT), который является зарегистрированной торговой маркой Университета Карнеги-Меллона и был впервые использован в 1988 году во время эпидемии ВПО «Червь Морриса».

Объектами защиты SOC являются пользователи, сайты, IT/OT/облачные активы, данные, сети, организации, а также элементы IT-инфраструктуры (on-prem и удаленной), облачной, мобильной, OT-инфраструктуры заказчиков. Миссия типового SOC среднего размера может заключаться в выполнении следующих задач:

· Предотвращение киберинцидентов с помощью таких проактивных мер, как непрерывный мониторинг угроз, поиск уязвимостей, применение контрмер, консультирование заказчиков по вопросам политик ИБ и ИБ-архитектуры

· Мониторинг, выявление, анализ потенциальных кибервторжений в режиме реального времени и с помощью поиска следов воздействия атакующих, используя релевантные источники данных

· Реагирование на подтвержденные инциденты путем скоординированного выделения ресурсов и применения оперативных и релевантных контрмер

· Предоставление заказчикам ситуационной осведомленности и отчетности о состоянии киберзащищенности, инцидентах ИБ, тенденциях кибератакНастройка и эксплуатация технологий SOC (настройка источников данных с устройств и сетей, сбор событий безопасности, управление аналитическими системами).

В документе также даются определения некоторым терминам, применяемым в работе SOC:

· Событие (Event) - это зафиксированная ситуация в системе и/или сети;

· Предупреждение (Alert) - это уведомление о наступлении определенного события или серии событий;

· Киберинцидент - это действия, выполненные с использованием информационной системы или сети, которые привели к действительному или потенциальному негативному воздействию на информационную систему, сеть и/или обрабатываемую в них информацию;

·  Триаж - это процесс сортировки, категорирования и приоритизации входящих событий и иных запросов к ресурсам SOC.

Функции SOC зависят от зрелости SOC, задач заказчиков и масштабов защищаемых объектов, выделяемых ресурсов.

Функциональные категории и области деятельности SOC разделяются в публикации следующим образом:

1. Триаж, анализ, реагирование на киберинциденты:

1.1. Мониторинг и триаж предупреждений в режиме реального времени

1.2. Прием сообщений об инцидентах от заказчиков, из других SOC, от третьих лиц в письменной или устной форме

1.3. Анализ и расследование инцидентов, включая определение источника, масштаба и последствий инцидента с указанием степени уверенности в формируемых заключениях

1.4. Сдерживание, устранение, восстановление для снижения текущего негативного влияния инцидента и предотвращения повторных инцидентов

1.5. Координация действий по реагированию на инцидент путем сбора и передачи информации, управления и координации усилий совместно с заказчиками, ответственными лицами, другими SOC, третьими лицами

1.6. Форензический анализ артефактов инцидента для получения детальной информации о произошедшем, анализа содержимого носителей, построения timeline инцидента

1.7. Анализ ВПО для получения информации о происхождении, функционале, целях применяемого ВПО

1.8. Реагирование на инцидент с выездом на площадку к заказчику.

2. Управление данными о киберугрозах, поиск и анализ киберугроз:

2.1. Сбор, обработка, обогащение данных о киберугрозах с помощью TIP-систем, TI-фидов и отчетов о киберугрозах, обработка и интеграция данных о киберугрозах в системы SOC

2.2. Анализ и формирование сведений о киберугрозах для слежения за атакующими, корреляции и выявления тенденций в их поведении, последующей поддержки принятия риск-ориентированных решений путем формирования отчетов об атакующих, их TTPs, вредоносных кампаниях

2.3. Распространение и предоставление доступа к данным о киберугрозах партнерам, другим SOC, ИБ-сообществу

2.4. Поиск киберугроз (Threat Hunting) путем выполнения проактивных действий для обнаружения потенциально вредоносной активности, основываясь на предположении о том, что атакующие уже находятся в инфраструктуре или проводят атаку в настоящее время

2.5. Настройка сенсоров и аналитики, включая сопровождение и оптимизацию средств обнаружения, аналитических средств, сигнатур, правил корреляции и реагирования в системах SOC, включая решения EDR, SIEM, SOAR

2.6. Создание кастомизированных средств анализа и выявления кибератак на основе знаний о TTPs атакующих и инфраструктуре заказчика

2.7. Data Science и машинное обучение для поддержки функций SOC.

3. Расширенные функции SOC:

3.1. Эмуляция кибератак и аудиты, включая red и purple teaming, тестирование на проникновение, эмуляцию действий атакующих, атак и взломов для повышения эффективности SOC и возможностей по защите

3.2. Обман и запутывание атакующих для сокрытия структуры сетей и активов, направления хакеров по ложному следу

3.3. Борьба с инсайдерами путем выявления, анализа, проведения расследований вредоносной или аномальной активности легитимных пользователей.

4. Управление уязвимостями:

4.1. Инвентаризация активов путем сбора и сопровождения базы знаний об активах, сетях и сервисах заказчиков, построения их взаимосвязей, расчета уровней критичности и риска активов

4.2. Сканирование активов на наличие уязвимостей, получение информации о конфигурациях активов, статусе уязвимостей, установленном ПО и обновлениях для расчета уровня киберриска и комплаенс-статуса активов

4.3. Анализ уязвимостей путем систематического изучения информационных систем или программных продуктов для оценки адекватности применяемых защитных мер, выявления недостатков защиты, оценки эффективности предлагаемых контрмер и подтверждения их корректной имплементации

4.4. Получение и анализ отчетов об уязвимостях от исследователей для применения соответствующих компенсирующих мер

4.5. Поиск, исследование, анализ неизвестных ранее уязвимостей путем обработки инцидентов, сбора данных о киберугрозах, проведения реверс-инжиниринга с дальнейшей передачей полученной информации другим SOC, вендорам, заказчикам

4.6. Установка обновлений безопасности, снижение риска эксплуатации уязвимостей.

5. Инструменты, архитектура, инжиниринг SOC:

5.1. Создание архитектуры мониторинга, аналитики, операционной среды SOC, включая интеграцию различных решений и компонент, а также оценку возможности применения различных продуктов

5.2. Развертывание, настройка, поддержка, эксплуатация сетевых средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.3. Развертывание, настройка, поддержка, эксплуатация хостовых средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.4. Развертывание, настройка, поддержка, эксплуатация облачных средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.5. Развертывание, настройка, поддержка, эксплуатация средств защиты для мобильных устройств, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.6. Развертывание, настройка, поддержка, эксплуатация средств защиты для OT-инфраструктуры, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.7. Развертывание, настройка, поддержка, эксплуатация аналитических платформ (таких как SIEM, SOAR, TIP, UEBA, решений для анализа больших данных), включая создание и поддержку сетевых соединений и передачи данных между решениями

5.8. Развертывание, настройка, поддержка, эксплуатация элементов операционной среды SOC, таких как тестовые среды, серверы, АРМ, принтеры, файловые ресурсы и сетевое оборудование SOC

5.9. Создание кастомизированных инструментов и систем для выполнения задач SOC в случае отсутствия подходящих готовых решений.

6. Ситуационная осведомленность, взаимодействие, тренинги:

6.1. Обеспечение ситуационной осведомленности заказчика о состоянии киберзащищенности путем передачи ему сведений об активах, рисках, киберугрозах, инцидентах, уязвимостях в целях повышения уровня кибербезопасности заказчика; взаимодействие с заказчиками и внешними организациями для обмена информацией и совместной работы

6.2. Проведение внутреннего обучения и тренингов для работников SOC в целях повышения их профессионального уровня

6.3. Проведение внешнего обучения и тренингов для работников заказчика для повышения их осведомленности в вопросах кибербезопасности

6.4. Проведение киберучений и тренировок для подготовки к реагированию на киберинциденты.

7. Руководство и управление SOC:

7.1. Управление операционной деятельностью SOC для решения повседневных задач, включая управление финансами и персоналом

7.2. Планирование деятельности, разработка стратегии, улучшение внутренних процессов SOC путем анализа «выученных уроков», оценки текущего состояния, выявления новых возможностей для развития SOC

7.3. Обеспечение непрерывности деятельности SOC путем создания и оценки планов поддержания бизнес-процессов SOC во время и после сбоев

7.4. Разработка, измерение, предоставление отчетности по метрикам (показателям) эффективности операционных процессов, результатов деятельности SOC, состояния ситуационной осведомленности заказчика.

В Стратегии №0 авторы также выделяют несколько важных общих тезисов для эффективной работы SOC:

1. Важность постепенного повышения уровня зрелости SOC от выдачи рекомендаций, контекстуализации и обогащении данных об инцидентах до автоматизации реагирования на киберинциденты

2. Необходимость широкого применения средств автоматизации работы SOC, начиная с самых ранних этапов развития кибератаки; при этом подчеркивается, что на текущий момент средства автоматизации не могут полностью заменить квалифицированного аналитика, который принимает итоговое решение

3. Наличие возможностей по обнаружению кибератаки до проникновения атакующих в инфраструктуру (left of hack) и по сдерживанию атакующих после их закрепления в атакованной сети (right of hack)

4. Эффективность выявления и реагирования на инциденты ИБ зависит от возможностей SOC по охвату всех этапов жизненного цикла кибератаки вкупе с пониманием TTPs злоумышленников на каждом из этапов

5. Важность скорости работы персонала, процессов, технологий SOC и глубокого понимания инфраструктуры заказчика, что позволяет опережать атакующих во время кибератаки, действуя проактивно и реактивно.