SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
24.04.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

MITRE - это некоммерческая организация, основанная в 1958 году на базе научной лаборатории Массачусетского технологического института (MIT). В настоящий момент MITRE работает в различных направлениях, самым известным из которых является область кибербезопасности, включая такие проекты, как MITRE ATT&CK, CAPEC, CWE, CVE, STIX, MAEC. Совместная работа MITRE с различными SOC-центрами, коммерческими организациями, центрами исследований и разработок послужила основой для разработки методологии и лучших практик по управлению SOC-центрами, которые были представлены в 2014 году в публикации «10 стратегий SOC-центра мирового уровня» (англ. "Ten Strategies of a World-Class Cybersecurity Operations Center"). Публикация получила большую известность, а полученная обратная связь и изменения киберландшафта послужили причиной выпуска обновления публикации в марте 2022 года, которая теперь называется «11 стратегий SOC-центра мирового уровня». Авторами издания являются три человека с богатым и разнообразным опытом работы в ИБ, при этом они подчеркивают, что при написании широко использовались сторонние материалы, список которых предоставлен в Приложении «A» к указанной книге.


Издание предназначено не только для непосредственно сотрудников SOC, но и для всех, кто взаимодействует по вопросам обработки киберинцидентов (включая сотрудников департаментов ИБ, системных администраторов, специалистов по киберрискам и комплаенсу). Публикация предлагает методические рекомендации и практические приемы, изложенные в 11 стратегиях, которые помогут специалистам повысить эффективность проактивного и реактивного поиска, анализа, реагирования на киберугрозы.


Рекомендации из книги основаны на опыте работы зрелых SOC и содержат предложения по архитекторе, инструментам и процессам SOC, предлагают обоснования выделения ресурсов на SOC, описывают методы увеличения пользы инвестиций в сотрудников и технологии SOC, указывают на внешние условия, которые могут оказать влияние на успешность SOC. В новом издании рассмотрено управление киберинцидентами в различных средах, включая облачные, мобильные, OT-инфраструктуры, при этом внимание уделено таким популярным технологиям кибербезопасности, как SIEM, TIP, EDR, UEBA, SOAR, большие данные, машинное обучение, симуляторы атак и взломов.


Публикация «11 стратегий SOC-центра мирового уровня» начинается с вводной части, которую авторы условно обозначили «Стратегия №0»: в ней собраны базовые понятия и принципы работы SOC, даны определения важным терминам, описаны применяемые в SOC технологии. Обзору данной вводной стратегии посвящен настоящий пост.


Итак, в Стратегии №0 авторы книги перечисляют некоторые причины роста популярности SOC в последнее время (несмотря на то, что первые SOC-центры появились еще в 1990-х годах):

· рост числа APT-атак и эволюция тактик, техник и процедур (далее - TTPs: Tactics, Techniques and Procedures) атакующих

· цифровая трансформация бизнесов, диджитализация большинства процессов;

· размытие традиционного сетевого периметра вкупе с массовым переходом на удаленную работу из-за пандемии

· распространение и интеграция систем SCADA, АСУТП, элементов OT-инфраструктуры

· повышение информационного освещения вопросов кибербезопасности, вплоть до обсуждения на уровне ведущих мировых СМИ

· осознание важности кибербезопасности руководителями компаний по всему миру и включение киберрисков в общую структуру управления рисками во многих компаниях.


В публикации также дается определение SOC (англ. Security Operations Center, Центр мониторинга кибербезопасности) как команды, состоящей преимущественно из специалистов в области кибербезопасности, сформированной для предотвращения, выявления, анализа, реагирования на инциденты кибербезопасности и предоставления соответствующей отчетности. Основной задачей SOC является киберзащита своих клиентов/заказчиков (англ. constituency), которая подразумевает защиту от несанкционированных действий в киберпространстве, включая мониторинг, выявление, анализ, реагирование, восстановление после киберинцидентов. Заказчики могут быть внешними (в случае коммерческих SOC) или внутренними (в случае включения SOC в организационную структуру компании), которые пользуются услугами SOC по поиску, анализу, реагированию на кибервторжения, при этом SOC могут быть различными по структуре, функционалу, численности, ресурсам, а также могут именоваться по-разному. Например, зарубежом применяются такие термины, как Computer Security Incident Response Team (CSIRT), Computer Incident Response Team (CIRT), Computer Incident Response Center (CIRC). Кроме того, в литературе встречается также термин Computer Emergency Response Team (CERT), который является зарегистрированной торговой маркой Университета Карнеги-Меллона и был впервые использован в 1988 году во время эпидемии ВПО «Червь Морриса».


Объектами защиты SOC являются пользователи, сайты, IT/OT/облачные активы, данные, сети, организации, а также элементы IT-инфраструктуры (on-prem и удаленной), облачной, мобильной, OT-инфраструктуры заказчиков. Миссия типового SOC среднего размера может заключаться в выполнении следующих задач:

· Предотвращение киберинцидентов с помощью таких проактивных мер, как непрерывный мониторинг угроз, поиск уязвимостей, применение контрмер, консультирование заказчиков по вопросам политик ИБ и ИБ-архитектуры

· Мониторинг, выявление, анализ потенциальных кибервторжений в режиме реального времени и с помощью поиска следов воздействия атакующих, используя релевантные источники данных

· Реагирование на подтвержденные инциденты путем скоординированного выделения ресурсов и применения оперативных и релевантных контрмер

· Предоставление заказчикам ситуационной осведомленности и отчетности о состоянии киберзащищенности, инцидентах ИБ, тенденциях кибератакНастройка и эксплуатация технологий SOC (настройка источников данных с устройств и сетей, сбор событий безопасности, управление аналитическими системами).


В документе также даются определения некоторым терминам, применяемым в работе SOC:

· Событие (Event) - это зафиксированная ситуация в системе и/или сети;

· Предупреждение (Alert) - это уведомление о наступлении определенного события или серии событий;

· Киберинцидент - это действия, выполненные с использованием информационной системы или сети, которые привели к действительному или потенциальному негативному воздействию на информационную систему, сеть и/или обрабатываемую в них информацию;

·  Триаж - это процесс сортировки, категорирования и приоритизации входящих событий и иных запросов к ресурсам SOC.


Функции SOC зависят от зрелости SOC, задач заказчиков и масштабов защищаемых объектов, выделяемых ресурсов.

Функциональные категории и области деятельности SOC разделяются в публикации следующим образом:

1. Триаж, анализ, реагирование на киберинциденты:

1.1. Мониторинг и триаж предупреждений в режиме реального времени

1.2. Прием сообщений об инцидентах от заказчиков, из других SOC, от третьих лиц в письменной или устной форме

1.3. Анализ и расследование инцидентов, включая определение источника, масштаба и последствий инцидента с указанием степени уверенности в формируемых заключениях

1.4. Сдерживание, устранение, восстановление для снижения текущего негативного влияния инцидента и предотвращения повторных инцидентов

1.5. Координация действий по реагированию на инцидент путем сбора и передачи информации, управления и координации усилий совместно с заказчиками, ответственными лицами, другими SOC, третьими лицами

1.6. Форензический анализ артефактов инцидента для получения детальной информации о произошедшем, анализа содержимого носителей, построения timeline инцидента

1.7. Анализ ВПО для получения информации о происхождении, функционале, целях применяемого ВПО

1.8. Реагирование на инцидент с выездом на площадку к заказчику.


2. Управление данными о киберугрозах, поиск и анализ киберугроз:

2.1. Сбор, обработка, обогащение данных о киберугрозах с помощью TIP-систем, TI-фидов и отчетов о киберугрозах, обработка и интеграция данных о киберугрозах в системы SOC

2.2. Анализ и формирование сведений о киберугрозах для слежения за атакующими, корреляции и выявления тенденций в их поведении, последующей поддержки принятия риск-ориентированных решений путем формирования отчетов об атакующих, их TTPs, вредоносных кампаниях

2.3. Распространение и предоставление доступа к данным о киберугрозах партнерам, другим SOC, ИБ-сообществу

2.4. Поиск киберугроз (Threat Hunting) путем выполнения проактивных действий для обнаружения потенциально вредоносной активности, основываясь на предположении о том, что атакующие уже находятся в инфраструктуре или проводят атаку в настоящее время

2.5. Настройка сенсоров и аналитики, включая сопровождение и оптимизацию средств обнаружения, аналитических средств, сигнатур, правил корреляции и реагирования в системах SOC, включая решения EDR, SIEM, SOAR

2.6. Создание кастомизированных средств анализа и выявления кибератак на основе знаний о TTPs атакующих и инфраструктуре заказчика

2.7. Data Science и машинное обучение для поддержки функций SOC.


3. Расширенные функции SOC:

3.1. Эмуляция кибератак и аудиты, включая red и purple teaming, тестирование на проникновение, эмуляцию действий атакующих, атак и взломов для повышения эффективности SOC и возможностей по защите

3.2. Обман и запутывание атакующих для сокрытия структуры сетей и активов, направления хакеров по ложному следу

3.3. Борьба с инсайдерами путем выявления, анализа, проведения расследований вредоносной или аномальной активности легитимных пользователей.


4. Управление уязвимостями:

4.1. Инвентаризация активов путем сбора и сопровождения базы знаний об активах, сетях и сервисах заказчиков, построения их взаимосвязей, расчета уровней критичности и риска активов

4.2. Сканирование активов на наличие уязвимостей, получение информации о конфигурациях активов, статусе уязвимостей, установленном ПО и обновлениях для расчета уровня киберриска и комплаенс-статуса активов

4.3. Анализ уязвимостей путем систематического изучения информационных систем или программных продуктов для оценки адекватности применяемых защитных мер, выявления недостатков защиты, оценки эффективности предлагаемых контрмер и подтверждения их корректной имплементации

4.4. Получение и анализ отчетов об уязвимостях от исследователей для применения соответствующих компенсирующих мер

4.5. Поиск, исследование, анализ неизвестных ранее уязвимостей путем обработки инцидентов, сбора данных о киберугрозах, проведения реверс-инжиниринга с дальнейшей передачей полученной информации другим SOC, вендорам, заказчикам

4.6. Установка обновлений безопасности, снижение риска эксплуатации уязвимостей.


5. Инструменты, архитектура, инжиниринг SOC:

5.1. Создание архитектуры мониторинга, аналитики, операционной среды SOC, включая интеграцию различных решений и компонент, а также оценку возможности применения различных продуктов

5.2. Развертывание, настройка, поддержка, эксплуатация сетевых средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.3. Развертывание, настройка, поддержка, эксплуатация хостовых средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.4. Развертывание, настройка, поддержка, эксплуатация облачных средств защиты, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.5. Развертывание, настройка, поддержка, эксплуатация средств защиты для мобильных устройств, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.6. Развертывание, настройка, поддержка, эксплуатация средств защиты для OT-инфраструктуры, включая создание и поддержку сетевых соединений и передачи данных между решениями

5.7. Развертывание, настройка, поддержка, эксплуатация аналитических платформ (таких как SIEM, SOAR, TIP, UEBA, решений для анализа больших данных), включая создание и поддержку сетевых соединений и передачи данных между решениями

5.8. Развертывание, настройка, поддержка, эксплуатация элементов операционной среды SOC, таких как тестовые среды, серверы, АРМ, принтеры, файловые ресурсы и сетевое оборудование SOC

5.9. Создание кастомизированных инструментов и систем для выполнения задач SOC в случае отсутствия подходящих готовых решений.


6. Ситуационная осведомленность, взаимодействие, тренинги:

6.1. Обеспечение ситуационной осведомленности заказчика о состоянии киберзащищенности путем передачи ему сведений об активах, рисках, киберугрозах, инцидентах, уязвимостях в целях повышения уровня кибербезопасности заказчика; взаимодействие с заказчиками и внешними организациями для обмена информацией и совместной работы

6.2. Проведение внутреннего обучения и тренингов для работников SOC в целях повышения их профессионального уровня

6.3. Проведение внешнего обучения и тренингов для работников заказчика для повышения их осведомленности в вопросах кибербезопасности

6.4. Проведение киберучений и тренировок для подготовки к реагированию на киберинциденты.


7. Руководство и управление SOC:

7.1. Управление операционной деятельностью SOC для решения повседневных задач, включая управление финансами и персоналом

7.2. Планирование деятельности, разработка стратегии, улучшение внутренних процессов SOC путем анализа «выученных уроков», оценки текущего состояния, выявления новых возможностей для развития SOC

7.3. Обеспечение непрерывности деятельности SOC путем создания и оценки планов поддержания бизнес-процессов SOC во время и после сбоев

7.4. Разработка, измерение, предоставление отчетности по метрикам (показателям) эффективности операционных процессов, результатов деятельности SOC, состояния ситуационной осведомленности заказчика.

 

В Стратегии №0 авторы также выделяют несколько важных общих тезисов для эффективной работы SOC:

1. Важность постепенного повышения уровня зрелости SOC от выдачи рекомендаций, контекстуализации и обогащении данных об инцидентах до автоматизации реагирования на киберинциденты

2. Необходимость широкого применения средств автоматизации работы SOC, начиная с самых ранних этапов развития кибератаки; при этом подчеркивается, что на текущий момент средства автоматизации не могут полностью заменить квалифицированного аналитика, который принимает итоговое решение

3. Наличие возможностей по обнаружению кибератаки до проникновения атакующих в инфраструктуру (left of hack) и по сдерживанию атакующих после их закрепления в атакованной сети (right of hack)

4. Эффективность выявления и реагирования на инциденты ИБ зависит от возможностей SOC по охвату всех этапов жизненного цикла кибератаки вкупе с пониманием TTPs злоумышленников на каждом из этапов

5. Важность скорости работы персонала, процессов, технологий SOC и глубокого понимания инфраструктуры заказчика, что позволяет опережать атакующих во время кибератаки, действуя проактивно и реактивно.

SOC Управление ИБ Стандарты ИБ ГОСТы и документы ИБ Подкасты ИБ MITRE

Рекомендуем

Принципы информационной безопасности
Принципы информационной безопасности
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Статический анализ исходного кода
Статический анализ исходного кода
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками

Рекомендуем

Принципы информационной безопасности
Принципы информационной безопасности
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Статический анализ исходного кода
Статический анализ исходного кода
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками

Похожие статьи

Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Модель зрелости SOAR
Модель зрелости SOAR
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision

Похожие статьи

Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Модель зрелости SOAR
Модель зрелости SOAR
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision