
Построение центров мониторинга (SOC) и центров реагирования (IRP) информационной безопасности
Выполнение требований
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проблематика
В последнее время резко возрос интерес к проблематике информационной безопасности как со стороны государства, так и со стороны бизнеса. Сформировался устойчивый тренд на создание операционных Центров мониторинга информационной безопасности (англ. Security Operations Center, SOC). Данные Центры являются сочетанием специалистов, процессов и технологий, которые решают задачи мониторинга состояния информационной безопасности в организации и объединяют в себе соответствующие компетенции и процессы. Такие Центры могут как оказывать услуги по мониторингу информационной безопасности внешнему клиенту, т.е. заказчику услуги MSSP (Managed Security Service Provider, провайдер услуг по управлению безопасностью) или MDR (Managed Detectionand Response, провайдер услуг по мониторингу и реагированию на киберинциденты), так и выполнять аналогичные функции внутри компании (в таком случае заказчик будет считаться внутренним).
Процесс мониторинга информационной безопасности включает в себя:
· сбор, агрегацию, таксономию, корреляцию и анализ событий информационной безопасности (ИБ),
· классификацию событий и потенциальных инцидентов ИБ,
· реагирование на инциденты ИБ, в том числе и автоматизированное,
· пост-анализ, проведение внутренних проверок (расследований), восстановление, улучшение процесса мониторинга.
Кроме того, зачастую Центры мониторинга информационной безопасности решают дополнительные задачи, такие как управление активами, уязвимостями, выдача рекомендаций по устранению причин возникновения инцидентов ИБ, обслуживание средств защиты информации, реверс-инжиниринг вредоносного ПО, проведение аудитов ИБ и тестов на проникновение, кибер-разведка, форензика (компьютерное криминалистическое исследование).
Центры мониторинга информационной безопасности можно условно разделить по объему решаемых ими задач и по количеству обслуживаемых пользователей/узлов информационных систем на виртуальные (представляют из себя подобие проектных групп), малые (обслуживают не более 5000 пользователей/узлов сети), большие (обслуживают не более 50000 пользователей/узлов сети), многоуровневые (обслуживают не более 500000 пользователей/узлов сети) и национальные (работающие в масштабах субъектов государства).
Сотрудники – члены Центров мониторинга информационной безопасности – как правило имеют одну или несколько совмещенных ролей. Основными ролями в SOC являются:
· сотрудник 1-ой линии реагирования,
· сотрудник 2-ой линии реагирования,
· сотрудник 3-ой линии реагирования / аналитик информационной безопасности,
· сотрудник, обслуживающий технические компоненты (технологии) Центра, такие, как системы управления журналами событий (Log Management, LM) системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM), системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS), системы управления информационной безопасностью (SGRC),
· сотрудники кибер-разведки, аналитики вредоносного ПО, реверс-инженеры, специалисты по форензике, пен-тестеры.
Следует отметить, что под определение Центров мониторинга информационной безопасности формально подпадают и Центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), однако отличие заключается в том, что деятельность Центров мониторинга информационной безопасности может определяться внутренним документам организации, а деятельность Центров ГосСОПКА регламентируется законодательно.
Основными инструментами при построении Центров мониторинга информационной безопасности являются:
· системы управления журналами событий (Log Management, LM),
· системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM),
· системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS),
· системы автоматизации реагирования на инциденты ИБ (Incident Response Platform, IRP),
· системы управления информационной безопасностью (SGRC),
· средства и системы защиты и мониторинга функционирования, включая встроенные в ОС и оборудование, которые подключаются в качестве источников событий ИБ к LM/SIEM-системам.
В целом, основными рабочими инструментами сотрудников SOC являются как раз LM/SIEM-системы, которые осуществляют сбор, агрегацию, хранение, а в случае SIEM-систем еще и таксономию с корреляцией событий ИБ, а также предоставляют инструменты для анализа таких событий сотрудникам Центра мониторинга. Также следует отметить немаловажную роль систем IRP, которые позволяют операторам SOC-центров автоматизировать шаблонные ручные операции, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы.
Кроме того, существуют законодательные и нормативные требования стандартов, в том числе отраслевых и международных, по сбору, хранению и аудиту событий ИБ, а также по реагированию на инциденты ИБ. В частности, стандарты СТО БР ИББС-1.3-2016, ISO/IEC 27035:2016, NIST SP 800-61, HIPAA, SOX, PCI DSS как определяют сроки хранения журналов событий информационной безопасности, так и регулируют вопросы реагирования на инциденты ИБ.
Таким образом, для построения зрелой системы управления информационной безопасностью, для эффективного и оперативного решения инцидентов ИБ, а также для соответствия нормативным документам организациям, особенно из сегмента большого и среднего бизнеса, следует рассмотреть возможность создания своего Центра мониторинга информационной безопасности либо подключение к уже существующим коммерческим Центрам, работающим по сервисной модели MSSP/MDR.
В последнее время резко возрос интерес к проблематике информационной безопасности как со стороны государства, так и со стороны бизнеса. Сформировался устойчивый тренд на создание операционных Центров мониторинга информационной безопасности (англ. Security Operations Center, SOC). Данные Центры являются сочетанием специалистов, процессов и технологий, которые решают задачи мониторинга состояния информационной безопасности в организации и объединяют в себе соответствующие компетенции и процессы. Такие Центры могут как оказывать услуги по мониторингу информационной безопасности внешнему клиенту, т.е. заказчику услуги MSSP (Managed Security Service Provider, провайдер услуг по управлению безопасностью) или MDR (Managed Detectionand Response, провайдер услуг по мониторингу и реагированию на киберинциденты), так и выполнять аналогичные функции внутри компании (в таком случае заказчик будет считаться внутренним).
Процесс мониторинга информационной безопасности включает в себя:
· сбор, агрегацию, таксономию, корреляцию и анализ событий информационной безопасности (ИБ),
· классификацию событий и потенциальных инцидентов ИБ,
· реагирование на инциденты ИБ, в том числе и автоматизированное,
· пост-анализ, проведение внутренних проверок (расследований), восстановление, улучшение процесса мониторинга.
Кроме того, зачастую Центры мониторинга информационной безопасности решают дополнительные задачи, такие как управление активами, уязвимостями, выдача рекомендаций по устранению причин возникновения инцидентов ИБ, обслуживание средств защиты информации, реверс-инжиниринг вредоносного ПО, проведение аудитов ИБ и тестов на проникновение, кибер-разведка, форензика (компьютерное криминалистическое исследование).
Центры мониторинга информационной безопасности можно условно разделить по объему решаемых ими задач и по количеству обслуживаемых пользователей/узлов информационных систем на виртуальные (представляют из себя подобие проектных групп), малые (обслуживают не более 5000 пользователей/узлов сети), большие (обслуживают не более 50000 пользователей/узлов сети), многоуровневые (обслуживают не более 500000 пользователей/узлов сети) и национальные (работающие в масштабах субъектов государства).
Сотрудники – члены Центров мониторинга информационной безопасности – как правило имеют одну или несколько совмещенных ролей. Основными ролями в SOC являются:
· сотрудник 1-ой линии реагирования,
· сотрудник 2-ой линии реагирования,
· сотрудник 3-ой линии реагирования / аналитик информационной безопасности,
· сотрудник, обслуживающий технические компоненты (технологии) Центра, такие, как системы управления журналами событий (Log Management, LM) системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM), системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS), системы управления информационной безопасностью (SGRC),
· сотрудники кибер-разведки, аналитики вредоносного ПО, реверс-инженеры, специалисты по форензике, пен-тестеры.
Следует отметить, что под определение Центров мониторинга информационной безопасности формально подпадают и Центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), однако отличие заключается в том, что деятельность Центров мониторинга информационной безопасности может определяться внутренним документам организации, а деятельность Центров ГосСОПКА регламентируется законодательно.
Основными инструментами при построении Центров мониторинга информационной безопасности являются:
· системы управления журналами событий (Log Management, LM),
· системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM),
· системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS),
· системы автоматизации реагирования на инциденты ИБ (Incident Response Platform, IRP),
· системы управления информационной безопасностью (SGRC),
· средства и системы защиты и мониторинга функционирования, включая встроенные в ОС и оборудование, которые подключаются в качестве источников событий ИБ к LM/SIEM-системам.
В целом, основными рабочими инструментами сотрудников SOC являются как раз LM/SIEM-системы, которые осуществляют сбор, агрегацию, хранение, а в случае SIEM-систем еще и таксономию с корреляцией событий ИБ, а также предоставляют инструменты для анализа таких событий сотрудникам Центра мониторинга. Также следует отметить немаловажную роль систем IRP, которые позволяют операторам SOC-центров автоматизировать шаблонные ручные операции, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы.
Кроме того, существуют законодательные и нормативные требования стандартов, в том числе отраслевых и международных, по сбору, хранению и аудиту событий ИБ, а также по реагированию на инциденты ИБ. В частности, стандарты СТО БР ИББС-1.3-2016, ISO/IEC 27035:2016, NIST SP 800-61, HIPAA, SOX, PCI DSS как определяют сроки хранения журналов событий информационной безопасности, так и регулируют вопросы реагирования на инциденты ИБ.
Таким образом, для построения зрелой системы управления информационной безопасностью, для эффективного и оперативного решения инцидентов ИБ, а также для соответствия нормативным документам организациям, особенно из сегмента большого и среднего бизнеса, следует рассмотреть возможность создания своего Центра мониторинга информационной безопасности либо подключение к уже существующим коммерческим Центрам, работающим по сервисной модели MSSP/MDR.
Применение
Для создания Центров мониторинга информационной безопасности ГК «Интеллектуальная безопасность» предлагает решение Security Vision в комплектации «Security Operation Center [SOC]» – программный продукт для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации решение обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ и ручной труд сотрудников Центров мониторинга информационной безопасности.
Для создания Центров мониторинга информационной безопасности ГК «Интеллектуальная безопасность» предлагает решение Security Vision в комплектации «Security Operation Center [SOC]» – программный продукт для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации решение обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ и ручной труд сотрудников Центров мониторинга информационной безопасности.
Ссылки
СТО БР ИББС-1.3-2016 https://www.cbr.ru/Content/Document/File/46920/st-13-16.pdf
СТО БР БФБО-1.5-2018: https://www.cbr.ru/Content/Document/File/51269/st-15-18.pdf
ISO/IEC 27035:2016 https://www.iso.org/standard/60803.html
NIST SP 800-61 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
Sarbanes-Oxley Act of 2002 (SOX) https://www.iasplus.com/en/binary/resource/usreform.pdf
Стандарт безопасности данных индустрии платежных карт (PCI DSS) https://ru.pcisecuritystandards.org/