2.4 Возможности и сервисы SOC

SOC предоставляет набор услуг, удовлетворяя потребности клиентов в мониторинге и защите сетей. В [8] составлен базовый список услуг SOC, однако с момента его публикации в 2003 году SOC стали более зрелыми и адаптировались к возросшим требованиям клиентов, изменившемуся ландшафту угроз и более совершенным инструментам, в результате чего процесс обеспечения защиты сетей перешел на новый уровень. Мы хотим перечислить полный спектр возможностей SOC, независимо от того, нужна ли конкретная функция его потребителям, самому SOC или и тем, и другим. В этой книге все услуги SOC собраны в полный список возможностей SOC.

В Таблице 1 представлен исчерпывающий список возможностей SOC. Стоит отметить, что ни один SOC не сможет реализовать его целиком. Как описано в разделе 6, руководство SOC отвечает за выбор возможностей для реализации, которые лучше всего соответствуют потребностям его клиентов с учетом политических ограничений и имеющихся ресурсов.

Таблица 1. Возможности SOC

НазваниеОписание
Анализ в режиме реального времени
Колл-центрСоветы, отчеты об инцидентах и запросы на сервисы CND от клиента поступают по телефону, электронной почте, размещаются на сайте SOC или другими методами. Колл-центр работает аналогично традиционной справочной службе ИТ, но с учетом специфики CND.
Мониторинг в режиме реального времени и приоритизацияПриоритизация и беглый анализ потоков данных в режиме реального времени (например, системных журналов и алертов) на предмет потенциальных вторжений. После определенного временного порога подозрительные инциденты передаются в группу анализа и реагирования на инциденты для дальнейшего изучения. Обычно является основной задачей аналитиков SOC Уровня 1, которые фокусируются на потоках событий в реальном времени и представлении данных.

Примечание: это одна из наиболее легко узнаваемых и очевидных услуг, которые осуществляет SOC, но она не имеет смысла без соответствующего анализа инцидентов и реагирования, про которые речь пойдет ниже.

Разведка и выявление трендов
Сбор и анализ данных киберразведкиСбор, обработка и анализ отчетов киберразведки, отчетов о кибервторжениях и новостных сообщений по информационной безопасности, включая информацию о новых угрозах, уязвимостях, продуктах и исследованиях. Материалы изучаются на предмет информации, требующей реагирования командой SOC или передачи клиентам. Данные разведки можно собирать от координирующих SOC, поставщиков, новостных сайтов, онлайн-форумов и списков рассылки электронной почты.
Распространение данных киберразведкиСинтез, обобщение и распространение отчетов киберразведки, отчетов о вторжениях и новостных сообщений по информационной безопасности клиентам либо на регулярной основе (например, еженедельный или ежемесячный кибер-бюллетень), либо нерегулярные (например, уведомление о срочном патче или предупреждение о фишинговой кампании).
Создание данных киберразведкиСоздание новых сообщений по киберразведке: уведомлений об угрозах или кратких обзоров, основанных на первичных исследованиях, проводимых SOC. Например, анализ новой угрозы или уязвимости, которая ранее нигде не встречалась. Обычно создание данных киберразведки обусловлено собственными инцидентами SOC, расследованиями, анализом вредоносных программ и действий злоумышленников.
Объединение данных киберразведкиИзвлечение данных киберразведки, их синтез в новые сигнатуры, контент и понимание тактики, методов и процедур злоумышленника, что влечет за собой развитие процесса мониторинга (например, появление новых сигнатур или контента SIEM).
Выявление трендовДолгосрочный анализ потоков событий, собранных вредоносных программ и данных об инцидентах для доказательства вредоносной или подозрительной активности или для лучшего понимания потребителей услуг SOC или тактики, методов и процедур злоумышленника. Может включать в себя неструктурированный, неограниченный по времени глубокий анализ различных потоков данных, выявление трендов и корреляцию данных системного журнала за несколько недель или месяцев, глубокий анализ данных и эзотерические методы обнаружения аномалий.
Оценка угроз
Целостная оценка угроз, создаваемых различными субъектами в отношении клиента SOC, его границ или направлений бизнеса в киберпространстве. Включает в себя использование существующих ресурсов, таких как потоки данных киберразведки и выявление трендов, а также данные по архитектуре организации и статусу уязвимостей. Часто осуществляется совместно с другими заинтересованными сторонами в области кибербезопасности.
Анализ инцидента и реагирование
Анализ инцидентовДлительный углубленный анализ потенциальных вторжений и советов, полученных от других членов SOC. Как правило, эта работа выполняется аналитиками 2 уровня и выше в рамках процесса эскалации инцидентов SOC. Анализ инцидентов должен быть завершен за определенный промежуток времени, чтобы обеспечивать эффективное реагирование. Эта функция обычно включает анализ различных образцов, чтобы определить кем, как именно, когда, где и почему произошло вторжение — его серьезность, пути минимизации ущерба и восстановления. Аналитик должен документировать подробности этого анализа, обычно сопровождая рекомендациями по дальнейшим действиям.
Анализ методов разведки Тщательно скоординированное наблюдение за противником, в ходе которого сотрудники SOC проводят последовательное изучение мельчайших подробностей поведения злоумышленника и анализируют его тактику, методы и способы проведения атаки, чтобы лучше понять их и информировать группу мониторинга. Эта деятельность отличается от других функций, поскольку (1) для нее иногда используются специальные средства контроля сетей и систем, например, honeypots (ресурсы, служащие приманкой), и (2) SOC какое-то время не препятствует активности нарушителя. Эта функция поддерживается деятельностью по выявлению трендов, анализу вредоносного кода и программных закладок и, в свою очередь, может способствовать созданию данных киберразведки.
Координация реагирования на инцидентыРабота с пострадавшими от инцидента субъектами с целью сбора дополнительной информации об инциденте, понимания его критичности и оценки влияния на деятельность. Что более важно, эта функция подразумевает координацию действий по реагированию и созданию отчетности по инциденту. Данная деятельность не предполагает развертывания командой SOC прямых мер по противодействию.
Реализация мер противодействияФактическое осуществление действий по реагированию на инцидент для сдерживания, блокировки или отключения злоумышленника или минимизации причиненного им вреда. В качестве примера мер противодействия можно привести логическую или физическую изоляцию затронутых систем, использование межсетевых экранов, ведение черных списков DNS, блокировку IP, развертывание патчей и деактивацию учетных записей.
Локальное реагирование на инцидентЛокальная работа с потребителями услуг SOC для реагирования на инцидент и последующего восстановления. Обычно сотрудники команды SOC, находящиеся у клиента или выезжающие к нему на площадку, непосредственно на месте анализируют ущерб, устраняют последствия, причиненные злоумышленником, и приводят системы в рабочее состояние. Эта работа выполняется совместно с владельцами систем и системными администраторами.
Удаленное реагирование на инцидентУдаленная работа с потребителями услуг SOC для восстановления после инцидента. Эта функция включает те же задачи, что и локальное реагирование на инцидент, однако сотрудники команды SOC принимают меньше непосредственного участия в сборе образцов и восстановлении систем. Удаленная поддержка оказывается по телефону и электронной почте или, в редких случаях, удаленному терминалу или административным интерфейсам, таким как Microsoft Terminal Services или Secure Shell (SSH).
Анализ образцов
Обращение с криминалистическими образцамиСбор и хранение образцов для расследования (например, жестких дисков или съемных носителей) по инциденту для дальнейшего использования в судебных разбирательствах. В зависимости от юрисдикции, функция может включать обращение с носителем при документировании ответственности за его хранение, обеспечение безопасного хранения и поддержку верифицируемых побитных копий свидетельств.
Анализ вредоносного ПО и закладокТакже известен как обратный инжиниринг вредоносного ПО или просто «реверсинг». Извлечение вредоносных программ (вирусов, троянов, закладок, дропперов и т. д.) из сетевого трафика или образов носителей и их анализ для определения их характера. Сотрудники SOC обычно ищут начальный вектор атаки, исследуют поведение и по-возможности неформальную идентификацию, чтобы определить степень вторжения и обеспечить своевременное реагирование. Эта деятельность может включать анализ статического кода посредством декомпиляции, анализ в процессе исполнения(например, «детонация») или и то, и другое. Эта функция, в первую очередь, предназначена для поддержки эффективного мониторинга и реагирования. Не смотря на то, что в ней используются некоторые из методов традиционной «криминалистической экспертизы», она не обязательно выполняется в рамках судебного преследования.
Форензика образцовАнализ цифровых образцов (носителей, сетевого трафика, мобильных устройств) для определения полного масштаба и истинной природы инцидента, как правило, путем установления точной последовательности событий. Для этого используются методы, схожие с некоторыми аспектами анализа вредоносных программ и закладок, однако данный процесс более тщательный и документированный. Зачастую данная деятельность выполняется с соблюдением необходимых процессов и процедур, чтобы ее результаты можно было бы использовать в судебном процессе против лиц, причастных к инциденту.
Поддержка жизненного цикла инструментария SOC
Эксплуатация и сопровождение (O&M) средств защиты периметраЭксплуатация и сопровождение (O&M) средств защиты периметра (межсетевых экранов, веб-прокси, прокси-серверов электронной почты и фильтров содержимого). Включает установку обновлений и управление конфигурациями политик  устройств, иногда в ответ на угрозу или инцидент. Эта деятельность тесно координируется с работой центра эксплуатации сети.
Эксплуатация и сопровождение инфраструктуры SOC Эксплуатация и сопровождение технологий SOC (не включая настройку сенсоров). Функция включает в себя обслуживание ИТ-оборудования SOC: серверов, рабочих станций, принтеров, баз данных, системы устранения неполадок, сетей хранения данных (SAN) и резервного копирования. Если SOC имеет свой собственный анклав, эта деятельность будет также охватывать обслуживание маршрутизаторов, коммутаторов, межсетевых экранов, контроллеров домена при наличии. Сюда также может входить эксплуатация и обслуживание систем мониторинга, операционных систем (ОС) и аппаратного обеспечения. Персонал, который отвечает за данную деятельность, имеет привилегии root на оборудовании SOC.
Настройка и обслуживание сенсоровОбслуживание сенсорных платформ, принадлежащих и управляемых SOC: IDS, IPS, SIEM и т.д. Сюда входит обновление систем IDS / IPS и SIEM новыми сигнатурами, настройку их наборов сигнатур, чтобы поддерживать объем событий на допустимых уровнях, сводя к минимуму ложные срабатывания и обеспечивая работоспособность датчиков и целостность потоков данных. Ответственные за данные задачи сотрудники должны хорошо знать потребности команды мониторинга SOC, чтобы SOC всегда соответствовал постоянно меняющейся инфраструктуре своих клиентов и ландшафту угроз. Изменения в любых встроенных устройствах защиты (HIPS / NIPS) обычно координируются с Центром управления сетью (NOC) или другими подразделениями ИТ. Данная деятельность часто подразумевает применение специальных скриптов для перемещения данных и интеграции средств и потоков данных.
Создание пользовательских сигнатурРазработка и внедрение исходного контента для систем мониторинга (сигнатур IDS, сценариев использования SIEM и т.д.) на основе существующих угроз, уязвимостей, протоколов, задач и других особенностей инфраструктуры клиента. В данной деятельности используются все имеющиеся в распоряжении SOC инструменты, чтобы заполнить пробелы в коммерческих или открытых сигнатурах. SOC может делиться своими пользовательскими сигнатурами с другими SOC.
Разработка и развертывание средствИсследование рынка, оценка продукта, прототипирование, проектирование, интеграция, развертывание и модернизация технологий SOC, основанных главным образом на бесплатном или открытом ПО (FOSS) или коммерческих готовых (COTS) технологиях. Деятельность включает бюджетирование, приобретение и регулярную рекапитализацию систем SOC. Ответственный за данную функцию персонал должен внимательно следить за изменяющейся средой угроз и сообщать о новых доступных возможностях в течение нескольких недель или месяцев в зависимости от задач.
Исследование и разработка инструментовИсследования и разработка специальных инструментов, если доступные коммерческие или открытые средства не подходят для выполнения текущих задач. Данный функционал охватывает деятельность, начиная от разработки кода для известной структурированной задачи и заканчивая многолетними академическими исследованиями для решения более сложных задач.
Аудит и внутренние инциденты
Сбор и распространение данных для аудитаСбор потоков данных, связанных с безопасностью, с целью корреляции и анализа инцидентов. Полученные результаты также могут быть использованы для распространения или проведения аудита в будущем при необходимости расследования или анализа, выходящих за рамки задач SOC. Данная деятельность включает долгосрочное сохранение данных, относящихся к безопасности, для использования их клиентами вне SOC.
Создание и управление контентом для аудитаСоздание и обобщение данных, получаемых от SIEM и из журналов систем (корреляция, информационные панели, отчеты и т.д.) для проведения аудита клиента и обнаружения нарушений требований безопасности. Предполагается, что в рамках этой деятельности данные аудита будут распространяться, что позволит генерировать не только исходные данные, но и контент для клиентов вне SOC.
Помощь в расследовании внутренних инцидентовСодействие при анализе и расследовании внутренних инцидентов по двум взаимосвязанным, но различным направлениям:

  1. Поиск следов потенциальных внутренних угроз (например, неправильное использование ИТ-ресурсов, махинации с картой учета рабочего времени, финансовое мошенничество, промышленный шпионаж или кража). При необходимости, SOC должен оповещать соответствующие следственные органы о выявленных инцидентах.
  2. От имени этих следственных органов SOC обеспечивает дальнейший мониторинг, сбор информации и анализ, содействуя расследованию внутреннего инцидента.
Расследование внутренних инцидентовSOC использует свои собственные независимые регулирующие или юридические полномочия для расследования внутренних инцидентов, включая целенаправленное или продолжительное наблюдение за конкретными сотрудниками, без необходимости в получении поддержки или разрешения от внешней стороны. На практике немногие SOC обладают подобными полномочиями, поэтому они обычно действуют под руководством другой организации.
Сканирование и оценка
Топология сетиНепрерывное регулярное составление карт сетей клиентов для понимания размеров, формы, состава и интерфейсов периметра клиента автоматическими или ручными методами. Эти карты часто создаются совместно с другими участниками и распределяются между ними. Для получения дополнительной информации см. Раздел 8.1.2.
Сканирование уязвимостейАнализ хостов клиента для получения статусов уязвимостей, в ходе которого проверяется актуальность обновления каждой системы и ее соответствие требованиям безопасности, как правило, с помощью автоматизированных распределенных инструментов. Как и топология сети, это позволяет команде SOC лучше понять, что он должен защищать. SOC может предоставить эти данные клиенту в форме отчета или сводки. Функция выполняется регулярно и не является частью конкретной оценки или задачи. Для получения дополнительной информации см. Раздел 8.1.3.
Оценка уязвимостейОткрытая оценка безопасности объекта, анклава или системы клиента, с использованием всей доступной информации, иногда называемая «Blue Teaming». Сотрудники SOC совместно с владельцами систем и системными администраторами комплексно тестируют архитектуру безопасности и выявляют уязвимости систем посредством сканирования, изучения конфигурации системы, пересмотра проектной документации системы и обсуждений. В этих целях могут применяться инструменты сканирования сетей и уязвимостей, а также более инвазивные средства, используемые для анализа систем с целью получения данных об их конфигурации и состоянии. По результатам такого исследования сотрудники команды составляют отчет с указанием рекомендаций по устранению уязвимостей. SOC используют оценки уязвимостей, чтобы расширить охват мониторинга и улучшить понимание аналитиками SOC своих клиентов.
Тестирование на проникновение

Оценка конкретной области клиента в условиях неполной или отсутствующей информации о ней, также известная как «Red Teaming». Сотрудники SOC симулируют атаку на сегмент клиента для оценки устойчивости цели к фактической атаке. Эти операции обычно проводятся только с разрешения руководителей высшего звена клиента, но без предупреждения владельцев систем. Подобные атаки проводятся с помощью различных средств: переполнение буфера, внедрение SQL-кода и входной фаззинг. «Красные команды» (Red teams) обычно ограничивают свои цели и ресурсы, моделируя цели и ресурсы конкретного злоумышленника, например, имитируя кампанию противника, которая может начинаться с фишинговой атаки. По завершении операции команда выдает отчет с результатами аналогично отчету с оценкой уязвимостей. Поскольку при тестировании на проникновение набор целей ограничен, оно не охватывает такой широкий набор аспектов конфигурации системы и передовых практик, как оценка уязвимостей.

В некоторых случаях персонал SOC координирует деятельность Red Teaming, при этом привлеченная третья сторона выполняет основную часть фактического тестирования, чтобы гарантировать, что тестировщики не знакомы с клиентскими системами или уязвимостями. Для получения дополнительной информации о методах тестирования на проникновение и оценки уязвимостей смотрите разделы, посвященные тестированию, в [30], [46], [31], [32], [34] и [35].

Просвещение
Оценка продуктаТестирование функций безопасности конкретных продуктов, используемых сотрудниками клиента. Подобно мини-оценке уязвимостей одного или нескольких хостов, это тестирование позволяет провести углубленный анализ сильных и слабых сторон конкретного продукта с точки зрения безопасности. Сюда может входить внутреннее тестирование продуктов, а не удаленная оценка промышленных или экспериментальных систем.
Консалтинг по безопасностиПредоставление клиентам консультаций по вопросам кибербезопасности за рамками области защиты сетей; содействие при разработке новых систем, непрерывности бизнес-процессов и планированию аварийного восстановления; помощь в составлении политики кибербезопасности; , руководств по безопасной настройке систем и другое.
Обучение и повышение осведомленностиПроактивная информационно-обучающая работа для клиентов, включая общую подготовку пользователей, новостные письма и другие учебные материалы, которые помогут понять различные проблемы кибербезопасности. Основная задача — помочь сотрудникам клиента в собственной защите от обычных угроз, например, схем фишинга/фарминга, улучшить безопасность конечных систем, повысить осведомленность о возможностях SOC и научить сотрудников правильно сообщать об инцидентах.
Осведомленность о ситуацииРегулярная многократная переформулировка и передача знаний клиентам от команды SOC об активах, сетях, угрозах, инцидентах и уязвимостях клиента. Эта деятельность выходит за рамки распространения данных киберразведки, повышая понимание клиентами собственной стратегии кибербезопасности и ее составляющих, обеспечивая эффективное принятие решений на всех уровнях. Эта информация может автоматически распространяться через веб-сайт SOC, веб-портал или рассылку по электронной почте.
Передача тактик, техник и процедурПередача внутренних продуктов SOC другим потребителям, таким как партнеры или подчиненные SOC, в более формальном, выверенном или структурированном формате. Сюда может входить почти все, что SOC разрабатывает самостоятельно (например, инструменты, данные киберразведки, сигнатуры, отчеты об инцидентах и другие необработанные данные наблюдений). Нередко применяется принцип «услуга за услугу», поэтому поток информации между SOC, как правило, является двунаправленным.
Связи со СМИПрямой контакт со средствами массовой информации. SOC несет ответственность за то, чтобы раскрываемая информация не нанесла клиенту репутационный ущерб и не помешала осуществляемым мероприятиям по реагированию.

 

Поделиться записью: