Какие задачи должен решать корпоративный центр мониторинга и реагирования на инциденты информационной безопасности (SOC)

В последнее время количество киберугроз в корпоративном секторе возросло в десятки раз, а киберпреступники уже не являются хакерами одиночками, как 10-15 лет назад, а представляют собой мощные группировки хорошо организованного и технически оснащенного криминала с огромными многомиллионными оборотами денежных средств. Очень тревожной выглядит статистика инцидентов информационной безопасности (ИБ), которая собирается в банках и крупных компаниях. И это несмотря на то, что в корпоративном секторе работают службы ИБ, которые вооружены программно-техническими средствами в области защиты информации (SIEM, DLP, антивирусным ПО и т.д.). Почему же, несмотря на такую приличную организацию защиты информационных активов в компаниях, все равно происходят инциденты ИБ с крупным ущербом?  Специалисты по информационной безопасности давно осознали, что необходим комплексный подход в сфере реагирования и расследования инцидентов ИБ и единое централизованное решение.

Центры мониторинга и реагирования на инциденты: основные цели и задачи

Центры мониторинга и реагирования на инциденты (англ.  Security Operations Center, SOC) появились не так давно на рынке информационной безопасности. Это инструмент для обеспечения целостного и комплексного подхода в вопросе мониторинга и реагирования на инциденты, согласно нормативным документам, регулирующим ИБ (таким как СТО БР ИББС-1.3-2016, ISO/IEC 27035:2011 и др.). SOC является единой платформой для сбора, хранения и обработки информации о состоянии безопасности ИТ-инфраструктуры, уязвимостях и инцидентах ИБ.

Перед тем как разворачивать в компании SOC необходимо обозначить основные цели управления инцидентами ИБ. Таковыми, как правило, являются:

  • обеспечение непрерывного процесса выявления любых событий, которые способны повлиять на безопасность организации;
  • обеспечение адекватной реакции на произошедшие события;
  • быстрое устранение последствий инцидента;
  • извлечение полезных уроков из инцидентов и предотвращение в дальнейшем их повторения.

Далее рассмотрим основные задачи, которые должен решать SOC:

 —   Инвентаризация и контроль инфраструктуры;

 —   Консолидация информации об инцидентах ИБ;

 —   Координация и автоматизация реагирования на инциденты ИБ;

 —   Интеграция и получение данных из внешних источников;

 —   Сбор показателей эффективности системы защиты (метрик).

Инвентаризация и контроль инфраструктуры:

На базе центров SOC довольно часто обеспечивается решение актуальных для каждой компании задачи по управлению информационными активами компании, таких как:

— мониторинг ИТ-инфраструктуры, сбор данных об оборудовании и его характеристиках (инвентаризация), контроль состава ИТ-систем, построение связей взаимодействия между компонентами;

— составление перечня критических активов и проведение оценки их ценности;

— контроль учетных записей пользователей, управление доступами и привилегиями;

— управление уязвимостями.

За счет соответствующих инструментов SOC выявляются наиболее критичные активы компании и определяются ответственные за эти активы специалисты. Все это осуществляется в тесном взаимодействии с другими инфраструктурными системами (антивирусами, сканерами уязвимостей и т.д.). Также, как правило, в рамках контроля инфраструктуры осуществляется контроль за вновь установленными программами, выявляется ПО, которое не разрешено к использованию, фиксируется подключение нового оборудования и другие потенциально опасные активности. Визуализация данных по активам представляется в виде графов, схем, карт сетей, позволяющих повысить эффективность анализа защищаемой инфраструктуры.

Управление уязвимостями в рамках контроля инфраструктуры, в свою очередь, заключается не только в их обнаружении, но и в регистрации в соответствии с типом и уровнем критичности, с последующим автоматическим назначением ответственных и сроков устранения, а также исключением тех уязвимостей, которые в ходе изучения признаются ложными срабатываниями.

Рис 1. Контроль ИТ-инфраструктуры.

Консолидация информации об инцидентах ИБ:

Когда в организации нет единого центра мониторинга, информация об инцидентах разрозненна и не систематизирована, это обстоятельство затрудняет, как оперативное реагирование на инцидент, так и быстрое и качественное его расследование. Поэтому нужна единая база для сбора информации обо всех инцидентах ИБ, произошедших в организации.

Рассмотрим поэтапно, как происходит работа по обработке инцидентов:

  • Выявление инцидентов. На этом этапе информация об инцидентах собирается централизовано из различных источников, классифицируется, анализируется.
  • Реагирование. Назначение ответственных лиц и группы реагирования, контроль сроков и действий.
  • Расследование инцидента. На данном этапе собирается доказательная база, свидетельства, выявляются причины и обстоятельства произошедшего инцидента.
  • Анализ и статистика. Формируются статистические данные по отделам, филиалам, по типам. Выявляются основные связи и зависимости.
  • Отчетность. Формирование и вывод различного вида отчетов (для руководства, для регуляторов и т.д.).

Информация об инцидентах при этом может поступать в централизованную базу данных различными способами (по e-mail, через программный интерфейс API или вводится вручную через веб-форму). В рамках фиксации инцидентов, как правило, регистрируются такие параметры инцидентов как: уровни критичности, уровни ущерба, источник инцидента, степень преднамеренности, статус реализации, вероятность повторного возникновения, приоритет и т.д.

Координация и автоматизация реагирования на инциденты ИБ:

В сфере ИБ крайне важна автоматизация процессов реагирования на инциденты, чтобы каждый раз группе реагирования не приходилось выдумывать какие-то «ответные мероприятия» заново. В SOC, как правило, заложена «адаптивная логика», это означает, что существуют определенные конструкторы, с помощью которых, учитывая конкретные бизнес-процессы в компании можно задать ряд правил, с помощью которых собирается информация об инцидентах по заданным критериям, настраиваются доступы к ней, а также автоматически назначаются ответственные лица по расследованию данного инцидента.

Группа реагирования на инциденты ИБ организуется на базе SOC, функции всех членов группы заранее строго прописаны процедурами SOC, формируется автоматическая отчетность на всех стадиях реагирования и расследования инцидентов ИБ.

Рис 2. Автоматизация реагирования на инциденты.

Интеграция с внешними источниками и обмен информацией по инцидентам:

Подробнее остановимся на вопросе интеграции и получении информации по инцидентам из различных источников, которые подключены к SOC. Это могут быть сообщения, поступающие из систем сбора и корреляции событий безопасности – SIEM, DLP – систем, антивирусных пакетов, сканеров уязвимости и т.д. (см. рис. 3). Сообщения могут поступать и из внешних источников через прикладной программный интерфейс API или даже по электронной почте. Главное, чтобы они обрабатывались по определенным правилам, основанным, например, на регулярных выражениях или тегах. Поясним на примере интеграции с SIEM: инцидент передается в SOC, далее производится его обработка согласно установленным регламентам, а после завершения работы над инцидентом он автоматически закрывается и в системе SIEM, т.е. работает двухсторонняя синхронизация состояния инцидентов. Хороший SOC должен обеспечивать обмен данными и с другими участниками отрасли ИБ  (с внешними экспертами, другими компаниями, публичными центрами реагирования SERT/SOC  и.т.д.)

Рис.3. Обмен информацией по инцидентам.

Сбор показателей эффективности системы защиты (метрик):

Еще один важный блок SOC  — это «метрики», здесь предоставлена отчетность по типам инцидентов, срокам реагирования и по величине материального ущерба от них. В хорошей системе должны быть настроены как минимум следующие метрики:

  • среднее время реагирования на инцидент,
  • количество инцидентов в работе,
  • среднее время закрытия инцидента,
  • отношение закрытых инцидентов к зарегистрированным инцидентам.

Кроме выше обозначенных параметров, могут быть представлены и другие показатели, такие как «ущерб от реализации инцидентов» и др. Все метрики представляются визуально в виде графиков и схем.

Рис.4. Блок «метрики» в SOC.

В заключении хочется отметить, что на современном этапе уже трудно противостоять организованным кибератакам и угрозам ИБ силами отдельных специалистов, компаний, служб ИБ и ИТ. Необходима слаженная, организованная и полностью автоматизированная работа по реагированию, предотвращению и расследованию инцидентов ИБ, которую можно обеспечить только на базе современных центров мониторинга и реагирования на инциденты информационной безопасностью (SOC).

Поделиться записью:
Scroll Up