Стратегия 4: Выполнять меньше, да лучше

Для работы SOC требуется всего несколько предпосылок:

  1. прием сообщений об инцидентах от заказчика;
  2. помощь заказчику в реагировании на инциденты;
  3. сообщение обратных данных по этим инцидентам.

Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша основная задача – ограничить простор деятельности, чтобы качественно выполнять меньший объем, а не распыляться на множество задач с неприемлемым результатом. Исходя из этого, мы хотим

  1. аккуратно управлять ожиданиями руководства и представителей заказчика,
  2. нарабатывать доверие и уважение со стороны заказчика, выполняя работу по инцидентам аккуратно и профессионально,
  3. избегать перерасходования ограниченных ресурсов SOC,
  4. браться за дополнительные роли или задачи только в том случае, когда это позволяют ресурсы, уровень зрелости и ключевая миссия.

6.1 Введение

Прежде чем мы определимся, какие возможности должен предоставлять SOC, необходимо задать себе несколько важных вопросов:

  • Каковы предполагаемые масштабы SOC? Заставят ли нас изменяющиеся потребности клиентов изменить или расширить масштаб SOC?
  • Должен ли SOC заниматься непосредственным мониторингом и реагированием или же целесообразнее, чтобы SOC координировал и согласовывал деятельность других SOC?
  • Куда смещен фокус SOC в организации? Например, должен ли он обеспечивать ситуационную осведомленность руководства заказчика либо принимать оперативные контрмеры? Может ли SOC сбалансировать эти обязательства наравне с другими приоритетными задачами?
  • К каким ресурсам SOC может обратиться при необходимости? Например, хранение и просмотр аудитов, оценка уязвимостей, тестирование на проникновение, анализ артефактов и вредоносных программ или реализация контрмер? Выполняются ли какие-либо из этих действий высокоуровневым координирующим SOC?
  • Позволяют ли ресурсы SOC выйти за рамки методов экстренного реагирования и использовать расширенные возможности как, например, киберразведка, создание пользовательских сигнатур или исследование и разработка инструментов?
  • Если SOC предлагает определенную возможность, будет ли она реализована достаточно полно, чтобы оправдать связанные с этим расходы?

SOC всегда будет выполнять свою миссию с учетом внешних указов и политик, обозначенных руководством клиентских организаций. Кроме того, необходимо уделять пристальное внимание соответствию ожиданий клиента реальным возможностям SOC. Еще раз хочется подчеркнуть постулат из Раздела 2.3.3. о приоритете качества над количеством — лучше выполнять всего несколько функций хорошо, чем много, но плохо. В мире, где SOC должен всегда работать с внешними структурами для выполнения своей миссии, «кредит доверия» имеет первостепенное значение.

6.2. Шаблоны сервисов

В таблице 7 проиллюстрированы типичные возможности, предоставляемые каждым из пяти шаблонов SOC, которые были описаны в разделе 4.1.2, используя следующие обозначения:

B: Базовые. SOC частично либо в полном объеме реализует возможности в этой области.

А: Продвинутые. SOC имеет хорошо развитый зрелый потенциал в этой области.

O: Опциональные. SOC может предлагать или не предлагать эту возможность, потенциально передав ее внешней группе либо в рамках той же компании, либо другому SOC, если это необходимо.

— : Нерекомендуемые. Обычно из-за размера клиентской организации или расстояния до конечных активов или миссии не рекомендуется, чтобы SOC поддерживал эти возможности.

Важно отметить, что в таблице описаны возможности SOC, уже достигшего зрелого состояния. Другими словами, здесь описывается целевое состояние, а не путь созревания; процесс роста и зависимости рассматриваются в разделе 6.3. Эта таблица может служить отправной точкой для SOC, предлагая некий набор возможностей для выбора. Но важно всегда соизмерять свой выбор с тем, как он будет реализовываться на практике.

НазваниеВиртуальныйМалыйБольшойМногоуровневыйНациональный
Анализ в режиме реального времени
Колл-центрOBAAA
Мониторинг и приоритизация в реальном времениOBAAO
Киберразведка и выявление трендов
Сбор и анализ данных киберразведкиBBAAA
Распространение данных киберразведкиOBAAA
Создание данных киберразведкиOBAA
Сопоставление данных киберразведкиOBAAA
Выявление трендовOOAAA
Оценка угрозOBBA
Анализ инцидентов и реагирование
Анализ инцидентовBBAAO
АналитикаOAAO
Координация реагирования на инцидентыBBAAA
Реализация контрмерOOOOO
Локальное реагирование на инцидентыBOOOO
Удаленное реагирование на инцидентыBBAAO
Анализ артефактов
Криминалистическая обработка артефактовOBAAO
Анализ вредоносов и закладокOBAO
Криминалистический анализ артефактовOBAO
Поддержка жизненного цикла инструментов SOC
Эксплуатация и поддержка инструментов защиты периметраOOOOO
Эксплуатация и поддержка инфраструктуры SOCOBAAA
Настройка и поддержка сенсоровBBAAO
Создание пользовательских сигнатурOOAAA
Разработка и развертывание инструментовOBAAA
Изучение и развитие инструментовOBA
Аудит и внутренние угрозы
Сбор и хранение данных аудитаOOBO
Создание и управление содержимым аудитовOOOO
Поддержка случаев внутренних угрозBBAA
Расследование случаев внутренних угрозOOO
Сканирование и оценка
Составление карты сетиOOBBO
Сканирование уязвимостейOBAO
Оценка уязвимостейOOOOO
Тесты на проникновениеOOOOO
Информационная кампания
Продуктовая оценкаOOOOO
Консультации по безопасностиOOOOO
Тренинги и формирование осведомленностиOOOOO
Ситуационная осведомленностьOBAAA
Распространение TTP (тактик, методов и процедур)OBAA
Отношения со СМИOOB

Таблица 7. Шаблоны сервисов

Мы не будем тратить много страниц на исчерпывающее обоснование каждого из этих вариантов, а вместо этого предлагаем несколько рассуждений по некоторым основным пунктам:

  • Call-центр. Небольшие SOC могут передать эту функцию службе поддержки или NOC (network operations center). Однако это может быть проблематичным, поскольку последствия сбоя сети или звонок в службу техподдержки могут быть не очевидными для персонала, не обученного анализу и реагированию на инциденты. Для SOC важно не пропустить серьезные проблемы, которые могут быть расценены как проблема доступа. В любом случае, важно предоставить службе техподдержки четкие критерии эскалации на SOC. В случае с операциями в некруглосуточном режиме можно направить горячую линию SOC на мобильный телефон или пейджер и распределять запросы между членами команды SOC посменно.
  • Мониторинг в реальном времени и сортировка/анализ инцидентов. Эта возможность является ключевой практически для всех SOC. В очень больших координирующих SOC она просто имеет немного другую форму — вместо получения сырых данных от пользователей, такой SOC должен получать алерты от других SOC.
  • Анализ вредоносных программ и закладок/расследование и анализ артефактов. Эти возможности трудно внедрить в малых и средних SOC по двум причинам: 1. Необходим постоянный поток инцидентов, требующих глубокого анализа, установления злоумышленника или юридических действий; 2. Спрос на персонал необходимой квалификации очень высок. Часто эффективная стратегия для небольших SOC заключается в том, чтобы полагаться на координирующий SOC или поставщика услуг для осуществления такого анализа по мере необходимости. Для SOC, которые обрабатывают более нескольких крупных инцидентов в неделю, наличие базового функционала по криминалистике позволит ускорить реагирование и восстановление.
  • Локальное реагирование на инциденты. Эта функция зависит от того, включает ли организационная модель SOC элементы внутренней распределенной модели и насколько географически распределена клиентская сеть.
  • Настройка сенсоров. Если SOC имеет свой собственный набор оборудования для мониторинга (например, IDS/IPS для сетей или хостов), его настройка должна быть постоянной внутренней деятельностью, которая осуществляется на основе обратной связи от аналитиков. Поэтому этот функционал считается обязательным для любого SOC, который включает возможности по мониторингу. Также важно понимать, что настройка сенсоров – это непрерывный процесс, необходимый для правильного функционирования сенсоров. Поэтому она относится к операционным задачам, а не к разработке или инжинирингу.
  • Проектирование и внедрение инструментов. Независимо от того, выполняется ли эта функция силами самого SOC или обеспечивается внешней организацией, она должна существовать в рамках крупной организации, к которой принадлежит SOC.
  • Оценка уязвимостей и тестирование на проникновение. SOC является естественным местом для осуществления этих мероприятий, которые обеспечивают улучшение ситуационной осведомленности и восприятия SOC как ценного ресурса владельцами системы и сотрудниками службы ИБ. Поскольку для Blue Team и Red Team потребности в персонале могут оказаться довольно большими, некоторые SOC могут отказаться от таких затрат. Тем самым, они избегают восприятия как крупной статьи расходов. Для крупных SOC это очевидные и необходимые функции, более мелким SOC выгоднее отдать эти функции на аутсорсинг третьим лицам.
  • Составление карты сети/сканирование уязвимостей. Эти возможности относятся скорее к ИТ-функциям, а не обеспечению безопасности. Решение о включении в SOC этих функций должно приниматься на индивидуальной основе. Независимо от того, где они выполняются, SOC рекомендуется собирать и обобщать результаты сканирования, потому что карта сети и статистика уязвимостей являются ключевыми данными для анализа инцидентов.
  • Эксплуатация и поддержка средств защиты периметра/реализация контрмер. Эти возможности редко выполняются SOC, который не является организационно смежным или объединенным с IT/сетевыми операциями, как NOSC (Центр сетевых операций и безопасности). Этими возможности обычно обеспечивают только SOC с полными компетенциями по реагированию. Смежные функции анализа безопасности и управления сетью позволяют быстро реагировать и инициируются менеджером SOC или руководителем смены.
  • Сбор и хранение аудитов, создание и управление содержимым аудитов. Эти возможности рассматриваются как часть комплексного сбора и анализа логов. Крупные SOC, включающие распределенные ресурсы, скорее всего сочтут необходимым обеспечить надежный сбор и распределение данных аудитов, поскольку персонал SOC будет больше ориентирован на локальные системы и источники данных.

Решение вопроса о том, какие возможности должен включать SOC, часто принимается совместно с вопросом организационного размещения. Поскольку каждая функция кем-то выполняется, важно понимать, будет ли она находиться в SOC или где-то еще.

6.3 Достижение зрелости сервисов.

Мы рассмотрели ожидаемый набор сервисов для каждой из 5 моделей SOC. В этом разделе будут рассмотрены некоторые потенциальные модели роста, которые практикуются в SOC при расширении границ своих возможностей, а также зависимости и взаимосвязи между возможностями.

  • От сбора и анализа данных киберразведки/настройки и поддержки сенсоров к анализу данных киберразведки/созданию пользовательских сигнатур. Постоянный доступ к нескольким источникам данных киберразведки способствует большей избирательности аналитиков в отношении собираемых ими данных и пониманию, каким образом можно усилить защиту. Знание вражеских тактик, техник, процедур (TTP), инфраструктуры заказчика и процесса создания сигнатур побуждает аналитиков самостоятельно разрабатывать сигнатуры IDS и собирать аналитику SIEM.
  • От анализа инцидентов, вредоносных программ и закладок/создания пользовательских сигнатур к формированию данных киберразведки и распространению/перераспределению TTP противника. Со временем опыт аналитика по отдельным инцидентам должен перерасти в более детальное понимание поведения противника. Это может побудить аналитиков делать наблюдения и выводы, которыми они, возможно, пожелают поделиться с другими организациями или SOC, повышая их ситуационную осведомленность (SA).
  • От анализа инцидентов к расследованию и/или анализу вредоносных программ и закладок. По мере увеличения числа инцидентов должна повышаться согласованность и эффективность SOC по работе с этими инцидентами. Потребность аналитиков в установлении первопричины часто ведет их в одном из двух направлений. Во-первых, по мере увеличения объема и сложности инцидентов увеличивается объем перехваченного трафика и количество артефактов на носителях. Периодический анализ артефактов от случая к случаю скорее всего превратится в систематический выверенный процесс с привлечением выделенных инструментов и специалистов по форензике. Во-вторых, по мере увеличения количества вредоносных программ необходимо проводить сравнительную оценку инцидентов по степени угрозы, которую он представляет — это типичная вредоносная программа или целевая атака? SOC может разработать превентивные меры для регулярного извлечения подозрительных файлов из сетевого трафика и выполнять статический и/или динамический анализ для этих файлов.
  • От обобщения данных киберразведки/анализа инцидентов к выявлению трендов/анализу методов разведки/оценке угроз. SOC должен понимать, что автоматический ответ на все инциденты в виде переформатирования и переустановки не всегда является лучшим вариантом. Взаимодействуя с другими сторонами, SOC должен получить полномочия и возможности для пассивного наблюдения за противником и лучшей оценки степени вторжения. Это позволит SOC выработать стратегическое видение противника и выполнять долгосрочный анализ трендов. Наряду с более глубоким пониманием миссии заказчика, SOC сможет проводить оценки угроз, которые помогут в определении направлений мониторинга и изменений в архитектуре безопасности клиента, включая закупку новых систем.
  • От проектирования и внедрения инструментов к исследованию и развитию инструментов. По мере роста потребностей, SOC скорее всего столкнется с ограничением возможностей коммерческого коробочного и свободно распространяемого или открытого ПО, в результате ему придется разрабатывать свои собственные инструменты. Обычно это начинается с проектов по комбинированию различных open source и коммерческих продуктов различными способами. Координационные SOC, хорошо обеспеченные ресурсами, могут с нуля делать выверенные комбинации продуктов для своих клиентов.

Дополнительные примеры достижения зрелости SOC можно найти в разделе 2.7.5.1 из [4], который послужил вдохновением для этой главы.

 

Поделиться записью: