2.5 Ситуационная осведомленность

Для эффективной работы специалистам команды SOC необходимо понимать обстановку, в которой выполняются задачи по защите сети, как глобальную, так и на детальном уровне. Значительная часть работы SOC заключается в том, чтобы поддерживать и обеспечивать информированность клиентов о состоянии их защищенности. Это понимание называется ситуационной осведомленностью (SA).

Наиболее общепринятое определение ситуационной осведомленности в широком смысле приведено в Endsley [47]:

Ситуационная осведомленность — это восприятие элементов окружающей среды в определенный момент времени и точке пространства, понимание их смысла и прогнозирование их статуса в ближайшем будущем.

Понятие SA зародилось в авиации [47, с. 32-33] во второй половине 20-го века. Представьте себе пилота истребителя внутри своего самолета. Помимо обзора из окна кабины, у него есть набор инструментов, которые помогают ему понять, где находится его самолет, каков его статус и его окружение, например, другие самолеты поблизости. Он постоянно принимает решения о том, как вести самолет на основе этого понимания.

Чтобы летчик-истребитель эффективно мог защитить себя и своих сотоварищей от нападения, он должен быть экспертом в интерпретации различных поступающих данных, синтезировать их значение в совокупности, а затем действовать, опираясь на это понимание. Приоритеты пилота — это управление самолетом, навигация и связь. Поэтому он постоянно концентрируется на трех ключевых аспектах, которые составляют его ситуационную осведомленность: скорость самолета, высота и направление. Это сложная работа, и немногие с ней хорошо справляются.

По сути, команда SOC делает практически все то же самое, что и пилот, только в киберпространстве. Можно поспорить, что работа команды SOC сложнее в силу масштабов и сложности «кибер»-составляющей. В то время как пилот управляет одним самолетом и отслеживает, как правило, не более нескольких десятков “своих” и “чужих” вокруг себя, SOC может иметь сотни датчиков, десятки тысяч активов и сотни потенциальных противников. Летчики работают в кинетическом пространстве, где инструментам обычно можно доверять, а результаты действий очевидны. В киберпространстве аналитикам приходится сталкиваться с гораздо большей двусмысленностью. Пилот на 100% уверен в своих инструментах; аналитики SOC должны всегда копать глубже, добираясь до первичных данных, в попытках установить основную причину инцидента. На практике бывает, что аналитик не может в полной мере понять, что именно произошло, из-за неполных или неоднозначных данных. Авиация — это область, которой занимаются миллионы людей вот уже более 100 лет, тогда как защитой компьютерных сетей занимается гораздо меньше людей и гораздо меньшее время.

Неоднозначность и неопределенность – противоположности хорошей ситуационной осведомленности в киберпространстве – присутствуют на каждом этапе жизненного цикла инцидентов, и от них необходимо избавляться, постоянно улучшая охват мониторинга и его анализ.

Общее определение SA можно расширить на “кибер” специфику, используя определение Комитета по национальной безопасности (CNSS) в [42, с. 69], которое, по-видимому, опирается на определение Endsley:

Восприятие состояния безопасности предприятия и его ландшафта угроз в определенный момент времени и пространства, понимание/значение их в совокупности (риска) и прогнозирование их статуса в ближайшем будущем.

Для команды SOC процесс достижения кибер-ситуационной осведомленности включает три компонента:

  1. Информация. Данные датчиков, контекстные данные, кибер-разведка, новостные события, уязвимости, угрозы и управление задачами.
  2. Аналитика. Интерпретация и обработка этой информации.
  3. Визуализация. Отображение информации о ситуационной осведомленности в визуальной форме.

В разделе 8.4 и разделе 9 обсуждаются инструменты, из которых аналитик черпает информацию, а также SIEM – краеугольный камень аналитики. В области кибер-ситуационной осведомленности визуализация все еще находится в зачаточном состоянии. Несмотря на обширную работу в этой области [48] [49] [50], не существует общепринятой практики для визуализации информации о кибербезопасности.

Для SOC процесс получения и использования ситуационной осведомленности представляет собой цикл: наблюдение, ориентация, принятие решения и действие (цикл OODA), рис. 2 — это самоподдерживающийся процесс принятия решений, первоначально предложенный Джоном Бойдом [51].

 

Цикл: наблюдение, ориентация, принятие решения и действие
Рис.2 Цикл OODA

Аналитик постоянно наблюдает за клиентами, сопоставляет эту информацию с уже имеющимися данными и опытом, принимает решения на основе этого синтеза, совершает действия, а затем повторяет этот процесс. Аналитики SOC изучают своих клиентов и сопутствующие им кибер-угрозы в течение разных периодов времени – от нескольких минут до нескольких лет. По мере улучшения их ситуационной осведомленности они становятся более эффективными специалистами. Поскольку наработка хорошей ситуационной осведомленности требует времени, потеря персонала может стать серьезным препятствием для эффективной работы SOC, поэтому SOC важно предпринимать шаги для минимизации и сокращения текучки кадров.

Один из способов – разделить кибер-ситуационную осведомленность на три взаимосвязанные тесно взаимодействующие и одинаково важные области: сеть, миссия и угроза. Для эффективной работы SOC необходимо разбираться во всех трех. Эти области SA описываются следующим образом:

Сеть

  • Количество, тип, местоположение и сетевое подключение ИТ-активов, включая стационарные компьютеры, серверы, сетевые устройства, мобильные устройства и внешние системы «в облаках».
    Топология сети, включая физические и логические связи, границы, которые разделяют сегменты сети разного уровня критичности, и внешние соединения
  • Актив, сеть и приложение:
    • Требования безопасности (конфиденциальность, доступность, целостность).
    • Архитектура безопасности (включая проверку подлинности, контроль доступа и аудит).
  • Состояние клиентских ИТ-активов
    • Определение «нормального» состояния основных сегментов сети и хостов.
    • Изменения в этом состоянии, такие как изменения конфигурации, поведения хоста, портов и протоколов, и объема трафика.
  • Уязвимость хостов и приложений, с разных позиций сети и сетевого периметра, и контрмеры, которые ликвидируют эти уязвимости.

Миссия

  • Направления бизнеса и миссия клиентов, в том числе их ценность, которая может выражаться в доходах, расходах или самом существовании.
  • Географическое/физическое местоположение, где выполняются отдельные составляющие задач
  • Деловые отношения между клиентом SOC и внешними участниками:
    • Обществом
    • Компаниями
    • Правительственными организациями
    • Образовательными и благотворительными организациями
  • Как миссия и бизнес-процессы клиента сопоставляются с их ИТ-активами, приложениями, анклавами и данными, и каковы взаимосвязи между ними.
  • Роль, значимость и общий профиль основных групп пользователей, таких как:
    • Системные администраторы
    • Руководители и их административный персонал
    • Лица, у которых есть доступ к конфиденциальной информации (интеллектуальная собственность, финансы).
    • Общий круг пользователей клиента
    • Пользователи, внешние по отношению к клиенту
  • Значение деятельности, осуществляемой в отношении сетей и хостов клиента, в контексте миссии.

Угроза

  • Злоумышленники:
    • Возможности, включая уровень подготовки и ресурсы
    • Намерение и мотивация
    • Вероятность атаки
    • Уровень доступа (правомерный или нет)
    • Влияние на бизнес/миссию и ИТ-активы клиента
    • Возможная личность или принадлежность к организации
    • Действия: в прошлом, настоящем и прогнозируемые в будущем
  • Оценка и потенциальное присвоение действий определенным противникам, внутренним или внешним по отношению к клиенту.

Ситуационная осведомленность может принимать различные формы, в зависимости от уровня, на котором будут приниматься решения о кибербезопасности. На самом низком тактическом уровне, сетевой безопасник имеет осведомленность вплоть до конечного актива и анклава с четким пониманием хостов и пользователей. Над ним на операционном уровне существуют направления бизнеса и крупные сети. На самом верху находится стратегический уровень, на котором предприятие функционирует в целом, а злоумышленники ведут свои долгосрочные компании. В результате, потребность в понимании клиентов и действующих лиц может варьироваться, в зависимости от того, какой уровень осведомленности требуется – от аналитика SOC 1 уровня до ИТ-директора и далее.

Представители клиента, особенно, руководители, естественно обращаются к SOC, чтобы получить ответы на вопросы типа «Что происходит в моей сети?». SOC может выполнить эту задачу, предоставляя клиентам и другим SOC подробную информацию, как в ходе обычного рабочего процесса, так и в случае критического инцидента. Если SOC не будет предоставлять достаточно подробные данные, он может утратить свою значимость или будет завален периодическими запросами на информацию. Если SOC будет предоставлять избыточно детальные сведения, его ресурсы будут растрачены на предоставление ответов на вопросы от руководства клиентов и, следовательно, он не сумеет должным образом выявлять и анализировать вторжения.

Найдя сбалансированный подход к предоставлению отчетности клиентам и другим партнерским SOC, SOC сможет получить признание как ценный ресурс.

Эффективное предоставление отчетности также будет стимулировать партнерские организации, в особенности другие заинтересованные в кибербезопасности стороны, давать обратную связь, укреплять и улучшать ситуационную осведомленность SOC.

Зрелая кибер-ситуационная осведомленность позволит сетевому безопаснику ответить на некоторые важные вопросы:

  • Каков статус патчей? Какие патчи первостепенны, а какие менее важны?
  • Находится ли клиент под угрозой целенаправленной внешней атаки, например, кампании направленного фишинга?
  • Как выглядит картина возможных вторжений или, по крайней мере, известных вредоносных программ в реальном времени?
  • В каких системах следует развернуть меры безопасности, чтобы обеспечить максимальную защиту от определенного набора атак?
  • Как изменяются угрозы, с которыми сталкиваются клиенты? Как изменяются тактики, методы и процедуры злоумышленников, что именно нужно отслеживать и как защищаться от этих новых угроз?
  • Кто отклоняется от своей типичной линии поведения и стоит ли беспокоиться по этому поводу?
  • Насколько актуальны атаки, которые я отслеживаю, в контексте миссии клиента?
Поделиться записью: