Зима близко. С констатации этого тревожного факта начался SOC-Форум v.2.0, посвященный практикам противодействия кибератакам и построения центров мониторинга ИБ. И дело не только в надвигающейся суровой зиме, которая фактически в Москве уже наступила. Дело в наступающих тяжелых временах, связанных с угрозами кибербезопасности, о чем напоминали охотно фотографировавшиеся в фойе с участниками форума герои сериала «Игра Престолов».
Проблемы кибербезопасности резко обострились в последнее время. Хакеры взломали сайты Демократической партии и оказали серьезное влияние на президентские выборы в США. СМИ сообщали о проникновении американских хакеров в энергосистему России, телекоммуникационные сети и системы командования Кремля. Информационная безопасность стала серьезной картой в большой политике. Под ударом находятся и коммерческие организации. Так в этом году зафиксировано резкое увеличение крупномасштабных организованных атак на финансово-кредитные учреждения страны.
«Зрелость, это когда вам уже несколько раз прилетело по голове и вы решили на это как-то реагировать. Многим надоело размахивать кулаками в темной комнате. Хочется включить свет и посмотреть на нашего противника. SIEM (security information and event management) — это реагирование на инциденты, которые уже произошли в компании. SOC (Security Operation Center) и мониторинг — это абсолютно логичное дальнейшее продолжение темы обеспечения безопасности», — считает Игорь Ляпунов, генеральный директор Solar Security.
«Предприятиям, у которых выстроены базовые уровни ИБ, нужно двигаться дальше. Сейчас звезды сошлись. У членов одной семьи спросили, почему они пьют морковный сок по утрам. И услышали три разных ответа. Один — полезно, другой — вкусно, третий — мама заставляет. Здесь то же самое, причем третий фактор ведущий. Потому что за последние два-три года благодаря нашим регуляторам вопросы управления инцидентами, разработки методик обеспечения ИБ вошли уже в довольно большое количество обязательных документов», — отметил Роман Кобцев, директор по развитию бизнеса компании «Перспективный мониторинг».
Действительно, регуляторы являются одной из главных движущих сил в развитии систем ИБ в России. Можно сетовать на специфику российской информационной безопасности, которая, как отмечали докладчики, часто направлена на защиту не от злоумышленника, а от регулятора, но нельзя не отметить, что деятельность регуляторов приносит результат и в целом уровень ИБ а стране повышается. И работа в этом направлении продолжается. Так, Дмитрий Шевцов, начальник управления ФСТЭК России, отметил необходимость защиты информации в режиме реального времени и то, что это скоро может найти отражение в требованиях регулятора.
Что такое SOC?
С точным определением понятия SOC есть проблемы. Некоторые считают, что SOC — это комната, где собираются руководители, чтобы выработать ИБ-решения. Другие ставят знак равенства между SOC и SIEM. Однако на прошедшем форуме споров на эту тему почти не было. Большинство докладчиков признавало, что SOC — это более широкое понятие.
«Обычная служба ИБ занимается „тушением пожаров“, нарезкой прав пользователей, защитой каналов и выполнением заявок бизнеса и ИТ. И работа такого отдела превращается в набор рутинных операций. Следующий шаг — выбор SIEM и автоматизация процессов реагирования. Но и этого не достаточно», — считает Эльман Бейбутов, руководитель направления аутсорсинга в ИБ Solar Security. Не хватает контроля защищенности, знаний об уязвимостях, безопасности приложений, обеспечивающих работу бизнес процессов. Не хватает знаний о внешней обстановке — насколько компанией интересуются хакеры и какую информацию они хотят раздобыть. «Когда мы складываем такой пазл, мы можем говорить, что процесс мониторинга может претендовать на полноту», — отметил докладчик.
Аналитик может запрограммировать реакцию на инциденты. Но существует и невидимая часть айсберга — данные о работе системы. Есть стандартная работа по анализу уязвимостей и проведению тестов на проникновение. И есть аналитика, которая выявляет отклонения от нормального функционирования системы и может, используя экспертные системы, системы анализа Big Data и машинное обучение, предупреждать о возможных атаках, в том числе и с помощью новых неизвестных вирусов, атак «нулевого дня», не определяемых системами антивирусной защиты.
Причем SOC, по мнению Эльмана Бейбутова, должен не просто сообщать об опасности, но и давать рекомендации. По расследованию инцидентов и по техническому реагированию на них. И давать общие отчеты руководству по проведенным работам и существующим тенденциям.
Свой или чужой — какой SOC лучше?
Существуют разные подходы к использованию SOC. Можно полностью развернуть его в своей организации. По такому пути пошел Банк России, создавший свой центр мониторинга ИБ. Толчком к его созданию стал скандал с появлением на публичном рынке конфиденциальных данных о предприятиях. И хотя дальнейшее расследование показало, что утечка была не из структур ЦБ, было принято решение о дополнительных мерах по обеспечению безопасности ЦОДов, в первую очередь от внутренних сотрудников организации, в том числе и от ИБ-админов.
Андрей Страшнов, начальник отдела ГУБиЗИ Банка России рассказал, что SOC банка имеет связь с системами контроля управления доступом (СКУД) и обеспечивает возможность анализа ситуаций, когда человек находится физически в другом месте и не может войти со своим паролем в конкретный компьютер. И стандартные функции контроля доступа к AD и СУБД, активности сетевого оборудовании, антивирусной защиты. Все это постоянно мониторится в режиме реального времени.
В дежурную смену SOC Банка России входят 10 человек. Далеко не каждая организация может позволить себе держать такой штат сотрудников. Кроме того, нужны и хорошие аналитики, которых не так много на рынке. Так что на практике свой SOC могут развернуть только крупные организации, например Сбербанк. Или Газпромбанк, в штат SOC которого, по словам Алексея Плешкова, начальника управления режима информационной безопасности защиты и информатизации банка, входит 12 человек.
Это приводит к тому, что в России всего
Коммерческий SOC может значительно облегчить задачу защиты, но все отдать на аутсорсинг не получится. Функция принятия решений должна остаться на стороне заказчика. Так что без своей службы ИБ ему все равно не обойтись.
Киберугрозы давно перестали быть чем-то мифическим, нереальным в повседневной жизни, вроде «белых ходоков». «Пришло время присоединиться к схватке. Теперь ты в великой игре, а великие игры ужасны», — напомнили организаторы слова Тириона Ланнистера. Понятно, что кибербезопасность торгует страхом, но в тоже время нельзя не признать, что эти страхи не беспочвенны. Соревнование снаряда и брони продолжается, а использование SOC — бесспорно повышает вашу защиту.
