Готовы ли вы к SOC? Защита от киберугроз с максимальной эффективностью

Чем больше цифровизация и ИТ-технологии проникают в нашу жизнь, тем страшнее возможный ущерб от киберугроз — конечно, если относиться к ним недостаточно серьезно. Проблема усугубляется нехваткой необходимых специалистов в области кибербезопасности. На помощь приходит CyberSecurity Operations Center (CSOC, или SOC) — отдельная организация внутри компании, представляющая собой комплекс технологий, процессов и людей. Основные цели CSOC — обнаруживать и анализировать инциденты информационной безопасности, оперативно реагировать на них и предотвращать их возникновение и последствия.

Кто рискует, тот теряет

По статистике, злоумышленники могут находиться в сети компании до обнаружения более 180 дней. Это приводит к большим финансовым потерям. Например, в 2018 году в результате атаки вируса-шифровальщика пострадало множество крупных межнациональных компаний, в том числе один из крупнейших производителей современных материалов и конструкций. По данным официальной отчетности, компания недополучила прибыль в размере 250 миллионов евро в результате недоступности ИТ-систем в течение семи дней и потратила порядка 80 миллионов евро на их восстановление, а также выделила большие суммы на внедрение новых средств кибербезопасности.
Также в прошлом году было множество скандалов, связанных с утечками конфиденциальной информации и персональных данных, промышленным шпионажем. SOC, благодаря фокусу на анализе киберрисков, помогает бизнесу значительно снизить уровень киберугроз и минимизировать ущерб.

Кибератаки представляют серьезную угрозу в сфере судоходства. Понимая это, компания ICS (International Chamber of Shipping) выпустила документ с рекомендациями по кибербезопасности для судов. SOC является важным инструментом для этой отрасли, где к большому ущербу приводят задержки судна на несколько дней из-за заражения ЭКНИС (электронно-картографической навигационно-информационной системы), заражения сети оператора судна вирусом-вымогателем с флешки ship agent, аварии систем навигации в море.

Важные обязательства

Правительства разных стран мира серьезно задумываются о безопасности критически важных объектов, таких как градообразующие предприятия, заводы, банки, страховые компании, химические производства, электростанции, операторы связи и т. д. Кибератаки на такие объекты могут привести к катастрофическим последствиям для жизни и здоровья людей, нарушению экологии, экономическому ущербу для целых регионов и субъектов государства. Поэтому в 2017 году был выпущен ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации», который обязывает компании оценить киберриски, минимизировать их последствия и уменьшить вероятность наступления рисковых событий. Мониторинг и реагирование на инциденты информационной безопасности — один из важных элементов этой стратегии.

______________________________________________________________

Алексей Лукацкий
Специалист в области информационной безопасности и бизнес-консультант компании Cisco:

Закон распространяется на организацию любого масштаба, работающую в сфере здравоохранения, науки, транспорта, связи, ТЭК (включая атомную энергетику), банковской сфере и на финансовых рынках, в оборонной и ракетно-космической промышленности, в горнодобывающей, металлургической и химической промышленности. Речь идет обо всех организациях, обеспечивающих национальную, энергетическую, финансовую безопасность страны. Учитывая серьезность потенциальных проблем, впервые в российской истории за несоблюдение утвержденных мер, в том числе и безопасности, предусмотрена уголовная ответственность, вплоть до лишения свободы на срок до 10 лет. Но говорить о применимости данной статьи еще рано — необходимо ждать начала надзорных мероприятий и правоприменения со стороны ФСТЭК и ФСБ, регуляторов в области безопасности критической информационной инфраструктуры (КИИ).
Для реализации закона требуется:
1. Провести категорирование объектов КИИ (всех информационных систем, информационно-телекоммуникационных систем и автоматизированных систем управления). Они делятся на значимые (возможно нанесение ущерба согласно установленной Правительством методике) и все остальные.
2. Отправить перечень объектов КИИ во ФСТЭК. В течение года после отправки (но не позже сентября 2019 года) во ФСТЭК необходимо направить окончательные материалы по категорированию.
3. Подключиться к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак).

■    Для холдинговых структур, собирающих данные об инцидентах с дочерних предприятий, — создать центр ГосСОПКА или установить средства ГосСОПКА.

■    Для операторов связи — установить соответствующие средства поиска признаков атак в сетях электросвязи (по согласованию с ФСБ).

■    В течение 24 часов направлять в ГосСОПКА (ФинЦЕРТ Банка России — для финансовых организаций) данные об инцидентах безопасности на любых типах объектов. Это возможно делать как самостоятельно, так и через аутсорсинговые SOC.

4. Выполнить требования приказов № 235 и № 239 ФСТЭК по обеспечению безопасности (только для значимых объектов):
■    выработка защитных мер,
■    моделирование угроз,
■    назначение ответственных за обеспечение безопасности,
■    разработка организационно-распорядительной и эксплуатационной документации,
■    выбор, приобретение, внедрение и эксплуатация защитных средств,
■    управление ИБ,
■    реагирование на инциденты,
■    анализ уязвимостей,
■    мониторинг ИБ.

______________________________________________________________

Уровень зрелости и задачи компании

Далеко не все компании готовы внедрить у себя SOC по ряду причин:
■ Недостаток персонала и опыта, так как кибербезопасность не является для компании профильным бизнесом.

■ Отсутствие процессов информационной безопасности или несоответствие их бизнес-задачам компании.

■ Недостаток бюджета.

■ Отсутствие базовых средств информационной безопасности, межсетевых экранов, аутентификации, централизованного логгирования и мониторинга.

По степени готовности внедрения SOC можно выделить три категории зрелости компаний:
■ Beginner. Основной фокус на минимизации потерь. Активные действия будут предприняты в случае наступления киберинцидента.

■ Advanced. Большая часть компаний, которые воспринимают киберриски серьезно и переходят от разрозненных защитных средств (антивирусы и песочницы, межсетевые экраны, WAF, защита от DDoS и т. д.) к обнаружению и предотвращению инцидентов.

■ Professional. Это компании, для которых кибербезопасность — один из фокусов. Они ищут инновации, которые позволят им получить конкурентное преимущество для основного бизнеса (разработка программного продукта или нового защищенного смартфона) и победу в борьбе со злоумышленниками.

Отдельная категория — компании, которые реализуют SOC «для галочки», чтобы соответствовать требованиям регуляторов. Такой подход самый опасный и обязательно должен дополняться риск-ориентированным подходом.
Минимальные требования, которые позволяют компании перейти к реализации SOC и, главное, получить преимущество, — это:
■ риск-ориентированный подход к информационной безопасности,

■ наличие базовых средств безопасности,

■ наличие возможности и системы сбора логов с оборудования,

■ поддержка топ-менеджмента.

Без этих условий вероятность провала инициативы SOC достаточно велика. Внедрений SOC и SIEM много, однако большая часть компаний сталкивается с неудовлетворенностью качеством и экономической эффективностью. Часто это связано с отношением к SOC как к проекту, который имеет начало и конец. Но на самом деле SOC — это организация, которая должна развиваться постоянно, требующая четкой стратегии развития и ресурсов.

Как устроен SOC. Собственные и облачные решения

Основные компоненты построения SOC — это:
■ люди и опыт;

■ программное обеспечение (SIEM, сканеры уязвимостей, trouble-ticket-система, incident-response-платформа и т. д.);,

■ аппаратное обеспечение — мощности (сервера, виртуализация, СХД), на которых разворачивается ПО;

■ системы защиты для выделения SOC в отдельный сегмент и снижения риска несанкционированного доступа к информации и другим угрозам;

■ платформа и фиды киберразведки.

Если рассчитывать на функционирование SOC в режиме 24/7, а именно это условие часто необходимо, требуется не менее пяти человек в смену на первой линии, двух человек на второй линии (L2), двух человек на третьей (L3) и одного руководителя SOC. Так при этом выглядит схема затрат (суммы указаны в евро):

Ценность SOC от Orange Business

Технологии — важная, но не главная часть SOC. Самое важное — та ценность, которую он приносит компании. Наша методология внедрения сервиса SOC у заказчиков основана на риск-ориентированном подходе:

■    Проведение анализа рисков — определяем, какие риски важны для защищаемой ИТ-системы или процесса, насколько они вероятны и какой ущерб могут нанести.

■    Составление карты или модели угроз.

■    Поэтапная реализация и «закрытие» модели угроз с помощью каталога use case.

Мы также предлагаем использовать механизм определения аномалий (User Behavior Analytics), который позволяет дополнять базу актуальными сценариями детектирования угроз (use case).
В портфеле Orange Business — собственная база Threat Intelligence и AI/ML-системы для компании Lexsi (стала частью Orange Business в 2016 году) и SecBi (стартап, в который мы инвестировали на раннем этапе развития).

SOC Orange Business в России построен по принципам глобальной команды Orange CyberDefense, которая вошла в отчет Gartner по MSSP (Managed Security Services Provider) провайдерам за 2018 год. Это дает нашим заказчикам в России возможность использовать наработки и опыт глобальной компании, иметь доступ к инновациям и качественный сервис. Orange Business — единственная международная компания, реализующая свой опыт в SOC в России.

Наш SOC организован в Москве и построен на базе SIEM ядра IBM Qradar, которое обладает широкими возможностями по масштабированию и multi-tenancy (то есть возможности разделять данные разных систем на одной масштабируемой системе), что очень важно для нас как для MSSP-провайдера. Система также интегрирована со сканером уязвимостей, trouble-ticket-системой, инструментами киберразведки и другими компонентами. Периметр защищен различными средствами информационной безопасности — межсетевыми экранами, песочницей, системой предотвращения вторжений, DDоS и т. д.

В России мы запускаем решение SOC совместно с нашими партнерами — компаниями IBM и Deloitte. IBM — наш технологический партнер. IBM Qradar SIEM — лидер рынка, имеет большое количество успешных инсталляций в России. Deloitte занимается анализом рисков, построением модели угроз и детальным расследованием киберинцидентов.

Вклад Deloitte в построение процессов SOC

______________________________________________________________

Анатолий Остроглазов
Старший менеджер Deloitte, СНГ

Основная сложность любого проекта — это расставление правильных приоритетов и выделение необходимого количества денежных средств на его реализацию. Следовательно, наша главная задача в ходе реализации проекта SOC — проведение анализа рисков и оценки угроз, а также описание текущего состояния информационной безопасности и формирование ключевых активов. По результатам данного анализа организация определяет, какие ресурсы необходимо в первую очередь защищать с учетом приоритетов бизнеса. На основе составленного выбора эффективных мер по снижению рисков и методов защиты активов разрабатываются наборы правил для реализации их в SIEM-системе. Данный подход позволяет избежать вложения средств в неприоритетные или несущественные направления, а также сразу приступить к предотвращению наиболее вероятных угроз для организации.

При применении нашей методологии мы используем универсальную онлайн-платформу с поддержкой динамических рабочих процессов. В нашей платформе реализованы информационные панели, адаптируемые в зависимости от потребностей менеджеров, топ-менеджеров и производственного персонала. Наша платформа позволяет визуализировать влияние конкретных инвестиций в кибербезопасность на общий уровень киберустойчивости компании, а также упростить процесс установки приоритетности тех решений в области кибербезопасности, которые в наибольшей степени будут способствовать повышению киберустойчивости.

______________________________________________________________

Наша роль — обнаружение угроз и реагирование на инциденты, возникающие в ИТ-системах, которые заказчик доверил нам для мониторинга. Команда наших экспертов SOC работает в режиме 24/7. В скором времени ожидается дополнение к нашей действующей лицензии ФСТЭК на ТЗКИ (техническую защиту конфиденциальной информации), позволяющее оказывать коммерческий сервис по мониторингу информационной безопасности.