Как устроен Cyber SOC: операционные модели, функции, управление инцидентами

Снова делимся своим опытом построения Cyber Security Operations Center. На этот раз рассказываем об операционных моделях, функциях CSOC и алгоритме работы с инцидентами.
Thumbnail

 

Андрей Прошин,
менеджер по развитию направления «Кибербезопасность»

 

Операционные модели CSOC

 

CSOC может быть полностью в вашей собственности — с точки зрения и владения оборудованием, и найма специалистов. Также CSOC может полностью находиться на стороне провайдера. Третий вариант — совместное управление.

Вы можете арендовать SIEM или нанять сторонних экспертов для управления ею. Или провайдер вашего CSOC может подстраховывать вас — работать в критичных ситуациях круглосуточно, когда в обычное время вы работаете в режиме 8 часов 5 дней в неделю.

Если сравнивать собственный CSOC и CSOC как сервис, есть несколько различий. Ключевые мы выделили оранжевым на таблице. Исходя из разных преимуществ и недостатков, вы можете организовать наиболее подходящую модель совместного управления:

 

 

Функции команды CSOC

 

В разных компаниях Cyber Security Operations Center берет на себя разные задачи. Мы выделяем три сферы, на которых должны фокусироваться специалисты CSOC. Но для начала рассмотрим, какие вообще есть функции у отдела безопасности:

  • Понимание ваших систем, инфраструктуры и рисков для компании.
  • Защита. Понимая риски и угрозы, вы применяете те или иные защитные средства — и тем самым снижаете риски. Это межсетевые экраны IPS, DDoS и прочее.
  • Обнаружение кибератак путем мониторинга 24×7. Если защитные средства по каким-то причинам пропустили атаку, то CSOC позволяет детектировать то, что было пропущено системами защиты и снизить возможные финансовые потери в случае кибератак.
  • Реагирование. Важно не только обнаружить уязвимость, но и отреагировать на неё: заблокировать рабочую станцию, порт на фаерволе, заблокировать пользователя и изменить его пароль.
  • Готовность. Это киберразведка, обмен информацией о новых угрозах, инцидентах и уязвимостях, насчет которых нужно быть в курсе.

 

SOC объединяет три из этих функций:

  • Обнаружение — основная задача CSOC.
  • Реагирование — CSOC представляет рекомендации и говорит, как нужно реагировать. Выполняет рекомендации команда реагирования.
  • Готовность — киберразведка позволяет CSOC обнаруживать новое в мире ИБ и не пропускать атаки на новые уязвимости.

 

Команда и роли

 

Есть три обязательных роли: операторы, аналитики и эксперты. Это ядро CSOC, которое выполняет основную работу. И есть две вспомогательных команды, которые обеспечивают нормальное функционирование Cyber Security Operations Center.

L1: операторы
Принимают и квалифицируют инциденты, работают с ними по плейбукам и готовят рекомендации группе реагирования. Работают 24/7. Задачи:

  • Первичная оценка и квалификация инцидента. Регистрация карточки инцидента.
  • Использование «песочницы» для эмуляции и анализа файла при выявлении подозрительных файлов.
  • Обновление и дополнение базы знаний.
  • Разработка рекомендаций и плана по реагированию на инцидент ИБ в соответствии с плейбуком.
  • Взаимодействие с группой реагирования.

L2: аналитики
Более детальный анализ инцидента, если он более сложный. Например, если это аномалия и на него нет плейбука. Аналитики не работают 24/7, их можно привлечь к разбору инцидента в нерабочее время по телефону. Задачи:

  • Детальный анализ инцидента по всем доступным источникам информации (SIEM, TI, Sandbox, Vulnerability Scanner).
  • Представление плана по реагированию на инциденты, не описанные в плейбуке.
  • Выявление ложных срабатываний источников событий.
  • Обновление или дополнение правил корреляции, юзкейсов, плейбука.
  • Помощь в расследовании — взаимодействие с группой реагирования для сбора дополнительной информации об инциденте ИБ.

L3: эксперты
Глубокие эксперты по разным направлениям ИБ. Они поддерживают первую и вторую линию, работают в threat hunting режиме — когда исследуют ретроспективные данные, ищут события и создают новый алерт в CSOC для его исследования. Задачи:

  • Поддержка L2 для анализа инцидентов.
  • Подключение новых источников событий.
  • Threat hunting.

Вспомогательные команды

Группа реагирования
Выполняет рекомендации CSOC — настроить фаервол, заблокировать пользователя или станцию, пропатчить уязвимость. Задачи:

  • Выполнение рекомендаций СSOC для локализации и нейтрализации инцидента.
  • Предоставление дополнительной информации для CSOC в плане анализа инцидента.
  • Уведомление сотрудников CSOC о проведенных работах.

 

Группа поддержки инфраструктуры CSOC
Все команды аналитиков должны работать с инфраструктурой и заниматься исследованием и работой с инцидентами. Все вопросы поддержки — это отдельные задачи, которые должны решаться другими специалистами. Если CSOC работает 24/7, то и команда поддержки — тоже. Помогает аналитикам CSOC.

  • Мониторинг доступности и работоспособности всех технологических компонентов.
  • Управление патчами.
  • Управление производительностью систем.
  • Резервное копирование.

 

Процесс управления инцидентами

 

Так выглядит движение события между уровнями L1, L2 и L3:

 

Thumbnail

 

Событие может приходить из разных источников: SIEM, сообщение пользователя, группы реагирования или внешнего провайдера. Открывается алерт и команда начинает над ним работать.

SLA для определения эффективности работы
Чтобы понимать, насколько хорошо отлажены процессы и в целом работа CSOC, важно установить SLA (Service Level Agreement — соглашение об уровне услуг). 3 основных параметра: time to detect (TTD), time to contain (TTC) и time to react (TTR). Они показывают, как быстро CSOC обнаруживает инцидент, сдерживает его и выдает рекомендации по реагированию.

IRP для автоматизации работы аналитика
Когда инцидент переходит на аналитика, он начинает его исследовать, собирать о нем дополнительные данные — все это можно автоматизировать и сократить время работы специалиста. В этом помогает IRP (Incident Response Platform — система управления инцидентами) или SOAR (Security Operations, Analytics and Reporting — действия по обеспечению безопасности, аналитика и отчетность) — они дополняют инцидент полезными данными с другого оборудования и других систем. Так аналитик сразу получает готовые данные для ручного анализа.

 

Пример взаимодействия специалистов CSOC и IT-команды

 

Так работает CSOC на конкретном примере с инцидентом:

 

Схема действий по работе с инцидентами

 

Несмотря на средства безопасности, SIEM заметила, что идет соединение с C&C (сервером команд и управления). Защитные средства это не блокировали, трафик проходил, но инцидент обнаружила SIEM-система.

Аналитик CSOC к этому подключился и стал анализировать данные: информацию о процессе, который был запущен, какие действия он производил, к каким файлам получал доступ, какие порты открывал.

Вся информация была передана ИБ-менеджеру — он и его отдел в этом случае выполняли роль команды реагирования. Команда ИБ зашла на рабочую станцию, определила вредоносный процесс, устранила инцидент и очистила компьютер.

Применили принцип изоляции хоста, а после исправления его вернули в корпоративную сеть, где он продолжил работу.

Orange logo
Команда Orange

We are a bunch of people sharing the latest news with our customers and users. We love to write about technologies that are changing our daily life for better. Have a question? Feel free to drop a line to one of us — yuliya.bibisheva@orange.com