Невозможно просто так взять и стать счастливым обладателем SOC, решив все свои проблемы с киберугрозами. Компания должна в первую очередь проинспектировать свои ресурсы и определить, есть ли у нее необходимый минимум для такого рода защиты. Не стоит пренебрегать и пилотированием: это не просто пробная стадия, которую можно пропустить, сэкономив. Она позволяет выявить все потенциальные ошибки в будущем. Риск-ориентированный подход в построении SOC поможет определить целесообразность защиты от тех или иных угроз. Если все эти условия соблюдены, защита с помощью SOC действительно будет непревзойденной.
Мы выделяем минимальные требования, которые позволяют компаниям перейти к реализации SOC, например, наличие базовых средств безопасности и системы сбора логов с оборудования, поддержка топ-менеджмента. Без минимальных требований компания с большой вероятностью столкнется с неудовлетворенностью качеством, отрицательной экономической эффективностью и, как следствие, провалом инициативы SOC.
Избежать подобных последствий поможет не только соблюдение минимальных требований, но и пилотирование SOC. Пилот позволит выявить проблемы в реализации функций ИБ, взаимодействии заказчика с внешними подрядчиками по ИБ, а также поможет понять степень зрелости процесса реагирования компании на ИБ-инциденты.
Этапы ввода пилота в эксплуатацию
Мы разделяем пилотирование SOC на три этапа: подготовку, построение и запуск. В свою очередь, каждый этап включает определенный список задач.
Этап подготовки включает:
- консультацию заказчика,
- организацию единой схемы сбора событий ИБ,
- определение перечня источников событий,
- согласование способов передачи событий ИБ,
- подготовку инфраструктуры,
- подготовку инструкций для конфигурации источников событий.
Этап построения включает:
- настройку схемы сбора логов,
- подключение всех источников событий,
- модернизацию схемы сбора событий ИБ,
- использование каталога use-case в соответствии с заданием.
Этап запуска включает:
- работу с use-case, переданными в эксплуатацию;
- уведомления об инцидентах.
Для чего нужен SOC и какие особенности при выборе сервис-провайдеров учитывать?
Типовые ошибки при пилотировании и как их избежать
При запуске пилота компания может допустить одну или несколько ошибок, перечисленных ниже.
Слишком сложный сценарий для пилота
Заказчики со зрелым ИБ-отделом обычно уже понимают, какая конфигурация SOC им нужна. Они составляют требования под свои системы, желаемые сроки. Но не всегда эти требования сходятся с действительностью.
Например, один из сценариев в требованиях клиента — это мониторинг изменений на файловой системе: доступ к файлам, изменение и удаление. Такой сценарий в пилоте часто сложно реализовать именно со стороны клиента. Для него может быть затратно вносить изменения в свою инфраструктуру: настраивать групповую политику, прописывать для нее политики аудита. Часто клиент оказывается к этому не готов.
Мы советуем опираться на создание и тестирование простых сценариев, которые помогут увидеть, как работает команда аналитиков SOC в части мониторинга и реагирования на инциденты.
Неготовность проводить пилоты с несколькими провайдерами сразу
В рамках тендеров крупные заказчики обычно пилотируют двух-трех сервис-провайдеров. И иногда они сами не знают, как работать одновременно с несколькими участниками. У каждого участника может быть своя SIEM-система, и форматы данных между ними могут быть несовместимы.
Мы помогаем сделать унифицированную транспортную систему для сбора логов. Настроить все так, чтобы форматы данных были для всех участников универсальны и чтобы логи на пути к SIEM не обрезались и не менялись. Обычно мы включаемся в пилот раньше и сначала делаем такую инфраструктуру сбора логов для своей SIEM, а затем заказчик подключает к ней остальных участников.
Если у компании мало ресурсов, мы советуем не пилотировать несколько провайдеров. На выходе компания может получить огромное количество инцидентов и непонимание, как на них реагировать.
Задержки по времени из-за взаимодействий исполнителя с ИТ- и ИБ-командами заказчика
Заказчики не всегда понимают, как будет спланирован софт. Обычно для них это новый проект и они не закладывают время на работу ИТ-специалистов. Когда дело доходит до реальных пилотов, начинаются большие задержки по времени: один специалист в отпуске, другой занят на других работах.
На этапе подготовки пилота мы разделяем источники событий по ответственным группам и всегда прописываем, кто является основным контактом на стороне заказчика и сервис-провайдера; с кем можно связаться, если основной контакт недоступен; на кого можно эскалировать, если у заказчика многоуровневая структура.
Инфраструктура заказчика оказывается не готова к внедрению SOC
Во время пилота могут выявляться различные недочеты. Например, у заказчика отображается большое число пользователей, потому что он забыл удалить из системы часть бывших сотрудников. С точки зрения ИБ это может представлять угрозу.
Предусмотреть все проблемы невозможно, поэтому в процессе пилота сервис-провайдер не должен терять связь с заказчиком. В подобных случаях мы стараемся убрать недочеты и показать, где нужно навести порядок в инфраструктуре. Для этого мы собираем команду пилотирования и команду заказчика раз в неделю и обсуждаем текущие задачи.
Нет команды реагирования
Заказчик может внедрить SOC, но не подготовить группу реагирования, которая будет устранять инциденты. Из-за этого работа SOC теряет смысл.
Группа ИБ не сможет заниматься реагированием на инциденты — у них другие задачи, они не занимаются взаимодействием с конечными пользователями. На предпроектном этапе мы говорим, что, скорее всего, нужно будет сформировать команду внутри компании заказчика, согласовать ее вовлечение и делегировать определенные полномочия, выдавать задания в свою службу хелпдеска.
Риск-ориентированный подход при внедрении SOC
Наша методология внедрения сервиса SOC основана на риск-ориентированном подходе. Такой подход позволяет адекватно оценивать рентабельность вложений в ИБ. Если потенциальный финансовый ущерб компании от хакерской атаки составляет 100 000 ₽, а техническое средство защиты стоит 100 000 €, то вкладываться в него нет смысла и нужно искать другое решение.
Риск-ориентированный подход состоит из трех этапов.
1. Проведение анализа рисков. Определяем, какие из рисков важны для защищаемой ИТ-системы или процесса, насколько они вероятны и какой ущерб могут нанести, какие ресурсы необходимо в первую очередь защищать с учетом приоритетов бизнеса.
2. Составление карты или модели угроз. На основе составленного выбора эффективных мер по снижению рисков и методов защиты активов разрабатываем наборы правил для реализации их в SIEM-системе. Такой подход позволяет избежать вложения средств в неприоритетные или несущественные направления, а также сразу приступить к предотвращению наиболее вероятных угроз для организации.
3. Поэтапная реализация и «закрытие» модели угроз. Делается с помощью каталога сценариев детектирования угроз, а также с использованием механизма определения аномалий (User Behavior Analytics), который позволяет дополнять базу актуальными use case.
Такой подход выявляет актуальные риски для вашей компании и оценивает потенциальные финансовые потери. Это позволяет определить наиболее эффективные меры минимизации рисков.
SOC Orange Business в России построен по принципам глобальной команды Orange Cyberdefense
Это дает нашим заказчикам в России возможность использовать наработки и опыт глобальной компании, иметь доступ к инновациям и качественный сервис.
Наш SOC организован в Москве и построен на базе SIEM IBM Qradar, которое обладает широкими возможностями по масштабированию и разделению данных разных систем на одной масштабируемой системе, что очень важно для нас как для MSSP-провайдера.
Система также интегрирована со сканером уязвимостей, trouble-ticket-системой, инструментами киберразведки и другими компонентами. Периметр защищен различными средствами информационной безопасности: межсетевыми экранами, песочницей, системой предотвращения вторжений и т. д.
В портфеле Orange Business собственная база Threat Intelligence и AI/ML-системы для компании Lexsi (стала частью Orange Business в 2016 году) и SecBi (стартап, в который мы инвестировали на раннем этапе развития).
Руководитель CyberSOC Orange Business Russia, начальник отдела управления интеллектуальными услугами. Управляю двумя центрами компетенций: Security Operations Center (коммерческая поддержка услуг кибербезопасности) и Cloud Solutions Center (коммерческая поддержка облачных услуг). Помогу сориентироваться, какие задачи по кибербезопасности нужно решить именно вашему бизнесу.