Пилотирование SOC: особенности запуска, типовые ошибки и как их избежать

Невозможно просто так взять и стать счастливым обладателем SOC, решив все свои проблемы с киберугрозами. Компания должна в первую очередь проинспектировать свои ресурсы и определить, есть ли у нее необходимый минимум для такого рода защиты. Не стоит пренебрегать и пилотированием: это не просто пробная стадия, которую можно пропустить, сэкономив. Она позволяет выявить все потенциальные ошибки в будущем. Риск-ориентированный подход в построении SOC поможет определить  целесообразность защиты от тех или иных угроз. Если все эти условия соблюдены, защита с помощью SOC действительно будет непревзойденной.

Мы выделяем минимальные требования, которые позволяют компаниям перейти к реализации SOC, например, наличие базовых средств безопасности и системы сбора логов с оборудования, поддержка топ-менеджмента. Без минимальных требований компания с большой вероятностью столкнется с неудовлетворенностью качеством, отрицательной экономической эффективностью и, как следствие, провалом инициативы SOC.

Избежать подобных последствий поможет не только соблюдение минимальных требований, но и пилотирование SOC. Пилот позволит выявить проблемы в реализации функций ИБ, взаимодействии заказчика с внешними подрядчиками по ИБ, а также поможет понять степень зрелости процесса реагирования компании на ИБ-инциденты.

Этапы ввода пилота в эксплуатацию

Мы разделяем пилотирование SOC на три этапа: подготовку, построение и запуск. В свою очередь, каждый этап включает определенный список задач.

Этап подготовки включает:

• консультацию заказчика,
• организацию единой схемы сбора событий ИБ,
• определение перечня источников событий,
• согласование способов передачи событий ИБ,
• подготовку инфраструктуры,
• подготовку инструкций для конфигурации источников событий.

Этап построения включает:

• настройку схемы сбора логов,
• подключение всех источников событий,
• модернизацию схемы сбора событий ИБ,
• использование каталога use-case в соответствии с заданием.

Этап запуска включает:

• работу с use-case, переданными в эксплуатацию;
• уведомления об инцидентах.

Типовые ошибки при пилотировании и как их избежать

При запуске пилота компания может допустить одну или несколько ошибок, перечисленных ниже.

Слишком сложный сценарий для пилота

Заказчики со зрелым ИБ-отделом обычно уже понимают, какая конфигурация SOC им нужна. Они составляют требования под свои системы, желаемые сроки. Но не всегда эти требования сходятся с действительностью.

Например, один из сценариев в требованиях клиента — это мониторинг изменений на файловой системе: доступ к файлам, изменение и удаление. Такой сценарий в пилоте часто сложно реализовать именно со стороны клиента. Для него может быть затратно вносить изменения в свою инфраструктуру: настраивать групповую политику, прописывать для нее политики аудита. Часто клиент оказывается к этому не готов.

Мы советуем опираться на создание и тестирование простых сценариев, которые помогут увидеть, как работает команда аналитиков SOC в части мониторинга и реагирования на инциденты.

Неготовность проводить пилоты с несколькими провайдерами сразу

В рамках тендеров крупные заказчики обычно пилотируют двух-трех сервис-провайдеров. И иногда они сами не знают, как работать одновременно с несколькими участниками. У каждого участника может быть своя SIEM-система, и форматы данных между ними могут быть несовместимы.

Мы помогаем сделать унифицированную транспортную систему для сбора логов. Настроить все так, чтобы форматы данных были для всех участников универсальны и чтобы логи на пути к SIEM не обрезались и не менялись. Обычно мы включаемся в пилот раньше и сначала делаем такую инфраструктуру сбора логов для своей SIEM, а затем заказчик подключает к ней остальных участников.

Если у компании мало ресурсов, мы советуем не пилотировать несколько провайдеров. На выходе компания может получить огромное количество инцидентов и непонимание, как на них реагировать.

Задержки по времени из-за взаимодействий исполнителя с ИТ- и ИБ-командами заказчика

Заказчики не всегда понимают, как будет спланирован софт. Обычно для них это новый проект и они не закладывают время на работу ИТ-специалистов. Когда дело доходит до реальных пилотов, начинаются большие задержки по времени: один специалист в отпуске, другой занят на других работах.

На этапе подготовки пилота мы разделяем источники событий по ответственным группам и всегда прописываем, кто является основным контактом на стороне заказчика и сервис-провайдера; с кем можно связаться, если основной контакт недоступен; на кого можно эскалировать, если у заказчика многоуровневая структура.

Инфраструктура заказчика оказывается не готова к внедрению SOC

Во время пилота могут выявляться различные недочеты. Например, у заказчика отображается большое число пользователей, потому что он забыл удалить из системы часть бывших сотрудников. С точки зрения ИБ это может представлять угрозу.

Предусмотреть все проблемы невозможно, поэтому в процессе пилота сервис-провайдер не должен терять связь с заказчиком. В подобных случаях мы стараемся убрать недочеты и показать, где нужно навести порядок в инфраструктуре. Для этого мы собираем команду пилотирования и команду заказчика раз в неделю и обсуждаем текущие задачи.

Нет команды реагирования

Заказчик может внедрить SOC, но не подготовить группу реагирования, которая будет устранять инциденты. Из-за этого работа SOC теряет смысл.

Группа ИБ не сможет заниматься реагированием на инциденты — у них другие задачи, они не занимаются взаимодействием с конечными пользователями. На предпроектном этапе мы говорим, что, скорее всего, нужно будет сформировать команду внутри компании заказчика, согласовать ее вовлечение и делегировать определенные полномочия, выдавать задания в свою службу хелпдеска.

Риск-ориентированный подход при внедрении SOC

Наша методология внедрения сервиса SOC основана на риск-ориентированном подходе. Такой подход позволяет адекватно оценивать рентабельность вложений в ИБ. Если потенциальный финансовый ущерб компании от хакерской атаки составляет 100 000 ₽, а техническое средство защиты стоит 100 000 €, то вкладываться в него нет смысла и нужно искать другое решение.

Риск-ориентированный подход состоит из трех этапов.

1. Проведение анализа рисков. Определяем, какие из рисков важны для защищаемой ИТ-системы или процесса, насколько они вероятны и какой ущерб могут нанести, какие ресурсы необходимо в первую очередь защищать с учетом приоритетов бизнеса.

2. Составление карты или модели угроз. На основе составленного выбора эффективных мер по снижению рисков и методов защиты активов разрабатываем наборы правил для реализации их в SIEM-системе. Такой подход позволяет избежать вложения средств в неприоритетные или несущественные направления, а также сразу приступить к предотвращению наиболее вероятных угроз для организации.

3. Поэтапная реализация и «закрытие» модели угроз. Делается с помощью каталога сценариев детектирования угроз, а также с использованием механизма определения аномалий (User Behavior Analytics), который позволяет дополнять базу актуальными use case.

Такой подход выявляет актуальные риски для вашей компании и оценивает потенциальные финансовые потери. Это позволяет определить наиболее эффективные меры минимизации рисков.