Среднее по миру время обнаружения проникновений в корпоративную ИКТ-инфраструктуру, по оценкам, озвученным архитектором решений информационной безопасности компании НРЕ Евгением Афониным, составляет сегодня 243 дня. При этом каждую секунду компания средних размеров регистрирует примерно
Для адекватного реагирования на характеризующиеся такими показателями изменения ландшафта киберугроз нужно автоматизировать и централизовать сбор, корреляцию и желательно даже анализ (с помощью разработанных правил) ИБ-событий. В этих целях уже около двадцати лет применяются системы SIEM.
Наиболее часто российскими пользователями инструментов SIEM, как сообщил Евгений Афонин, применяются готовые (разработанные вендорами) правила и отчеты, связанные с корреляцией событий в платформе Windows, в сетевом трафике, контролируемом протоколом NetFlow, связанные с контролем соответствия стандарту PCI DSS, а в последнее время также с контролем выполнения требований стандарта NERC CIP, относящегося к ИБ инфраструктуры энергоснабжения.
Следующим за внедрением и эксплуатацией систем SIEM логическим этапом повышения киберзащищенности для компаний является этап построения собственного центра мониторинга и реагирования на ИБ-инциденты (SOC), или обращение за услугами SOC к внешним провайдерам соответствующих услуг. Рынок SOC примерно двое моложе рынка SIEM. Еще моложе рынок коммерческих SOC, предоставляющих услуги по мониторингу и реагированию на инциденты ИБ.
Старший консультант отдела консалтинга компании «ДиалогНаука» Ксения Засецкая напоминает, что строить собственный SOC для компании имеет смысл, только если уровень зрелости ее корпоративной ИБ достаточно высок для того, чтобы добиться определенности в целях и режиме работы SOC, чтобы обеспечить документированность его функционирования, взаимодействие участников процессов SOC, управление этими процессами, оценку эффективности и, наконец, анализ результатов и его развитие. Нередко для компании оказывается правильнее положиться на компетенции провайдера услуг SOC.
Следует учитывать, что события ИБ не всегда оказываются инцидентами. Определять критерии для выделения инцидентов из событий и проводить их приоритизацию специалисты «ДиалогНауки» рекомендуют на основе оценок ИБ-рисков, привязанных к реальным бизнес-процессам компании и нацеленных на минимизацию последствий реализации рисков для основной деятельности.
При реагировании на инцидент необходимо стремиться к минимизации времени между его выявлением и началом реагирования на него. За выявлением и началом реагирования следуют этапы расследования инцидентов, формирования (при необходимости) юридически значимой доказательной базы, анализа результатов расследования и устранения причин инцидента.
Оценка эффективности процесса управления инцидентами ИБ (иными словами, оценка эффективности функционирования SOC) в целом должна быть направлена на улучшение процесса управления инцидентами, эффективность реализуемых мер обеспечения ИБ, подхода и результатов оценки рисков, оптимизации области мониторинга, контроля и ИБ-политик.
В каждой бизнес-области формируются свои оценочные показатели. В качестве критериев для формирования метрик эксперты рекомендуют использовать стандарты ISO/IEC 270XX, NIST, Банка России, рекомендации SANS Institute, центров реагирования на компьютерные инциденты (CERT), рекомендации и документацию разработчиков SIEM и др.
Согласно статистике, собранной специалистами НРЕ, только 25% организаций смогли организовать эффективную работу своих SOC. По оценкам Gartner, причины столь невысокого показателя успешности заключена в организационных аспектах внедрения и эксплуатации.
Наиболее частыми ошибками при организации и повседневной работе ситуационных центров (SOC), по мнению специалистов НРЕ, являются следующие.
Недостатки в организации процесса поддержки. Сотрудникам SOC приходится часто взаимодействовать с большинством подразделений организации, и без поддержи руководства и четко определенной цели обеспечить эффективную работу по обработке инцидентов невозможно.
Упор на технические решения. Перекос бюджетов SOC в сторону финансирования внедрений технических решений при недостаточной квалификации и количества специалистов, в то время как большинство современных угроз требуют высокой квалификации пероснала, прежде всего аналитиков, и высокого уровня организации работы по расследованию инцидентов.
Нарушение принципа «от простого к сложному». Хвосты в решениях базовых задач ИБ обязательно приводят к затруднениям при решении задач более высокого уровня. Управление информационными активами, корреляция кадровой информации, категоризация информационных активов — эта информация является базовой при расследовании инцидентов.
Отсутствие фокуса. Решение несвойственных для SOC задач оказывает негативное влияние на результативность его персонала. Руководитель SOC должен следить за тем, чтобы его сотрудников не отвлекали на сторонние (для SOC) дела.
Ради «галочки». К сожалению, формальное решение задач по обеспечению соответствия (требованиям регуляторов или руководства) не всегда приводит к существенному повышению уровня защищенности.
«Выстрелил» и забыл. Финансирование ситуационных центров зачастую заканчивается с внедрением, и обеспечение ресурсами повседневной работы оказывается недостаточным.
Логика выявления инцидентов не доводится до дежурной смены. Недостаточный уровень коммуникации между операторами мониторинга и аналитиками приводит к тому, что созданный контент (правила, отчеты, инструментальные панели) не используется или используется неэффективно.
Недостаточная гибкость. Используемые злоумышленниками технологии атак постоянно совершенствуются, что предъявляет высокие требования к техническим возможностям системы мониторинга, сложности модификации и сопровождения корреляционной логики при одновременной необходимости обеспечивать установленные процедуры и SLA.
Сложно определить критичность. Затраты на обеспечение защищенности и расследование инцидентов никогда не позволяют обеспечить 100% покрытия. Успешный SOC должен иметь четкие параметры определения критичности инцидентов и использовать подход, основанный на рисках.
Неиспользование лучших практик. Отраслевые и неформальные сообщества позволяют обмениваться актуальной информацией по противодействию злоумышленниками. Ситуационные центры, которые не используют эти возможности снижают свою эффективность.