Эффективная система мониторинга безопасности

Как создать её?

Максим Большаков, руководитель направления security EdgeЦентр

В 2024 году доля киберпреступлений составила 40% от общего числа преступлений, зарегистрированных в России, а их количество увеличилось на 13,1% по сравнению с 2023 годом. По прогнозам экспертов, эта статистика в ближайшие годы станет еще менее оптимистичной, так что вопросы цифровой безопасности сейчас являются ключевыми как для государственных, так и для коммерческих организаций. Предотвратить потенциальные киберугрозы и минимизировать последствия уже наступивших поможет система мониторинга безопасности, или SOC.

Что такое SOC

SOC (Security Operations Center) — это центр мониторинга информационной безопасности, который отвечает за оперативный мониторинг IT-среды и предотвращение киберинцидентов.

Функции центра мониторинга безопасности могут отличаться в зависимости от масштаба предприятия и его организационной структуры. Чаще всего в сферу ответственности SOC входят:

Активный мониторинг IT-среды и сбор данных об инцидентах. Обычно операторы SOC собирают информацию с рабочих мест сотрудников, сетевых устройств и других объектов компьютерной инфраструктуры в режиме 24/7, чтобы как можно раньше обнаружить и остановить возможную атаку. Для мониторинга и сбора данных специалисты могут использовать SIEM-решения и EDR-продукты.

Анализ подозрительных событий. Получив уведомление о возможном инциденте, специалисты SOC определяют, есть ли угроза, и если есть, каковы ее характер и степень опасности.

Реагирование на угрозы. При обнаружении киберинцидента сотрудники SOC принимают меры по его устранению и минимизации ущерба.

Восстановление после инцидента. Специалисты SOC могут принимать участие в устранении последствий инцидента — в частности, в восстановлении пострадавших систем, файлов из бэкапа и так далее.

Расследование инцидентов. Эксперты SOC могут принимать участие в поиске причин киберинцидента. Результаты расследования помогут организации предотвратить подобные инциденты в будущем.

Ведение реестра ресурсов. Для успешного выполнения своих обязанностей сотрудникам SOC необходимо знать, какие объекты входят в контур безопасности предприятия и какие ИБ-продукты (продукты информационной безопасности) могут быть использованы для их защиты. Поэтому нередко именно они ведут реестр ресурсов компании.

Менеджмент соответствия требованиям. Поскольку сотрудники SOC отвечают за безопасность данных компании, довольно часто они же занимаются вопросами соответствия государственным и международным требованиям и регуляциям в сфере безопасности данных, таких как GDPR, HIPAA, CPPA и так далее.

Специалисты, работающие в SOC

В зависимости от размера организации и ее потребностей в сфере кибербезопасности SOC может быть как отдельным внутренним подразделением, так и частью обязанностей специалистов других ИТ-подразделений, или же передаваться на аутсорс внешнему провайдеру. Тем не менее, существует определенный набор ролей, необходимый для обеспечения полноценной работы SOC.

Аналитики по кибербезопасности. В SOC должны присутствовать специалисты нескольких уровней: первичная линия обороны, углублённый анализ и сложные инциденты.

Инженеры. Они настраивают и обслуживают решения, которые развёрнуты в SOC: SIEM, IDS, DLP и прочие продукты.

Руководители. Управляют работой SOC, организуют процессы и управление.

Охотники за угрозами. Постоянно ищут ещё не выявленные угрозы, которые существуют в сети.

Аудиторы соответствия. Следят за тем, чтобы организация соответствовала всем внешним регуляторным требованиям и внутренним правилам.

Специалисты по Security Engineering. Проектируют системы защиты, например, внедряют SOAR-платформы для автоматизации реагирования или настраивают honeypots для сбора данных об атакующих.

В зависимости от размера SOC в штат могут входить и другие специалисты, например, инженеры по реагированию на инциденты, эксперты по актуальным угрозам, форензик-аналитики.

Технологии и инструменты мониторинга безопасности

Архитектура систем, обеспечивающих кибербезопасность, может отличаться в зависимости от потребностей и размера компании, ее сферы деятельности и особенностей ведения дел. Небольшие организации, не являющиеся зарегистрированными операторами персональных данных, могут иметь значительно более простую SOC, чем крупные корпорации, занимающиеся госзаказами или исчисляющие свой денежный оборот миллиардами. Тем не менее, есть базовые инструменты, которые рекомендованы тем, кто хочет быть уверенным в безопасности своей информации.

• SIEM-системы. Комплексные системы, которые собирают и анализируют данные из различных источников. Они помогают обнаруживать и реагировать на угрозы в режиме реального времени. Примеры популярных SIEM-систем: Splunk, IBM QRadar, ArcSight.
• IDS/IPS. Системы обнаружения и предотвращения вторжений, которые анализируют сетевой трафик и выявляют подозрительные активности. IDS (Intrusion Detection System) обнаруживает угрозы, а IPS (Intrusion Prevention System) не только обнаруживает, но и блокирует их.
• Сканеры уязвимостей. Инструменты, которые постоянно отслеживают приложения и сети для выявления уязвимостей безопасности.
• Системы поведенческого анализа. Помогают выявить пользователей и организации, которые могут поставить под угрозу всю систему.
• Программы для защиты конечных точек (Endpoint Security). Защищают конечные устройства (ПК, мобильные устройства) от вредоносного ПО, вирусов и других угроз.
• Инструменты для управления идентификацией и доступом (IAM). Позволяют управлять доступом пользователей к ресурсам, а также обеспечивать двухфакторную аутентификацию (2FA) и единый вход (SSO).
• Программы анализа вредоносного ПО (Malware Analysis). Исследуют поведение вредоносных программ, что помогает в разработке сигнатур для антивирусов и создании эффективных мер защиты.
• Средства расследования цифровых следов (Digital Forensics). Нужны для анализа систем после киберинцидентов и восстановления доказательств для расследования.

Вопрос о том, насколько эффективно и целесообразно будет использование того или иного инструмента, должен оцениваться комплексно и опираться на реальные потребности организации.

Этапы реагирования на инциденты безопасности

Существует семь типовых этапов реагирования:

1. Подготовка. Это этап, не связанный с конкретным инцидентом. Он включает исследование актуальных угроз, оценку степени их опасности, проработку превентивных мер защиты и сценариев действий в случае атак. Также на данном этапе решается, как будет проводиться расследование тех или иных инцидентов информационной безопасности.
2. Идентификация события, то есть его обнаружение. Иногда удается выявить инцидент по факту возникновения, но во многих случаях это происходит значительно позже.
3. Сдерживание — прекращение угрозы, работа над сбором доказательной базы и сохранением конфиденциальности информации.
4. Ликвидация последствий инцидента. Например, восстановление документов из бэкапа (резервных копий), переустановка компонентов системы, повторное подключение устройств, проверка на корректность работы и т. д. Точный комплекс мер определяется по результатам расследования инцидентов.
5. Возвращение к деятельности, то есть попытки выстроить полноценную работу компании на том же уровне, который был до негативного события.
6. Расследование инцидента: выявление причин и обстоятельств его возникновения, поиск «дыр» в системе безопасности и оценка их критичности.
7. Усиление защиты информационных систем: внедрение новых программных и технических инструментов, пересмотр сценариев реагирования, обучение сотрудников и др.

Для профилактики, предотвращения и проведения расследований инцидентов внутренней безопасности целесообразно использовать системы DLP (Data Loss Prevention) — программные продукты, которые созданы для мониторинга информационного периметра, контроля каналов передачи информации, проверки соблюдения политик безопасности.

При обнаружении внутренних нарушений в зависимости от настройки они могут реагировать в режиме противодействия (например, блокировать передачу, копирование или печать документов) или в режиме мониторинга с отправкой уведомлений в службу безопасности.

Профилактика инцидентов в SOC

Реагирование на уже случившиеся инциденты позволяет минимизировать их последствия, однако наиболее эффективно SOC работает в том случае, если реагирование дополняется превентивными мерами. Материал для разработки и внедрения этих мер появляется в ходе расследований конкретных ситуаций и аналитической работы, направленной на их предотвращение.

Инвентаризация и анализ уязвимостей. Инвентаризация позволяет ориентироваться в инфраструктуре и даёт понимание, какие программные и технические средства используются в организации. Анализ уязвимостей помогает понять, какие уязвимости есть в инфраструктуре, что даёт понимание возможных «точек входа» злоумышленника.

Тестирование на проникновение (пентест). Пентест позволяет оценить уровень защищённости инфраструктуры, а при выявлении слабых мест — помочь организации с их устранением.

Анализ трендов угроз и методов атак. Специалисты проводят большую работу по анализу трендов, адаптируют правила корреляции в системе мониторинга для выявления новых угроз.

Как интегрировать SOC с другими системами безопасности

В зависимости от размера компании и её потребностей SOC может иметь различный уровень автоматизации и интеграции с другими системами безопасности. Один из самых распространенных способов — через использование инструмента SIEM-системы Log Collector. Он автоматически собирает информацию о событиях безопасности инфраструктуры. Источниками данных выступают антивирусы, фаерволлы, системы обнаружения вторжений, а также виртуальные машины и сетевое оборудование.

События безопасности передаются в SOC через зашифрованный канал и анализируются SIEM-системой. В ней происходит нормализация и корреляция данных, чтобы быстро определить возможные угрозы. Далее система автоматически принимает меры по предотвращению инцидентов или оповещает экспертов SOC для оперативного реагирования.

Для интеграции SOC с другими системами безопасности также может использоваться такой инструмент, как Service Desk. Зачастую он уже включён в состав SIEM-решения. Если нет, имеет смысл провести интеграцию. С помощью Service Desk соблюдаются сроки реагирования на инциденты, проводится оценка работы команды.

Еще один полезный инструмент — Security Awareness. Интеграция этого сервиса с SOC помогает эффективно обучать сотрудников киберграмотности. На основании верификации и реакции на инцидент сотрудникам направляется персонализированный обучающий материал.

Выводы

В обстановке постоянно появляющихся и меняющихся киберугроз обеспечение информационной безопасности выходит на передний план. Бизнес нуждается в эффективной защите, и SOC – один из основных способов эту защиту обеспечить. Конечно, не все компании нуждаются в высоком уровне защиты, предоставляемом SOC, однако если специфика бизнеса предполагает возможные утечки данных, DdoS-атаки и другие киберугрозы, интеграция внутреннего или внешнего SOC в информационные системы компании может быть полезной не только для непосредственного обеспечения безопасности, но и для повышения ценности компании на конкурентном рынке.