Журнал "Information Security/ Информационная безопасность" #2, 2019

По данным последнего опроса SANS 2018 Security Operations Center Survey, где участвовали только предста- вители компаний, имеющие свой собственный SOC, большинство из опрошен- ных отметили, что затраты на построение центров ИБ- мониторинга и реагирования и предполагаемая отдача от таких инвестиций очень часто не оправдывают ожи- даний. В рамках данной статьи мы подробно рас- смотрим ряд факторов снижения эффективно- сти SOC, выделяемые респон- дентами вышеупомянутого исследования SANS, а также рассмотрим основные барьеры на пути к успешному функцио- нированию SOC, почему они возникают и какие есть пути их преодоления. Нехватка квалифицированных кадров Ключевой проблемой центров ИБ-мониторинга и реагирования является недостаток квалифи- цированного персонала. Эта нехватка обусловлена несколь- кими аспектами, и в первую оче- редь дефицитом кадров в сфере информационной безопасности. В SOC-команду требуются высо- коклассные нишевые специали- сты с обширными знаниями, чутьем и опытом в области ана- лиза вредоносного ПО, цифро- вой криминалистики, взаимо- действия с глобальными данны- ми об угрозах (Threat Intelligence), реагирования на инциденты и пр. Специалисты должны уметь правильно интерпретировать данные, получаемые от SIEM и средств защиты, видеть и извле- кать важную информацию из общего потока данных, регуляр- но корректировать правила кор- реляции и обогащать получае- мую информацию дополнитель- ным контекстом. К сожалению, большинство сотрудников пер- вой линии поддержки, находясь в роли аналитиков, обладают только базовыми знаниями в области информационной без- опасности. Тем не менее эти сотрудники принимают критиче- ски важные решения в отноше- нии получаемых ими оповеще- ний о возможных угрозах, нужно ли продолжать это расследовать или нет. Профессиональное выгорание Недостаток знаний у анали- тиков в вопросе противодей- ствия сложным угрозам, отсут- ствие необходимого контекста, который требуется для понима- ния серьезности получаемых в SOC оповещений, а также огромное количество рутинной, требующей большой концент- рации внимания работы усили- вают такое явление, как про- фессиональное выгорание кад- ров. Выгорание становится про- блемой, набирающей обороты. И здесь видятся несколько путей замедления ее прогрес- сирования. Сопоставление получаемой в SOC информации с глобаль- ными данными об угрозах может значительно повысить уровень вовлеченности SOC- специалистов в процесс сорти- ровки получаемых предупреж- дений и дальнейшее расследо- вание инцидентов, способствуя тем самым снижению профес- сионального выгорания анали- тиков. Благодаря предоставле- нию дополнительной контекст- ной информации улучшается понимание намерений, этапов и целей злоумышленников, уве- личивается эффективность обнаружения и качество прио- ритизации инцидентов, что значительно сокращает про- цент неточных расследований и повышает эффективность существующего SOC. Второе, что может помочь снизить выгорание специали- стов и сохранить кадры внутри организации, – это подготовка специалистов к переходу из одной линии поддержки в выше- стоящую. Организации должны стремиться к формированию практики воспитания внутрен- них талантов, профессиональ- ного обучения и предоставления возможности карьерного роста. Существенным вкладом в решение вопроса выгорания аналитиков и повышения эффективности SOC в целом является возможность макси- мальной автоматизации рутин- ных операций, необходимых в процессах функционирования SOC, особенно на этапах ана- лиза сложных угроз и реагиро- вания на инциденты. Недостаток автоматизации Недостаток автоматизации и оркестрации сегодня сильно беспокоит большинство органи- заций. Дополнительные к SIEM- решениям инструменты автома- тизации и оркестрации могут помочь сохранить интерес ана- литиков к работе за счет сокра- щения ручных задач по разбору большого количества получае- мых оповещений, а также по сопоставлению событий, анали- зу и ответным действиям на обнаруженные угрозы. Здесь можно упомянуть различные Anti-APT-решения и отдельно такие классы решений, как NTA (Network Traffic Analysis), EDR (Endpoint Detection and Respon- se), SOAR (Security Orchestration, Automation and Response), IRP (Incident Response Platform), которые способны значительно 18 • ТЕХНОЛОГИИ Преодоление барьеров на пути к эффективному функционированию SOC каждым годом все больше крупных организаций, понимая динамику роста числа, сложности и последствий от современ- ных угроз, останавливают свой выбор на построении собствен- ного центра мониторинга и оперативного реагирования на инциденты ИБ – Security Operations Center (SOC). Несмотря на задокументированные процессы, внедренные базовые техно- логии и в каком-то виде сформированный штат специалистов по мониторингу и реагированию, организации сталкиваются с проблемами, непосредственно влияющими на эффективность работы всей этой мощной машины под названием SOC. С Яна Шевченко, эксперт по информационной безопасности