Журнал "Information Security/ Информационная безопасность" #2, 2019

Количество необработан- ных предупреждений сего- дня может достигать 50% от общего числа возникающих, а уровень ложных срабаты- ваний 60–80% – это означа- ет, что SOC-аналитики пытаются найти иголку в стоге сена. сократить трудозатраты анали- тиков. Часть из вышеупомяну- тых решений также может выступать дополнительными источниками для обогащения SIEM релевантными логами для возможности последующей их корреляции с событиями от иных подключенных систем. Эти инструменты по отдельности или в комбинации могут стать допол- нительными элементами в сце- нариях повышения уровня зре- лости существующих SOC. Аналитики первого уровня поддержки будут располагать инструментами, временем и полномочиями и по-настоящему будут соответствовать должно- сти аналитика, применяя свои аналитические способности, уделяя больше времени работе с потоками данных об угрозах и пр. А время старших аналити- ков будет перенаправлено на проактивный поиск угроз, про- ведение глубокого анализа инцидентов и разработку пла- нов эффективного реагирова- ния на сложные инциденты. В ходе опроса SANS 48% орга- низаций отметили, что процессы расследования и реагирования часто базируются на большом количестве точечных решений, которые не интегрированы между собой, что вынуждает аналитиков проводить большую часть своего времени, переклю- чаясь между несколькими инструментами и консолями, сокращая тем самым время на выполнение задач, которые дей- ствительно являются важными. При внедрении дополнительных средств защиты и автоматиза- ции нужно учитывать значимость интеграции этих решений между собой или изначально подбирать инструменты, включающие в себя ряд технологий и функций в рамках единого решения, что существенно облегчит работу SOC-аналитиков. В то же время нужно пони- мать, что никакая автоматиза- ция полностью не сможет устра- нить потребность в анализе, проводимом ИБ-аналитиками. Только комбинация высокого уровня автоматизации и моти- вированных профессионалов могут сделать SOC более силь- ным и эффективным. Невозможность обработки всех срабатываний Наличие квалифицированных кадров и автоматизация помо- гают справится с еще одной выделяемой компаниями про- блемой в SOC – это невозмож- ность обработать все поступаю- щие оповещения. Широкий спектр инструментов и компо- нентов информационной без- опасности, используемых сего- дня в организациях, а также подключаемые к SIEM-системам критически важные бизнес-при- ложения генерируют поток пред- упреждений, которые должны рассматриваться ежедневно. В итоге этот переизбыток информации приводит к тому, что слишком много оповещений остается без должного внима- ния. Следовательно, из-за необходимости просмотра и сор- тировки огромного количества событий и большого числа лож- ных срабатываний серьезные угрозы могут быть пропущены. При всем при этом нужно отметить, что современные SOC фокусируются на мониторинге ограниченного круга систем и тем самым полностью не накрывают контролем всю инфраструктуру. Например, ком- пании редко подключают конеч- ные точки в качестве источников журналов к SIEM-системам. Это происходит из-за высокой стои- мости сбора и обработки данных с них, а также, как было описано выше, из-за необходимости раз- бора огромного количества логов и часто большого объема лож- ных предупреждений, что требу- ет от организаций значительных трудозатрат. Неоспоримым является тот факт, что рабочие станции и серверы являются самыми распространенными точ- ками входа в инфраструктуру организаций, а также часто основной целью для киберпре- ступников. В дополнение хотелось бы отметить, что конечные точки сегодня являются ключевыми источниками данных, которые необходимы для эффективного расследования, предоставляя информацию о процессах, про- граммах, модулях, файлах, авто- запусках, сетевых подключениях и пр. Все вышесказанное плюс дебаты вокруг нового протокола TLS 1.3 и вытекающие в связи с этим сложности анализа зашиф- рованного трафика делает обра- ботку данных с конечных точек вдвойне важной для SOC. В SOC может использоваться, напри- мер, решение класса EDR для получения обработанных и кон- солидированных данных со всей инфраструктуры конечных точек для дальнейшего расследования и корреляции с информацией от других источников. EDR может также облегчить SOC-специали- стам получение доступа к цент- рализованно хранящимся дан- ным, необходимым для рассле- дования, в случаях, когда ском- прометированные рабочие стан- ции уже недоступны или данные зашифрованы злоумышленни- ками. Неформализованные рабочие процессы Еще одна проблема совре- менных SOC, которую выделяют компании, – это зачастую нефор- мализованные рабочие процес- сы. Непоследовательные дей- ствия в каждом конкретном про- цессе, будь то взаимодействие с пользователями, поиск файлов и хеш-функций или добавление новых правил, отнимают время аналитиков. Последовательный поток процессов позволяет избе- жать возможных ошибок, сокра- тить временные затраты на про- думывание следующих шагов и дает возможность направить усилия аналитиков на решение более важных задач. Сочетание выверенных про- цессов, эффективных средств защиты и грамотного персонала – так сегодня выглядит успешный SOC. Организации должны сосредоточиться на развитии внутренних талантов с учетом набирающей обороты пробле- мы профессионального выго- рания, сократить уровень лож- ных срабатываний, обогащая получаемые данные информа- цией из глобальных баз знаний об угрозах, и сократить количе- ство ручных задач на этапах обнаружения, расследования и реагирования, тем самым делая SOC более эффективным. l • 19 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru