Журнал "Information Security/ Информационная безопасность" #2, 2019

Действительно, SOC является одним из ключевых компонентов подразделе- ния информационной безопасности любой организации. В качестве базовой платформы для организации SOC, как правило, выступает система мониторин- га событий ИБ (SIEM). В настоящее время большинство SOC решают только задачи начального уровня: l сбор и хранение событий ИБ в едином централизованном хранилище; l верхнеуровневая простая корреляция событий между различными источниками; l базовая визуализация и отчетность. Однако атаки с каждым годом стано- вятся все более сложными и часто направленными на конкретную компа- нию. Обнаружение таких атак требует не только достаточного объема обраба- тываемых событий ИБ, но и эффектив- ного, понятного и управляемого инстру- мента их выявления. Говоря о других проблемах SOC, не имеющих достаточно высокого уровня зрелости, хотелось бы отметить: l отсутствие глубокой интеграции SIEM в инфраструктуру компании; l отсутствие единого подхода к созда- нию условий правил корреляций, их опи- сания и документирования; l использование в SIEM неэффективных правил корреляции, которые не позволяют выявлять многие актуальные угрозы ИБ; l разрозненность и несистематизиро- ванность существующих правил корре- ляции SIEM, что ведет к затруднению их настройки, управления и модернизации; l нехватка в составе SOC квалифици- рованного персонала; l отсутствие механизма обнаружения целенаправленных атак. Построение модели выявления инцидентов В данной статье описывается подход, включающий средства и методы, кото- рые позволят эффективно построить модель выявления инцидентов ИБ при помощи SIEM собственными силами. Реализация данной модели требует построения сложной, многоуровневой системы обработки событий ИБ. Каждый из уровней должен выполнять четко определенный перечень задач, что поз- воляет облегчить процесс эксплуатации, администрирования и обеспечивает про- зрачность работы всей модели в целом. Все уровни должны быть взаимосвязаны и должны использовать в своей работе результаты выполнения предыдущих (или даже нескольких) задач. Ниже приведены задачи, решаемые моделью в целом: l сбор и обработка инвентаризационной информации о ресурсах, активах, поль- зователях и т.д. на основе состава посту- пающих событий; l категоризация поступающих событий на основе их логического значения; l сбор и проведение аналитических вычислений, необходимых для выявле- ния инцидентов; l выявление инцидентов ИБ и их авто- матическая классификация; l выявление атак, определение связно- сти произошедших инцидентов, стадий атак и их классификация согласно миро- вым стандартам. Уровень инвентаризации Уровень инвентаризации (Inventory level) выполняет интеллектуальную обработку поступающих событий, используя механизмы машинного обучения (Machine Learning), что позво- ляет проводить постоянное обучение и актуализацию информации о суще- ствующей ИТ-инфраструктуре. Одним из неоспоримых плюсов является воз- можность выявления компонентов инфраструктуры организации, которые могут быть даже не подключены к SIEM. Так, например, анализ трафика в части используемых портов может сказать об источниках и сервисах, установленных на них, и т.д. Уровень инвентаризации реализует следующие функции: l на регулярной основе производит автоматическую оценку качества посту- пающих событий ИБ в SIEM; l обеспечивает точную идентификацию источников в поступающих событиях ауди- та (например, IP-адрес, имя хоста и т.д.); l назначает категории для источников событий и других компонентов инфра- структуры, а также названия сетей, используемых в компании (например, контроллер домена, БД, сеть DMZ и т.д.). Результатом работы уровня инвента- ризации является обеспечение досто- верной информацией, "что, где и как" функционирует в компании в режиме реального времени и используется последующими уровнями модели выявления инцидентов ИБ. Уровень категоризации Реализация уровня категоризации (Categorization level) позволяет описать любые события на любом источнике и обогатить их дополнительной инфор- мацией – категориями, однозначно гово- рящими о сути произошедшего события. Например, события успешной аутен- тификации в операционных системах Windows и Unix дополнятся информаци- ей, отвечающей на вопросы: l "Что произошло?" – "Аутентификация". l "Где произошло?" – "Операционная система". l "Каков результат?" – "Успех". Необходимо выполнить следующие шаги для реализации данного уровня: l определить события, используемые в процессе выявления инцидентов ИБ; 20 • ТЕХНОЛОГИИ Актуальные проблемы SOC опросы построения эффективного ситуационного центра мони- торинга информационной безопасности (Security Operation Center, SOC) затрагивают практически все организации, обеспокоенные современными угрозами информационной безопасности. Такой интерес вызван прежде всего постоянно совершенствующимися атаками и потребностью в современном инструменте противодействия им. В Никита Цыганков, руководитель направления внедрения средств защиты информации, АО “ДиалогНаука” Иван Лопатин, технический эксперт, АО “ДиалогНаука”