Журнал "Information Security/ Информационная безопасность" #4, 2023

Зачем это все Security Operations Center (SOC) – централизованное подразделение, кото- рое отвечает за мониторинг, обнаруже- ние, анализ и реагирование на инциден- ты безопасности в информационных системах и сетях компании. Основная роль SOC заключается в предоставлении в реальном времени информации об угрозах и защите от них. Команда сотрудников центра ведет круглосуточный мониторинг сети и систем организации, выявляя такие признаки подозрительной активности, как попытки несанкционированного доступа, заражение вредоносным ПО и прочие виды кибератак. Для этого используются различные инструменты и технологии, включая системы обна- ружения и предотвращения вторжений (IDPS), системы управления информа- цией и событиями безопасности (SIEM), инструменты защиты конечных точек (EDR), специальные выделенные среды для исполнения компьютерных про- грамм (Sandbox), а также инструменты автоматизации реагирования на инци- денты (IRP). Как только потенциальный инцидент обнаружен, команда SOC начинает ана- лизировать и расследовать все его обстоятельства, чтобы определить мас- штабы влияния на системы и данные организации. Специалисты центра могут предпринять шаги по локализации инци- дента и смягчению его последствий, например блокировать вредоносный тра- фик, поместить зараженные системы в карантин и применить исправления (апдейт) безопасности. Помимо реагирования на инциденты, команда SOC играет важную роль в проактивном поиске угроз и управлении уязвимостями. IRP-эффект Автоматизация рутинных задач стала заметной тенденцией в области кибер- безопасности. Она освобождает сотруд- ников от необходимости вручную управ- лять процессами и позволяет им повысить эффективность работы в других областях, одновременно снижая негативное влия- ние человеческого фактора. Этот тренд сформировал формат плат- формы реагирования на инциденты (Inci- dent Response Platform, IRP), которая содержит все необходимое для запуска стандартной последовательности дей- ствий (плейбука), автоматически выпол- няя определенные шаги на различных этапах ответа на угрозу. Для различных типов инцидентов могут быть созданы индивидуальные сценарии действий. IRP автоматизирует процессы SOC и собирает всю необходимую информацию в одном месте. С помощью IRP можно собирать данные об инцидентах, активах, организационной структуре и уязвимостях. Это как централизованный узел или агрегатор, объединяющий команду SOC, ИБ и ИТ, а также руководство для быстрого реагирования на инциденты, эффектив- ного контроля поверхности потенциальной компьютерной атаки и общего управления безопасностью в организации. При должном уровне функционально- сти IRP и правильном подходе к исполь- зованию платформы она становится основой для работы SOC, вокруг которой формируются все остальные аспекты деятельности центра. SOC в вузах: предпосылки Рассмотрим кейс реализации центра операционного управления и монито- ринга ИБ с применением IRP в рамках проекта межвузовского MSSP SOC. Он был "собран" на базе четырех универси- тетов Казани – КНИТУ-КАИ, КФУ, КГЭУ и Университета Иннополис. Исходя из опыта взаимодействия с вузами, в 90% случаев выделенной коман- ды для обеспечения информационной безопасности в них нет. Задачи по про- тиводействию компьютерным атакам воз- ложены на ИТ-специалистов либо на непрофильные подразделения с подходом исполнения требований регуляторов. Если рассматривать модели, при кото- рых хакерам становится интересно ата- ковать инфраструктуру учебных заве- дений, то мы увидим следующие сцена- рии, наносящие существенный как репу- тационный, так и финансовый вред орга- низациям при реализации: l шифрование либо другие действия, направленные на саботаж либо полную остановку процесса обучения; l кража персональных данных студентов и преподавателей – особенную заинте- ресованность у хакеров вызывают вузы, ведущие подготовку кадров для значи- мых в государстве отраслей (оборонная и научная отрасли); l кража патентов и изобретений – мно- жество вузов занимаются разработками и инновациями, получение доступа к таким данным может нанести значи- тельный ущерб вузу и государству. В 2022 г. вузы часто становились жертвами атак хакеров и хактивистов, причем ИБ-обострение практически для всех известных высших учебных заве- дений произошло в момент начала активной работы приемных комиссий 1 . Целями атак были веб-сервисы, позво- ляющие автоматизировать процессы проверки и приема абитуриентов. Основным способом атак стал уже проверенный метод затруднения работы веб-сервисов – DDoS-атаки. Фиксиро- вались и более сложные типы атак, например атаки через цепочки поставок с целью осуществления Deface – подме- ны отображаемого содержимого для пользователя. В плоскости практики Межвузовский SOC в Казани задумы- вался в качестве центра компетенций, несущего основную ответственность за 64 • УПРАВЛЕНИЕ IRP в межвузовском SOC: формат проактивной ИБ-стратегии роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани. О Илья Лорич, ведущий инженер отдела информационной безопасности Innostage 1 https://realnoevremya.ru/articles/254040-kak-vuzy-kazani-otbivayut-ddos-ataki-ili-gosuslugi-v-pomosch-vypusknikam