Журнал "Information Security/ Информационная безопасность" #4, 2023

информационную безопасность в уни- верситетах. При этом цель его создания подразумевала организацию SOC как части учебного процесса для организа- ции непрерывного пополнения кадрами из числа обучающихся и повышения их компетенции. Основой, или "ядром", межвузовского центра выступает технологическая плат- форма, использующая систему сбора и корреляции событий информационной безопасности Positive Technologies, а также система автоматизации реаги- рования на инциденты Innostage IRP. Зачастую системы класса IRP воспри- нимаются как инструмент для организо- ванных команд SOC, который позволяет улучшить/оптимизировать/автоматизи- ровать существующие процессы SOC. И это действительно так, ведь IRP является реализацией лучших практик организации процессов SOC согласно международным и отечественным стан- дартам и пожеланиям заказчиков. Но на этом проекте команда SOC смогла постичь бизнес-процессы посредством дружелюбного интерфейса IRP, в кото- ром многие методики автоматизированы. Иными словами, IRP стала платформой для обучения. Для данного проекта была подготов- лена соответствующая специфике инфраструктурная и обучающая архи- тектура. На площадках вузов реализо- ваны интерфейсы доступа к платформе IRP, обеспечивающие безопасную пере- дачу информации. Оборудование и про- граммное обеспечение для сбора и обме- на необходимой информацией между компонентами ИТ-инфраструктуры и платформой предоставляются универ- ситетам бесплатно. При этом задача мониторинга ИБ- инцидентов SOC возложена на студен- тов, а реагировать на них и контроли- ровать их действия будут преподава- тели и ИТ-сотрудники вузов. Менторы Центра противодействия киберугрозам Innostage CyberART предоставляют вузам сценарии противодействия ата- кам. Система защиты, основанная на этих сценариях, протестирована на реальной университетской инфраструк- туре, а студенты прошли обучение для распознавания аномальной и вредо- носной активности. Если ситуация носит чрезвычайный характер, будут подклю- чаться специалисты компаний, обеспе- чившие техническое решение SOC, – через удаленное подключение к систе- мам центра. Управление проектом опирается на менторинг. На сегодняшний день в меж- вузовском проекте реализуется контроль за обработкой инцидентов информа- ционной безопасности со стороны внеш- него и более опытного SOC, а также корректности использования IRP. Поми- мо постоянного менторинга, организо- вано четыре канала для оперативного решения возникающих проблем. Детали под углом IRP Внедрение IRP – это всегда адаптация под архитектуру и структуру заказчика. В этом отношении адаптация IRP в меж- вузовском SOC несильно отличается подходом и техническими моментами от проектов для других заказчиков. Главная адаптация происходит на мето- дическом уровне: были разработаны роле- вые и процессные модели функциониро- вания центра, в которых сотрудники Inno- stage выступают в качестве экспертов и менторов, а также плейбуки реагирова- ния, позволяющие отрабатывать основ- ные типы инцидентов без обширного опыта. Для интеграции IRP в процессы была разработана серия лабораторных работ, направленная на изучение функ- циональности системы, методов и вари- антов ее использования под процессин- говые модели. Помимо этого, лаборатор- ные работы направлены на применение лучших практик мониторинга и генерацию собственных экспертных тактик реагиро- вания, то есть лабораторные работы выступают связующим звеном между инструментами, процессами и теорией. Учитывая специфику проекта, из слу- чаев применения с другими ИБ-систе- мами межвузовского SOC представлено только SIEM-направление. Сейчас бла- годаря интеграции с IRP система напол- няется инцидентами, детектируемыми в ИТ-контурах вузов, где имеется свой SIEM-агент и своя организационная структура, что позволяет архитектурно разделить обработку инцидентов IRP в каждом из учебных заведений. Реализован также функционал IRP, который позволяет получить технические характеристики информационных акти- вов в качестве базы знаний для мини- мизации ручного труда по сбору и зане- сению этой информации. Данный меха- низм инвентаризации предоставляет дополнительный контекст об участниках инцидентов для операторов, обрабаты- вающих инциденты информационной безопасности. Распределенная архитектура с исполь- зованием агентов сбора событий без- опасности позволяет передавать инфор- мацию о них на центральный сервер, в наш периметр, где они проходят этап корреляции и далее поступают в IRP. Доступ осуществляется посредством веб- технологий, так как IRP для пользователя является, по сути, веб-приложением. При этом посредством использования межсетевого экранирования предостав- ляется точечный доступ как сотрудникам Innostage, так и сотрудникам вузов. Взаимодействие происходит по шифро- ванным каналам связи. Организация защищенной сетевой архитектуры была одной из задач реа- лизации межвузовского SOC. Опреде- ленная специфика существует также на уровне выявления и реагирования на инциденты, возникающие в ИТ-инфра- структуре вузов. Этап наполнения источниками событий и инвентаризацией еще идет, но осо- бенности проекта проявляются как мини- мум в предоставлении пакета эксперти- зы правил корреляции SIEM и плейбуков реагирования на типовые инциденты, в сопровождении образовательных мероприятий, технической и организа- ционной поддержки. Ведущая роль методологии Важно понимать, что в любой инфра- структуре, как правило, выделяются две причины возникновения инцидентов: неаккуратные нелегитимные действия пользователей, а также уязвимости в архи- тектуре и программном обеспечении ИТ и ИБ, которые являются лакомым кусочком цифрового пирога как для хактивистов, так и для хакерских группировок. Для любого инцидента требуется точка входа – это либо человек, либо ошибка человека, допущенная и не устраненная ранее. IRP в данном контексте всего лишь инструмент, который без экспер- тизы и методик применения бесполезен. Однако если имеется доступ к таким источникам знаний и основным инстру- ментам мониторинга, то IRP может выступать ключевым звеном в органи- зации обучения и процессов монито- ринга. IRP-платформа позволяет выстроить процессинг и предоставить контекст для команд реагирования. Реализация плейбуков помогает опре- делить и автоматизировать действия опе- раторов для типовых инцидентов. База знаний дает возможность сохранить в удобном, читаемом виде позитивный и негативный опыт обработки инцидентов, тем самым позволяя постичь процессы SOC и обработать преимущественную часть поступающей информации. В итоге IRP-система дает множество положительных эффектов не только для образовательного процесса, но и для процесса обеспечения комплексной без- опасности вузов, таких как: l наглядное понимание процессов мони- торинга инцидентов безопасности; l кратное снижение времени реагирования; l повышение эффективности процессов SOC/групп работы с инцидентами за счет автоматизации основных процессов (плейбуков); l снижение количества препятствий с целью получения значимой информации командой SOC за счет типовых плейбуков; l единая точка коммуникации и коор- динации между всеми сотрудниками, задействованными в обработке инци- дентов ИБ; l повышение осведомленности руково- дителей и контроля результатов деятель- ности SOC/групп реагирования посред- ством реализации автоматизированных дашбордов и рассчитываемых KPI. l • 65 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru