Журнал "Information Security/ Информационная безопасность" #5, 2020

Что такое SOC? Для обнаружения и обработки инци- дентов многие организации выделяют в своей инфраструктуре центр монито- ринга и управления информационной безопасностью, то есть SOC (Security Operations Center), или, другими словами, ситуационный центр информационной безопасности. Концепция SOC направлена на обес- печение непрерывного анализа воз- никающих рисков и угроз, выбора эффективных мер защиты, своевре- менной реакции на инциденты и успешного взаимодействия подраз- делений в рамках обеспечения без- опасности. Следует отметить, что для монито- ринга всей ИТ-инфраструктуры требу- ется отслеживать и обеспечивать кор- реляцию для достаточно большого объе- ма событий. При этом неизбежно возни- кает и целый ряд технически сложных задач, среди которых можно выделить следующие: 1. Сбор событий из самых разных источников информации – средств защи- ты, АРМ, бизнес-систем, баз данных, серверов... И все это с учетом возмож- ных ограничений по каналам связи, ресурсам хранения данных и т.п. 2. Поступление событий от источников на разных языках прикладного уровня и доставляемых до системы анализа по разным протоколам; каждый тип такого события должен быть корректно прочитан и обработан для последую- щего анализа и соответствующей реак- ции. 3. Необходимость проведения ком- плексной корреляции событий и выстраивание правильных и значимых с точки зрения ИБ взаимосвязей. Технической основой SOC является система управления событиями инфор- мационной безопасности – SIEM (Security Information and Event Management). SIEM предназначена для анализа поступающей информации от различных устройств, подключенных к ней, и даль- нейшего выявления возникающих инци- дентов, в том числе в отдельном (защи- щаемом) сегменте сети. Она работает с большим потоком разнородной инфор- мации от различных источников. Данная система служит инструментом для сбора, фильтрации, унификации, хранения и поиска, корреляции, создания опове- щений об инцидентах, визуализации, разбора и расследования инцидентов информационной безопасности. Рассмотрим пример работы SIEM в части сбора событий от источников в защищаемом сегменте сети (см. рис. 1). На рисунке показано схематическое взаимодействие источников событий, расположенных в защищаемом сегменте сети, с приемником событий SIEM ситуа- ционного центра. Источники могут быть как активными, то есть умеющими самостоятельно передавать данные в SIEM, и им достаточно указать сетевой адрес приемника событий, так и пассив- ными, то есть к которым SIEM сама должна обратиться. Примеры активных источников – устройства, передающие данные, например, по протоколам Syslog или Netflow. Пассивные источники – это устройства, которые только принимают сетевые подключения, например, по про- токолам FTP, CIFS, HTTP, SCP для выгрузки своих файлов журналов. Поскольку защищенный сегмент, как правило, отделен от остальных корпо- ративных и внешних сетей, то он может представлять собой "слепую" или "полу- слепую" зону для инженеров SOC. Это прежде всего связано с тем, что на практике могут существовать значитель- ные законодательные, организационные и технические трудности при организа- ции передачи данных в ситуационный центр из защищаемого сегмента и наоборот. Канал связи и каналообра- зующее оборудование между защищае- мым сегментом и SOC представляют собой потенциальную возможность для облегчения компрометации объекта, тем самым снижая уровень защищенности последнего. Дело в том, что в современной терми- нологии сетей связи практически любое сетевое подключение к защищаемому сегменту или объекту трактуется как двунаправленное и чаще всего таким и является. Промежуточные звенья сети, средства защиты, дополнительное обо- рудование не оказывают какого-либо влияния на принципиально двунаправ- ленный характер такого взаимодействия, вне зависимости от используемого типа средств защиты – межсетевые экраны, маршрутизаторы, программное обес- печение и т.п. При этом важным аспектом двуна- правленного взаимодействия остается тот факт, что оно несет риски потери управления критическим объектом со стороны авторизованных управляющих служб, диспетчерских подразделений, служб поддержки. Это становится воз- можным из-за относительно высокой вероятности реализации атаки по дву- направленному каналу. Речь идет о классе управляемых атак, для эффек- тивной организации которых необходи- мым условием является наличие опера- тивной обратной связи – обмена вида "запрос-ответ", обеспечиваемого пре- 26 • СПЕЦПРОЕКТ Однонаправленные шлюзы для подключения объектов технологической сети к SOC валифицированные злоумышленники, владеющие различными методами взлома и способные реализовать сложные кибератаки на ИT-инфраструктуру, в настоящее время являются одной из наиболее опасных угроз для любого бизнеса. Нарушение целостности, потеря доступности сетевой инфраструктуры и/или потеря конфиденциальных данных могут поставить под угрозу достижение целей компании и нанести ей непоправимый репутационный, а также экономический ущерб. Именно поэтому необходимо на ранних этапах выявлять организацию и развитие кибератаки, своевременно реагируя на инциденты ИБ. К Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП Виктория Стерлядева, инженер группы информационной поддержки АМТ-ГРУП Анастасия Лазарева, инженер группы информационной поддержки АМТ-ГРУП