Журнал "Information Security/ Информационная безопасность" #5, 2021

Все эти факторы требуют от органи- заций повышения киберустойчивости. Одним из ее важных элементов является направление Security Operations и SOC как его составляющая. SOC – это функ- циональная структура, созданная для обеспечения потребностей заказчиков, как внутренних, так и внешних, посред- ством предоставления необходимых услуг и сервисов, а также информации для анализа и принятия обоснованных решений в процессах обеспечения ИБ и управления рисками. Допустимо сказать, что SOC является нервной системой всего организма ИБ и по-своему оказы- вается связкой между кибербезопас- ностью (Cyber Security) и киберустойчи- востью (Cyber Resilience), становясь центром информационных рисков. SOC даже можно назвать интегрированным операционным центром угроз (ITOC, Integrated Threat Operations Center). Системные слабости SOC и пути их преодоления Традиционный SOC имеет определен- ные системные слабости, избежать кото- рых можно только за счет качественного изменения структуры и составляющих процесса управления инцидентами: l пропорционально растущий шум в событиях (Noisy Alerts), увеличивающая- ся потребность в мощностях SOС, улуч- шении качества аналитики и соответ- ствующих инвестициях; l распределенность ландшафта и выте- кающая из этого плохая прозрачность гибридных сетей; l низкий уровень автоматизации, острая потребность в экспертном ресур- се, ведущая к потенциальному кадрово- му дефициту. По мере роста зрелости SOC и при наличии соответствующих запросов со стороны бизнеса он может абсорбиро- вать в себя следующие технологии. 1. Прежде всего использование авто- матизированных решений, способных анализировать большие наборы данных и эффективно выявлять угрозы и атаки с помощью современных технологий. Таким образом, аналитики могут уде- лять больше внимания человеческому аспекту атак и поиску угроз. Самые изощренные угрозы исходят от целена- правленных атак преступных групп, которые технологически и процессно подготовлены к тому, чтобы последо- вательно проводить их без ограничения по времени, в строгом соответствии с серьезно проработанными методами сокрытия активности и оставляемых следов. 2. Разработка новых процессов ана- лиза угроз для поддержания ситуацион- ной осведомленности. Инструменты ска- нирования распространенных уязвимо- стей и управления исправлениями долж- ны быть интегрированы и готовы свое- временно вносить необходимые коррек- тивы в текущее поле рисков. 3. Постоянно обновляемая информа- ция о киберугрозах (CTI, Cyber Threat Intelligence), полученная из внешних ресурсов и содержащая сведения о теку- щих тенденциях угроз и индикаторах компрометации (IoC). Анализ данных, полученных от CTI автоматизированны- ми инструментами и механизмами кор- реляции перед отправкой в системы для дальнейшего использования. SOC сле- дующего поколения потенциально смо- жет опираться на искусственный интел- лект (AI) и машинное обучение (ML) для выявления полезной и актуальной информации. 4. Автоматизация процессов реагиро- вания на инциденты ИБ и выполнение сценариев организации сбора доказа- тельств из различных источников для повышения производительности всего рабочего процесса SOC (по сравнению со временем, затрачиваемым аналити- ками на устранение тех же инцидентов вручную). 5. Использование инструментов без- опасности на базе машинного обучения для обнаружения поведенческих откло- нений в сетях и приложениях и анализ для выявления потенциальных вредо- носных действий, в том числе утечки данных (Exfiltration) и внутреннего нару- шителя. Стоит выделить основные шаги на пути зрелости SOC, которые необходимо выполнить и внедрить в рамках всего направления Security Operations. Шаг 1. Анализ видимости сети и инфраструктуры При построении и дальнейшей оценке качества работы SOC важно определить подходящую видимость сети и инфра- структуры клиента. Эффективность обнаружения угроз подразделениями SOC прямо пропорциональна их види- мости в сети. Однако это может приве- сти к исчерпанию возможностей про- изводительности, если детектирующая логика и соответствующие инструменты не адаптированы должным образом. Количество контролируемых объектов информационной инфраструктуры игра- ет важную роль в расширении видимо- сти активностей в сети. Помимо инфор- мации о количестве событий, SOC полу- чает доступ к картам топологии сети, которые описывают, как подключены различные устройства, и к карте активов в целом. Шаг 2. Управление активами и уязвимостями Чтобы действовать проактивно, SOC должен быть осведомлен об активах организации, в том числе и об их цен- ности. Эта оценка может строиться исхо- дя из финансовых и операционных рис- 20 • СПЕЦПРОЕКТ Самый SOC изнес-ландшафт меняется с развитием таких технологий, как мобильные и облачные решения, большие данные, Интернет вещей. Вместе с ними эволюционируют и киберугрозы. Злоумышленники используют новые методы, чтобы нарушить конфиденциальность, целостность и доступность информации и при этом избежать обнаружения, совершенствуют свои инструменты, ищут пути сокращения расходов и быстрой монетизации. Новая нормальность стимулирует цифровую трансформацию с ее потенциальными составляющими – искусственным интеллектом, автоматизацией и другими. Это открывает новые возможности для роста бизнеса, но также увеличивает и количество векторов для кибератак. Б Александр Носарев, руководитель отдела систем мониторинга и реагирования группы компаний Angara

RkJQdWJsaXNoZXIy Mzk4NzYw