Журнал "Information Security/ Информационная безопасность" #5, 2021

ков. Здесь важно отметить, что без про- ведения регулярной оценки и анализа рисков в том или ином виде, с той или иной степенью детализации и результа- тивности невозможно получать и актуа- лизировать знания о контролируемой инфраструктуре, актуальных угрозах и допустимой стоимости применяемых контрмер. Важная часть ИБ – это управ- ление уязвимостями. И с учетом того, что процесс их устранения и обновления ПО достаточно трудоемкий по ресурсам и времени, целесообразно корректиро- вать эти приоритеты исходя из критич- ности находимых уязвимостей. Шаг 3. Обогащение Направлений для увеличения глубины событийной видимости SOC сейчас достаточно много. Это и обогащение событий средствами XDR и других рас- ширенных практик, и увеличение сетевой прозрачности средствами мониторинга сетевых аномалий (NBAD, Network Beha- vior Anomaly Detection). Для обогащения информации об инцидентах применяются различные фиды средствами платформ Cyber Threat Intelligence (CTI). Шаг 4. Анализ и визуализация Объем доступных данных вынуждает подразделения SOC использовать авто- матизированные инструменты. Системы оценки поведения пользователей и объ- ектов (UEBA) применяют алгоритмы машинного обучения и статистический анализ для поиска отклонений в дей- ствиях, выполняемых людьми. Системы UEBA могут обнаруживать в том числе внутренние угрозы и учетные записи пользователей, контролируемые зло- умышленниками. Кроме того, объедине- ние SIEM и UEBA может быть полезным, поскольку позволяет организовать цент- рализованную точку принятия решений. Шаг 5. Процессы и автоматизация Процессы SOC должны быть гибкими и постоянно развиваться с учетом теку- щих угроз. Их следует регулярно опти- мизировать, чтобы SOC мог обрабаты- вать инциденты в короткие сроки с расту- щим качеством. Чтобы по-настоящему проверить возможности подразделения SOC, можно подумать о найме "красной" команды (Red Team). Ее функции заключаются в имитации полноценной кибератаки. Оценка "красной" команды похожа на тест на проникновение, но более обширна и охватывает все векто- ры атаки. Тщательное тестирование помогает сформировать единицу SOC и повысить качество плейбуков – инструкций по реагированию на инци- денты, описывающих правильный поря- док действий аналитиков SOC с самого начала обнаружения, четкие процессы эскалации. Их использование и оптими- зация сокращают время отклика SOC на киберугрозу и, значит, степень ее негативного влияния. Шаг 6. Аналитики и команда Хотя многие инструменты помогают подразделениям SOC быстрее реагиро- вать и обеспечивать лучшую видимость, люди по-прежнему являются наиболее важной частью SOC. Автоматизация повторяющихся задач не снижает значи- мости специалистов-аналитиков. Однако мотивировать сотрудников SOC доста- точно сложно. Рабочие задачи специа- листов нижнего уровня рутинны, что может привести к высокой текучке кад- ров, если отсутствуют перспективы карь- ерного роста. Квалифицированный ана- литик SOC должен иметь обширные теоретические и практические знания об общей ИТ-инфраструктуре, включая сетевые устройства, устройства без- опасности, протоколы, серверы и рас- пространенные операционные системы. Кроме того, аналитики должны знать механику систем управления и обработ- ки событий и тактики, техники и про- цедуры противников (TTP). Этим навы- кам можно научиться в том числе с помощью тестирования на проникнове- ние и редтиминга. Центр киберустойчивости группы компаний Angara Поскольку угрозы становятся все более изощренными и могут за короткое время перерасти в крупномасштабные инциденты, киберзащита должна под- держиваться на всех стадиях рабочего процесса и строиться по многоуровне- вому принципу. Это обязывает подраз- деления SOC стать более гибкими и активными. В то же время они борются с огромными объемами данных и неуправляемыми рабочими нагрузка- ми. Переход к более оперативной защите требует изменений в технологиях и про- цессах подразделения SOC. При создании SOC организация уже должна иметь зрелую политику без- опасности, которую она выполняет. SOC способен только дополнять программу безопасности, но не заменять ее. Под- разделения SOC зависят от существующих техно- логий защиты, для блоки- рования обычных угроз и сбора данных с целью дальнейшего анализа. Для повышения эффективности своей работы подразделения SOC должны использовать новые технологии, прежде всего с целью минимизации количества повторяющихся событий, которые необходимо анализировать вручную, увеличения качества их анализа и ско- рости реагирования на инциденты. Так, на сегодняшний день Центр кибер- устойчивости группы компаний Angara включает следующие практики: l коммерческий SOC, являющийся центром ГосСОПКА класса А; l автоматизация процессов ИБ в части организации мониторинга событий (SIEM/SEM); l обогащение процессов ИБ сторонней аналитикой (TI(P) & Security Feeds); l мониторинг и управление инцидента- ми ИБ (SIEM/IR(P)) [On-Premise & Outso- urce]; l автоматизация управления и реаги- рования на инциденты ИБ (IR(P)/SOAR) [On-Premise & Outsource]; l визуализация и контроль метрик эффективности ИБ (Security Intelli- gence); l автоматизированная атрибуция угроз (Angara Crawler) [MITRE ATTACK ® , SHIELD ® , БДУ ФСТЭК]; l защита бренда; l выездные расследования и форензи- ка (DFIR); l аналитическое сопровождение по модели MSSP для Sandbox/EDR. Некоторые средства реактивной защи- ты можно автоматизировать, но органи- зация должна знать и осознавать свои риски в части ИБ и иметь качественную экспертизу. Возможно предоставление внешней экспертизы путем замещения функциональных ролей SecOps сотруд- никами Центра киберустойчивости по различным моделям партнерского взаи- модействия. У нас также есть опыт выполнения функций реагирования на подозрения на инциденты ИБ, которые направляет сторонний SOC. l • 21 IRP, SOAR, SOC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ Группа компаний Angara см. стр. 56 NM Реклама