Журнал "Information Security/ Информационная безопасность" #5, 2021

Далее все недопустимые события рас- сматриваются в контексте инфраструк- туры, определяя системы, на которых потенциальный злоумышленник может реализовать их. Аналитики CyberART выявляют сегменты, в которых находятся эти системы, таким образом строя потен- циальные сценарии реализации недо- пустимых событий. Затем в дело вступает "красная" коман- да CyberART, одной из основных задач которой является проверка текущего уров- ня защиты. Проверяется собственная инфраструктура заказчика, ее текущее состояние, устойчивость к угрозам, имею- щиеся уязвимости, исследуется периметр, через который потенциальный злоумыш- ленник может проникнуть в систему. Исхо- дя из результатов проверки настраивается сервис мониторинга на уровне инфра- структуры, объектов, сети, бизнес-прило- жений и т.д. В дальнейшем недопустимые события исключаются соответствующими техно- логиями, работами и экспертизой спе- циалистов CyberART. Данный подход основан на концепции практической без- опасности стратегического партнера ГК Innostage – компании Positive Tech- nologies. CyberART предлагает разные модели взаимодействия с SOC: 1. Если у заказчика нет собственной службы ИБ, то CyberART работает как внешний SOC. 2. Довольно часто встречаются модели, когда специалисты службы информа- ционной безопасности на стороне заказ- чика выполняют оговоренный ряд задач. Мы стараемся развивать гибридные фор- маты, предоставляя при этом услуги SOC как классический сервис-провайдер. 3. Самый распространенный формат – это построение центров SOC на стороне заказчика. Как правило, крупный бизнес стремится иметь такую службу в собст- венной структуре. В этой модели мы решаем задачи разработки архитектуры, внедрения средств защиты и последую- щей их эксплуатации. По мере появления у заказчика собственных специалистов мы передаем им опыт, экспертизу, зна- ния, обучаем, поддерживаем и посте- пенно перемещаемся на вторую и третью линии. SOC CyberART технологически во мно- гом основывается на решениях своего стратегического партнера – компании Positive Technologies. Используются также и доработанные нашей командой системы на базе продуктов Open Source, включая специализированные утилиты для киберзащиты, стэк технологий боль- ших данных и др. Для того чтобы связать все продукты и процессы в еди- ное целое, в ядре SOC CyberART исполь- зуется собственная платформа реаги- рования на инциденты ИБ Innostage IRP 1 . Защита технологического сегмента Во многих отраслях недопустимые события, как правило, должны быть исключены в первую очередь на про- изводстве. Стоит отметить, что в зару- бежной практике разделены понятия ИТ-SOC и ОТ-SOC, они смотрят на корпоративный и технологический сег- мент соответственно. Однако опыт показывает, что такое разделение не оптимально, поскольку технологии и там, и там используются одни и те же, тактики и техники злоумышленников во многом совпадают, разве только цели различаются. С учетом этого в CyberART есть команды аналитиков, которые специализируются на защите технологического сегмента, и есть команды, которые специализируются на корпоративных сетях. При этом они обмениваются знаниями и умением делать недопустимые события невоз- можными. Ни одна атака не происходит мгновен- но, она, как правило, проходит стадии разведки, закрепления, проникновения, продвижения, и только потом происходит целенаправленное воздействие. В рамках нашего подхода о недопустимости непри- емлемых событий ИБ мы стремимся сократить количество точек возможного проникновения в защищаемую систему. Для этого увеличивается число шагов от периметра до целевой системы, то есть возрастает сложность возможной атаки. Технически подключить к SOC можно любую инфраструктуру. Но в тривиаль- ном случае это ничего не даст, кроме потока событий и уведомлений, не при- водящего к какому-либо полезному результату. Поэтому не любую инфра- структуру можно подключить к SOC эффективно, и могут потребоваться определенные работы по ее трансфор- мации. Как правило, у заказчика не бывает много недопустимых событий и все они локализуются на известных целевых системах. В этом случае SOC может сконцентрироваться на контроле и защи- те именно этих целевых систем. Иными словами, если у заказчика есть фили- альные сети от Кореи до Карелии, но при этом руководство определяет пер- воочередной задачей защиту от опре- деленных событий только в значимых системах, то можно сконцентрироваться на защите именно данных систем, не "размазывая" функциональность SOC на всю инфраструктуру. В противном случае может получиться долго, дорого и без должного уровня качества. Если заказчик знает, что конкретно он хочет защитить, то получает возможность выделить бюджет именно на защиту необходимых систем, не ввязываясь в подключение тысяч источников во внутреннюю или внешнюю SIEM. 24 • СПЕЦПРОЕКТ SOC CyberART: сделать недопустимые события невозможными бычно SOC предлагает меню сервисов, из которого заказчику предлагается самостоятельно выбрать тот или иной комплект услуг.Это не совсем корректно, поскольку не дает возможности связать получаемые услуги с бизнес-целями самого заказчика. CyberART придерживается другого подхода: с самого начала вместе с заказчиком определяются так называемые недопустимые события, то есть действительно критичные для компании, которые могут нанести серьезный ущерб как операционной деятельности, так и стратегическим целям, а иногда даже привести к краху компании. О Владимир Дмитриев, руководитель центра предотвращения киберугроз CyberART ГК Innostage 1 https://www.itsec.ru/articles/soar-i-problema-racionalnogo-ispolzovaniya-srzi

RkJQdWJsaXNoZXIy Mzk4NzYw