Журнал "Information Security/ Информационная безопасность" #5, 2021

Для совершенствования внутренних процессов SOC CyberART использует три инструмента: 1. Threat Hunting – выявление новых угроз у заказчиков. 2. Полевые киберучения, в том числе на киберполигонах, например на таких, как The Standoff, в результате которых появляется новая информа- ция о подходах атакующих, выявлен- ных уязвимостях и используемых инструментах. Аналитики CyberART разбирают полученную информацию и затем используют ее на реальных объектах. 3. Threat Intelligence – сбор данных о киберугрозах из закрытых и открытых источников. Аналитики собирают новую информацию о тактике атак, известных брешах и уязвимостях, инструментарии и применяют эти знания в рамках нашей работы. Три типовые ошибки при взаимодействии с SOC Опыт CyberART подсказывает, что существуют три распространенные про- блемы при взаимодействии заказчика с внешними SOC. 1. Заказчик должен изначально быть готовым, что использование внешнего SOC обязательно потребует значитель- ных усилий с его, заказчика, стороны. Чтобы SOC был эффективным, требу- ется выстраивание хорошего взаимо- действия и с бизнес-пользователями, и с функциональными, и с ИТ, и со службами безопасности. Единого про- стого рецепта для повышения эффек- тивности этих коммуникаций нет, и важно не забывать, что даже в случае использования таких высокотехноло- гичных услуг в итоге всегда люди рабо- тают с людьми. 2. SOC не должен восприниматься как просто служба оповещения о нештатных ситуациях. Если SOC начи- нает считать, что его работа ограничи- вается только отправкой тревожного сообщения заказчику, его деятельность неэффективна. Цель SOC заключается в том, чтобы вместе с заказчиком дойти до корня возникающих проблем и помочь ему и в аспекте реагирования. Это кропотливая работа с обеих сторон, включающая в том числе тренировки службы заказчиков для повышения готовности к поступающей информации и запросам от SOC. SOC должен стать ресурсом, экспертизой и помощью заказчику в деле защиты от киберу- гроз. 3. SOC – не волшебная пилюля, кото- рая защитит всегда и от всего. Непра- вильное целеполагание со стороны заказчика может не позволить SOC сконцентрироваться на действительно важных для него задачах. Заказчик дол- жен четко определить те самые недопу- стимые события, которые SOC должен предотвращать. Вовлечение топ-менеджмента Как объяснить топ-менеджменту, зачем организации нужен SOC и поче- му за это нужно платить? Разумеется, отчеты с техническими метриками о количестве поступивших в систему событий, отработанных правилах, вре- менных характеристиках – все это биз- несу неинтересно ни в режиме реаль- ного времени, ни постфактум. Для ком- муникации с топ-менеджментом как раз прекрасно подходит практическая концепция недопустимых событий. Она позволяет SOC говорить на языке биз- неса: для вас выделены конкретные недопустимые события, наступление которых чревато финансовыми поте- рями, остановкой производства, репу- тационными издержками. И SOC в этой концепции занимается не просто мони- торингом, а именно предотвращением киберугроз. Формы представления информации для руководства заказчика могут быть различными, они меняются от компании к компании, от отрасли к отрасли и совсем не обязательно должны быть эстетически приятными. Достаточно доступно рассказать бизнесу про риски и реализацию функции предотвращения того, что действительно для него недо- пустимо. Что ж, рассмотрим более конкретную ситуацию: прошел очередной год использования SOC, за который не произошло ни одного инцидента. Как в этих условиях обосновать топ- менеджменту заказчика целесообраз- ность дальнейшего использования SOC? Как доказать, что недопустимое для заказчика на самом деле невоз- можно? На помощь приходят регуляр- ные киберучения, в рамках которых привлекаются независимые команды атакующих. Таким способом демон- стрируется, что SOC действительно способен обнаруживать потенциаль- ные атаки, а также блокировать дей- ствия атакующих до того, как они дошли до целевой системы и смогли реализовать неприемлемое. Но мы пошли еще дальше, предусмот- рев опцию в контракте на обслуживание, активирующуюся в случае, если за период не произошло атак. Дело в том, что часть стоимости сервиса заклады- вается как раз на активную фазу проти- водействия, в которой наши аналитики занимаются разбором и реагированием в усиленном режиме. Если подобных атак за время оказания сервиса не зафиксировано, мы можем вернуть часть стоимости сервиса либо в виде снижения суммы счета, либо в форме зачета опла- ты за будущие периоды. Это честно и всегда прекрасно воспринимается топ- менеджментом. Заключение К сожалению, часто в конкурсах заказ- чики, исходя из сложившейся практики, начинают требовать те параметры, кото- рые на самом деле им не нужны: реак- цию на инцидент в течение 20–30 мин., поток в 10 тыс. событий в секунду, пре- доставления 97% доступности сервиса. Да, конечно, все это в конечном счете имеет значение, но это лишь техниче- ские параметры, которые не отвечают на главный вопрос: а зачем, собственно, SOC нужен? Рынок ждет следующий шаг в разви- тии концепции SOC, когда сервис станут выбирать не по численным характери- стикам, а по понятной пользе – защите собственных объектов от недопустимых событий. Мы преследуем цель исключить реализацию недопустимых событий и киберрисков за счет создания центра предотвращения киберугроз, под кото- рый мы трансформируем наш SOC. Он решает главную потребность заказчи- ков – недопущение рисков и беспере- бойную работу бизнеса. l • 25 IRP, SOAR, SOC www.itsec.ru Рис. Изменение целеполагания в ИБ Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы