Журнал "Information Security/ Информационная безопасность" #5, 2024

этого она позволяет оперировать бо’ льшими объемами данных. В отличие от SIEM, лог-менеджмент обычно ори- ентирован на долговременное хранение больших объемов данных. В SOC UserGate мы придерживаемся комбинированного подхода: данные для оперативного анализа и быстрой реак- ции размещаются в SIEM на дисках, обеспечивающих высокую скорость доступа. Такая архитектура позволяет аналитикам мгновенно получать доступ к свежим логам, что важно для выявле- ния и пресечения угроз в режиме реаль- ного времени. SIEM автоматически при- меняет к этим данным механизмы кор- реляции, сопоставляя разные события и выявляя аномалии. Однако не вся информация нужна для мгновенной обработки. Для более детального анализа событий, случив- шихся ранее, необходим доступ к исто- рическим данным. И вот здесь как раз вступает в работу лог-менеджмент. Дан- ные, которые теряют актуальность для оперативного реагирования, отправ- ляются туда на хранение, где они раз- мещаются на более медленных дисках. Эти носители не обладают высокой скоростью доступа, но позволяют хра- нить большие массивы данных на про- тяжении длительного времени. Такая стратегия обеспечивает SOC баланс между скоростью и объемом хранения. Лог-менеджмент как храни- лище для исторических данных позво- ляет аналитикам вернуться к старым логам, чтобы, например, проследить всю цепочку атаки, понять, как зло- умышленник проник в систему и какие шаги предпринимал. Это ценно при расследованиях, когда важны даже мельчайшие детали событий прошлых дней, недель и даже месяцев. Так мы можем восстанавливать полную карти- ну, и когда новые инциденты перекли- каются с предыдущими, у нас всегда под рукой данные, которые, возможно, помогут выстроить полное понимание угрозы. EDR – "серебряная пуля" Автоматизация способна существен- но изменить работу SOC, значительно повышая эффективность в ключевых направлениях: локализации инциден- тов, восстановлении систем, проведе- нии расследований и переконфигура- ции. С ее помощью можно добиться улучшения метрик на всех этапах реа- гирования, ускоряя время ответа и минимизируя риски. В нашем портфолио решений особое место занимает новый продукт – UserGate Client, который уже в скором времени станет доступен для заказчи- ков. Для работы SOC это инструмент стратегического значения, способный стать той самой "серебряной пулей", которая может дать не только контроль над рабочими станциями, но и полно- ценные возможности для первичного реагирования в случае инцидента. UserGate Client позволит мониторить состояние и конфигурацию рабочих стан- ций в режиме реального времени, что создает базу для оперативного и точного выявления аномалий и потенциально вредоносной активности. Возможность мгновенно применять меры по реагированию, когда инцидент только начинается, – одно из важнейших преимуществ UserGate Client в контексте SOC. Если аналитик обнаруживает подо- зрительное поведение на одной из рабо- чих станций, автоматизированные инструменты продукта дадут возмож- ность быстро изолировать этот узел, ограничивая его взаимодействие с сетью, при этом сохраняя доступ для расследования. Это решение помогает выиграть драгоценное время, снижая вероятность дальнейшего распростра- нения угрозы по инфраструктуре и давая возможность детально исследовать при- роду инцидента, пока он находится под контролем. Управление уязвимостями в инфраструктуре заказчика Для того, чтобы SOC показывал эффективность, критически важно, чтобы у заказчика был организован процесс управления уязвимостями. Он подразумевает регулярное сканирова- ние активов, выявление и устранение слабых мест. Идеально, если эти данные передаются в SOC, что позволит спе- циалистам своевременно отслеживать динамику уязвимостей и оперативно реагировать на изменения. Но даже если клиент не передает результаты сканирования напрямую, важно хотя бы иметь уверенность, что его пери- метр – все, что открыто внешнему миру, – защищен от известных угроз и уязвимостей. Работа по защите периметра являет- ся первым рубежом безопасности, позволяющим сделать поверхность атаки как можно меньше и труднодо- ступнее для злоумышленника. Для SOC это означает меньшее количество потенциальных точек проникновения, а для клиента – надежную защиту внешней границы инфраструктуры. Если периметр защищен, вероятность успешного проникновения резко сокращается. Однако внутренние уязвимости пред- ставляют не меньшую угрозу. Даже при самом надежном периметре внутри сети могут скрываться слабые места, которые злоумышленник рано или позд- но попытается использовать. Внутрен- ние уязвимости требуют системного подхода, включающего регулярное обновление программного обеспече- ния и установку патчей для закрытия новых угроз. SOC в условиях переизбытка данных Жизнь SOC – это бесконечное море информации, где переизбыток данных является ежедневной реальностью. Он существует на всех уровнях: начиная с объема информации, который можно собрать и обработать с защищаемой инфраструктуры, и заканчивая тем, какие потенциальные угрозы и активно- сти вообще поддаются детектированию. Одним из основных инструментов любой SIEM является набор правил, которые помогают выделять подозри- тельную активность. Правил этих – бес- численное множество. Только в одном открытом проекте Sigma их более 3000. И проблема заключается в том, как во всем этом разобраться, с чего начать, какие правила внедрить в первую оче- редь? Существует методика, которая помо- гает ориентироваться в этом многообра- зии, – это анализ рисков и моделирова- ние угроз. Такой подход помогает опре- делить наиболее вероятные векторы атак, которые могут использоваться зло- умышленниками, и сфокусироваться на них. Однако, несмотря на это, нет ника- кой гарантии, что именно эти векторы будут задействованы. Даже при самом скрупулезном подборе правил остается сомнение: все ли мы предусмотрели? В этом заключается экзистенциальное противоречие между стратегиями "синих" и "красных" команд. Задача "синих" – закрыть абсолютно все возможные пути проникновения, перекрыть каждый из каналов для атаки. "Красные" же, напро- тив, ищут лишь одну единственную лазейку – ту самую, которая позволит обойти защиту. И на фоне этой битвы SOC сталкивается с постоянным ростом объемов информации, большая часть которой в итоге оказывается неисполь- зованной. Однако, невозможно заранее пред- сказать, какая именно информация при- годится в будущем. И в результате SOC вынужден перерабатывать все посту- пающие события, используя всё более и более мощные средства анализа, в надежде что где-то в этом потоке дей- ствительно есть нужные данные, которые можно будет связать и сопоставить, чтобы вовремя выявить инцидент. Это попытка разглядеть зерна угрозы в бесконечном водовороте событий, надеясь, что все фрагменты пазла, кото- рые помогут распознать атаки, есть в этом хаосе. И каждый день SOC живет в этом напряжении, балансируя между въедливостьюкоторая необходима для информационной безопасности и эффек- тивностью, которую требует бизнес. l • 23 SOC + EDR www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ USERGATE см. стр. 70 NM Реклама