Прозреть! Только так смогут выжить слепые среди киберрисков

Прозреть! Только так смогут выжить слепые среди киберрисков

Можно сказать, что SOC – Security Operations Center – это своеобразный орган зрения, позволяющий видеть в киберпространстве. И даже намного больше. К сожалению, на российском рынке сегодня под SOCами в 85% случаев подразумевается именно мониторинг. Согласно нашему опросу, услугами SOCов пользуется 27% аудитории, а около 70% – только задумываются об этом или не видят в них необходимости.

УДИВИТЕЛЬНАЯ КАРТИНА

Наша компания проводит тесты на проникновение. Главная цель заказчиков – проверить, как работают внедрённые средства и сервисы ИБ. Статистика за последние 5 лет следующая.

Пентесты востребованы во всех отраслях, особенно в финансовом секторе (рис. 1). Последнее связано с требованиями регуляторов, отраслевыми стандартами и повышенным интересом хакеров к деньгам. 

Рисунок 1. Потребность рынка в тестах на проникновение. Отраслевой разрез

Свыше 50% заказчиков имеют более одного офиса, а в большинстве компаний – до 1 тыс. сотрудников (рис. 2).

Рисунок 2. Распределение компаний-заказчиков по количеству филиалов и сотрудников

Обращаются за разными пентестами (рис. 3). Большинство заказывает внешние и внутренние. Это способ увидеть картину уязвимости в целом: как при попытках доступа извне, так и при доступе из внутренней сети.

79% компаний имеют уязвимости. Эксплуатация найденных уязвимостей в 86% случаев позволяет провести атаку и добраться до чувствительных данных. То есть около 70% (86% от 79%) компаний были успешно взломаны. Причём большинство – за несколько простых шагов.

Рисунок 3. Статистика пожеланий заказчиков

Получается удивительная картина: 70% компаний могут быть успешно взломаны, потому что не осуществляют мониторинг. Картина, где всемогущий хакер подобен зрячему, попавшему в мир слепых!

Действительно, кибератаки давно превратились в мощную масштабную индустрию, где на одном краю – спонсируемые государствами группировки, а на другом – профессиональные команды вымогателей. Под их удар может попасть любая организация: и стартап, и промышленный гигант, и госструктура.

ПРЕСТУПНИК ОСТАВЛЯЕТ СЛЕД

Цепочки атак, которые мы восстанавливали в процессе расследований нашего Центра мониторинга, отличаются сложностью и многоэтапностью. В большинстве случаев используются как автоматизированные средства, так и ручное управление, ведётся подготовка целевой вредоносной нагрузки, не выявляемой традиционными средствами защиты типа антивирусов или межсетевых экранов. 

Но не нужно забывать, что любая активность в инфраструктуре, как бы хорошо ни был подготовлен нарушитель, оставляет следы. Нужно просто уметь их замечать и распознавать. В этом случае злонамеренные активности могут быть пресечены на самых ранних стадиях.  

ЧТО НУЖНО, ЧТОБЫ ВИДЕТЬ?

Что нужно, чтобы начать видеть следы активностей? 

Вопреки распространённому мнению, подогреваемому маркетингом вендоров, недостаточно купить один продукт (SIEM, IRP, SOAR, XDR и т. п.). Мониторинг киберинцидентов базируется на четырёх “китах”: инфраструктура, контент, процессы и люди.

Инфраструктура

Мониторинг киберинцидентов – это в первую очередь история про данные. Объём событий, поступающих от источников в инфраструктуре, может достигать десятков и сотен тысяч событий в секунду. Этот поток нужно на лету обрабатывать, хранить, осуществлять поиск. Требования к доступности так же высоки, как и требования к масштабируемости. SIEM является одной из частей конвейера обработки данных, который в крупных SOCах состоит из множества компонентов. Но конвейер обработки данных – далеко не всё. Нужны системы сервис-деск и мониторинга, средства взаимодействия с внешними системами и допсервисы. Нельзя забывать и об аппаратной части, системах хранения, средах виртуализации… В целом инфраструктура современного SOC очень сильно отличается от одной большой SIEM.

Контент

Получив данные, необходимо понимать, что в них искать. В актуальной матрице MITRE ATT&C для предприятий описано только 245 техник атак верхнего уровня. Для детектирования каждой техники нужны правила. База правил, позволяющая выявлять актуальные угрозы, составляет от 400 правил в SIEM, отлаженных и оптимизированных к ложным срабатываниям. И это, не говоря о процессе TI, поиске индикаторов компрометации и threat hunting. Безусловно, вендоры предлагают вместе со своими продуктами наборы правил, но, по общему мнению экспертов, эти правила невозможно использовать без адаптации и оптимизации к инфраструктуре. То же самое и с моделями машинного обучения, если таковые используются. Контент любого коммерческого SOCа составляет основу его успеха. 

Процессы

При выявлении подозрительной активности встаёт вопрос: что делать? Как проводить анализ на ложное срабатывание? Как взаимодействовать с ИТ и бизнесом, предотвращать распространение, зачищать инфраструктуру, расследовать? Всё это нужно делать, и не только это. От распределения смен при круглосуточной работе до взаимодействия с внешними организациями при реагировании на инциденты – всё это процессы в рамках SOC, и все они должны быть понятными и отрепетированными. 

Люди 

Дефицит кадров на рынке ИБ по разным данным варьируется от 300 тыс. до миллиона человек. За любым более-менее знающим специалистом охотятся сразу несколько компаний. Ситуация усугубляется серьёзным несоответствием знаний, полученных в вузе, требованиям рынка. Плюс новое поколение (Z) сотрудников имеет особенности, например, среднее время их работы на одном месте не превышает 2-2,5 лет вне зависимости от условий и компенсаций. Удержать такое молодое дарование крайне сложно. Кроме того, новые сотрудники, как правило, не готовы быстро освоить свои функции в Центрах мониторинга. Для решения этой проблемы, мы, например, активно распространяем наши внутренние требования к грейдам аналитиков, которые можно получить, обратившись к автору статьи.

ВАРИАЦИИ НА ТЕМУ

Безусловно, всё вышеперечисленное (квартет «инфраструктура-контент-процессы-люди») можно развивать самостоятельно или пользоваться как сервисом в разных сочетаниях. Но при выборе формы взаимодействия нужно помнить:

• Если весь квартет на стороне поставщика услуг, то скорость подключения сервиса будет максимальной, а цена – оптимальной. Квалификация людей также будет на высоком уровне.
• Можно оставить инфраструктуру у себя, но её сложно отделить от контента. Если провайдер придёт со своим контентом в ваш SIEM, он сохранит над ним контроль и после разрыва контракта. То есть, имея свою инфраструктуру, нужно быть готовым к заказной разработке контента или к его покупке у провайдера.
• Инфраструктуру можно поделить на уровни, например, предоставив провайдеру вычислительные мощности и системы хранения, а всё, что выше, – получить от него. В этом случае не будет сложности с контентом.
• Самый простой и дешёвый случай – это типовые процессы провайдера, отработанные на массе клиентов. Но если ваш случай специфичный, сервис будет существенно дороже.
• Если вы хотите, чтобы на вашей инфраструктуре работали сотрудники провайдера, то ищите не поставщика услуг SOCа, а поставщика персонала, т.к. провайдеру придётся заниматься не ИБ, а аутстафом.