Загрузка...

Практика выстраивания сервисов информационной безопасности

Современные реалии безопасности и защищенности информационных активов компаний таковы, что владельцы бизнеса (и особенно крупного) все больше начинают осознавать, что предпринимаемые ими локальные меры защиты от киберугроз становятся, мягко говоря, неэффективными.

Это происходит по нескольким причинам:

  • киберугрозы приобрели глобальный и массовый характер: они все больше напоминают информационные войны;
  • злоумышленники уже не ограничиваются только финансовым обогащением (хотя этот аспект остается основным в их деятельности), все чаще речь идет о конкурентной и политической борьбе с применением кибершпионажа;
  • компании не обладают необходимым оборудованием и программным обеспечением для надежного обеспечения защиты своей интеллектуальной собственности;
  • уровень угрозы безопасности намного превышает профессионализм ИТ и ИБ-сотрудников компании, а отсутствие в штате аналитиков и экспертов информационной безопасности превращает работу по защите информации либо в жесткое ограничение доступа пользователей к инфраструктуре, либо в попытки латания «дыр» в системе, то есть констатация фактов киберугроз без их правильной интерпретации и расследования.

Для решения подобных проблем как раз и существуют Центры мониторинга информационной безопасности или SOC (Security Operations Center). Причем в своем лучшем качестве как комплексная совокупность технологий, высококвалифицированного персонала (людей, способных мыслить нестандартно, выявлять даже незначительные отклонения в работе систем заказчика с пошаговой раскруткой истории проникновения) с выстроенными процессами.

Основной идеей работы Центра является централизация и поступление событий в облачную SIEM-систему, подключение и передачи событий от клиентов, посредством VPN-каналов, внедрение универсальных для всех подключенных клиентов правил выявления нарушений и отклонений, настройка фидов (feeds) и так далее.

Однако на практике в работе Центра с инфраструктурой заказчиков присутствуют и RDP подключение, и ручная настройка правил корреляции и ручное заполнение IOC. Происходит это из-за банального страха передавать события и сведения об инфраструктуре за рамки организации, либо наличие у заказчика собственного SIEM. 

Попытки применения универсальных и стандартных правил на профилирование действий пользователей, нелегитимные действия администраторов, отслеживание антивирусных систем и своевременных обновлений, событий с МСЭ и proxy и т.д. привели к регистрации операторами Центра огромного числа подозрительных событий в сутки и, мягко говоря, шоку аналитиков. Причинами невозможности применения универсальных решений оказалось отсутствие нормативности и шаблонных настроек систем инфраструктуры. Зачастую все системы инфраструктуры клиента настраиваются и эксплуатируются разными людьми.

Изменить устоявшееся мнение ИТ-специалистов заказчика не так-то просто, поэтому приходиться убеждать, уговаривать, корректировать правила, проводить инвентаризацию инфраструктуры, по крупицам собирать необходимую информацию, на что уходит очень много времени. По результатам инвентаризации, например, в ряде компаний были обнаружены достаточно серьезные нарушения, и специалисты Центра, опираясь на собственный наработанный опыт решения проблем, предлагали клиентам закрыть их надежными средствами защиты. 

Что хотели получить? Повышение информационной безопасности: внедрение дополнительных компонентов, таких как средства обнаружения вторжений, Песочницы и системы контроля DNS. А в ответ получили: «Сколько-сколько это стоит?», «Я этот хост 10 лет администрирую, мне лучше знать, как его правильно настроить!», «А зачем нам тогда Вы?», «И так все работает, будет атака – будем решать».

Как победили? Больше всего «помогли» нашумевшие кибератаки, такие как WannaCry и BadRabbit, показавшие на практике, что никакие стандартные средства не способны противостоять атакам нулевого дня или целенаправленным атакам. Также не обошлось и без коммерческого подхода: например, сервисное предоставления средств защиты по моделям HaaS и SaaS, существенно снижающее капитальные вложения, в том числе предусматривающий и замену на более современные средства.

Одним из первых препятствий, с которым сталкивается персонал SOC на этапе внедрения средств мониторинга, – это подключение источников событий. Специалисты по безопасности считают, что чем больше событий и источников охватывается, тем больше вероятность выявить подозрительную деятельность в инфраструктуре клиента.

По факту оказывается явное противодействие со стороны ИТ-специалистов и возникают вопросы: «А зачем Вам отслеживать мои действия, я все делаю правильно», «А зачем Вам этот сервер? Он тестовый и завтра выключится».

С аналогичным противодействием и нежеланием взаимодействовать команда SOC сталкивается и в ходе выявления и передачи информации о выявленных подозрениях на инциденты: обнаруживается подозрительное событие, подготавливаются рекомендационные и превентивные меры по его подтверждению легитимности, собирается статистика, инструменты и клиенту направляются сводные данные и… ничего в ответ, как будто и не отправляли. На вопросы: «Вы видели письмо? Что-нибудь удалось выявить? Использовали ли рекомендуемые инструменты и меры?» обычно следовал ответ: «Да-да, но пока некогда этим заниматься», «Да, мы проверили антивирусом, там нет ничего», «Зачем использовать Ваш инструмент, у меня есть лучше» и так далее.

Именно с целью победить вышеуказанные противодействия, а также для организации лучшего взаимодействия разработаны карты действий или use-case с указанием SLA и последовательности действий по каждому сценарию мониторинга, назначением конкретного исполнителя для горизонтального взаимодействия. 

К тому, что средства защиты и мониторинг инцидентов – это, конечно, хорошо, но нужны и профилактические действия, пришли практически сразу. Для этого разработан сервис по инструментальному анализу и выявлению уязвимостей узлов инфраструктуры, но вот понимание как заставить его работать, задержалось во времени.

Как это выглядело на практике? Проведено сканирование инфраструктуры, затрачено огромное количество времени на подготовку рекомендаций, сформирован объемный отчет. Сотрудник Центра приходит с этим отчетом к клиенту со словами: «Сделайте именно так, как тут написано, и будет вам счастье и безопасность». Что было дальше? Правильно: никаких действий, даже малейших. Как это выявилось? Через месяц персонал Центра проводит повторное сканирование и, мало того, что выявляется то, что было выявлено в прошлый раз, так количество уязвимостей еще и возросло.

Поэтому решение данной проблемы нашлось через планомерное закрытие уязвимостей. То есть заказчику выдается не общий скоп уязвимостей, а самые критичные, уменьшается периодичность сканирования и организуется контроль за их закрытием силами сервис менеджера. Например, выдали 5, закрыли 5 и так далее.

Приведенные примеры позволят сотрудникам информационной безопасности не только найти верный подход к обеспечению должного уровня безопасности организаций, но и выстроить взаимоотношения с ИТ-специалистами и убедить руководство в необходимости нести финансовые затраты не только на «мебель в зале совещаний».

Компания «Vamark» специализируется на IT Безопасности. Свяжитесь с нами чтобы получить бесплатную консультацию или заказать ИТ услуги (Киев) для своей компании. Для этого достаточно позвоним к нам по контактным номерам  или заполнить форму обратной связи и мы перезвоним вам сами.