Подобного рода задачи требуют централизации сбора данных, непрерывного мониторинга, реагирования и планирования развития стратегии защиты. Одним из элементов корпоративной среды безопасности, который уже имеет подобный функционал является центр обеспечения безопасности (SOC). Попробуем оценить перспективность уже проектируемых или строящихся SOC под задачи противодействия целевым атакам и передовым угрозам безопасности.
ВЫСТРОЕННЫЙ SOC: «СОСТОЯНИЕ ДУШИ» ИЛИ НЕДОСТИЖИМЫЙ ИДЕАЛ
На бумаге основными задачами, выполняемыми в SOC, являются: централизация эксплуатации и унификация (консолидация технологий) управления средствами защиты, многомерная оценка эффективности отдельных решений и стратегии ИБ в целом, выявление и управление инцидентами ИБ, выявление новых векторов угроз и прогнозирование. К сожалению, построение центров обеспечения безопасности является молодым направлением и имеет свои болезненные точки:
использование точечных технологий, которые не интегрированы друг с другом даже на уровне отчетности;
- инвестиции в технологии превалируют над обучением персонала и развитием процессов обеспечения безопасности;
- конечная цель построения центра обеспечения безопасности скрывается за массивами обоснований и регламентов, иногда её просто нет в понятном прикладном смысле;
- выполняемые задачи ограничиваются сбором данных и их консолидацией, при этом процессов реагирования на выявляемые инциденты нет (обнаружение есть, а реакции внятной нет);
- агрегирование раздутого» объёма данных, который «затормаживает» все процессы внутри SOC.
Так, в 2014 году было проведено исследование центров обеспечения безопасности, в рамках которого был проведен аудит 87 SOC в 18 странах на 6 континентах. Исследование проходило с 2008 года, каждый центр обеспечения безопасности был оценен по 118 различным параметрам. Для оценки использовалась модель Carnegie Mellon Software Engineering Institute Capability Maturity Model for Integration (SEI–CMMI).
Данная модель примечательна тем, что фокусируется на возможности компании эффективного обнаружения вредоносной активности и наличия системного подхода для управления угрозами безопасности применительно к таким активам как люди, ИТ-процессы, технологии и бизнес функции. Модель Security Operations Maturity градирует центры обеспечения безопасности на 5 уровней зрелости:
1 уровень: неорганизованные и хаотичные процессы мониторинга (характеризуется разовыми или единичными успехами в точечных прикладных задачах ИБ)
2 уровень: централизация управления и унификация рутинных операций (возможность дублирования и повторения успешных результатов)
3 уровень: рекомендованный средний уровень с внедренными стандартами, отражающими уникальные аспекты и задачи организации
4 уровень: автоматизация и сбор классифицированных данных, их анализ в реальном времени с отражением в процессах управления и мониторинга ИБ
5 уровень: инновационные технологии, прогнозирование и постоянный анализ результатов ранее принятых решений, их пересмотр и адаптация в реальном времени
Результаты исследования показали, что 87% оценённых центров обеспечения безопасности не достигли рекомендованного «уровня 2», а 20% не соответствуют даже «1 уровню» модели зрелости. На основе представленной статистики выявляется неутешительный факт: текущий уровень построения центров обеспечения безопасности не соответствует актуальным задачам выявления и противодействия целевым атакам.
SOC 2.0: ЧЕГО ОЖИДАТЬ?
За последний год аналитики разных компаний упоминают неизбежное развитие центров обеспечения безопасности, которое произойдет и даст толчок в повышении их зрелости. Так Forrester видит закат центров обеспечения безопасности как исключительно командного центра сбора информации в реальном времени, где офицеры безопасности сидят плечом к плечу, непрерывно анализируя данные на мониторах и реагирующие на инциденты в ручном режиме.
Сегодня SOC это уже не просто SIEM-подобная система мониторинга. В центр обеспечения безопасности интегрируются технологии управления сетевым оборудованием, сервисы анализа трафика, проведения расследований, оценки эффективности и т.д. С неизбежным ростом количества и новых технологий подход «центральной рубки» теряет свою привлекательность, хотя бы из-за вопросов утилизации персонала и необходимых разноплановых квалификаций.
Трансформация SOC потребует наличия новых подходов в организации управления ИБ. Уже сегодня видна тенденция, когда базовые задачи ИБ решаются ИТ-сотрудниками, и лишь высокоуровневые эскалируются на ИБ департамент. Во многом решение могут дать и такие экзотические технологии как Виртуализированный Центр Обеспечения Безопасности. Согласно мнению экспертов децентрализация расположения сотрудников, вовлеченных в процессы SOC, с использованием веб-ориентированных интерфейсов позволит привлекать к ИБ процессам разноуровневых сотрудников на разовой (в рамках инцидента) основе. Тем самым будет выполняться гранулярное эскалирование отдельных элементов тем, кто действительно разбирается, является владельцем ресурса или обладает нужной компетенцией.
ИНТЕГРАЦИЯ АНТИ-APT ТЕХНОЛОГИИ В SOC
Очевидно, что при текущем уровне организации процессов и выполнения задач не каждый центр обеспечения безопасности становится правильной основой выявления и противодействия целевым атакам. Собираемой информации так же будет недостаточно для эффективного мониторинга APT. При этом SOC зачастую имеет в своей основе правильную идеологию и восприятие внутри компаний.
Одним из решений становится использование специализированных продуктов для противодействия целевым атакам — анти-APT решений. Предлагая эшелон централизованного анализа данных о новых и потенциальных угрозах как на уровне сетевых активностей, так и на уровне рабочих станций, такие решения безболезненно встраиваются в процессы центра обеспечения безопасности. При этом в зависимости от доступного функционала ряд решений позволят развивать SOC в направлении снижения рисков целевых проникновений.
Возможность консолидации данных со средств защиты в анти-APT решении, сборе «живых данных», интеграции c SIEM-системами и блокирующими механизмами средств защиты открывают большие перспективы для развития SOC. Во многом такие перспективы отражаются в последних прогнозах, где на первое место в организации корпоративной безопасности выходят задачи построения комплексных платформ интеллектуального анализа и реагирования на угрозы безопасности (Threat Intelligence Platforms).
Такие платформы с технологической стороны напоминают SIEM-систему, ориентированную на вопросы обеспечения информационной безопасности при тесной интеграции с облачными технологиями непрерывного глобального мониторинга угроз (различные Threat Intelligence Clouds).