Егор Дёров, заместитель руководителя практики аналитических систем ИБ, «Астерос Информационная безопасность» (группа «Астерос»)
Построение Security Operations Center (SOC) позволяет существенно повысить эффективность применяемых технологий ИБ. Как добиться полноценного решения задач SOC и как выстроить процесс управления инцидентами (Incident Management)? Об этом пойдет речь в статье.
Управление ─ важнейший процесс любой компании. Обеспечением информационной безопасности также нужно управлять. И относиться к этому вопросу следует очень серьезно. Давайте разберемся почему.
Зачем все это нужно
В настоящее время довольно сложно представить себе компанию, которая не задумывается об информационной безопасности. Уровень развития ИБ в большой степени зависит от уровня развития бизнеса и ИТ. Защита информации всегда начинается с чего-то простого: необходимо установить межсетевые экраны, антивирусы и прочее, т. е. решить задачи на уровне инфраструктуры. На этом этапе выстраиванию соответствующих процессов и их регламентации внимание не уделяется. Со временем задачи усложняются, появляется потребность в использовании более сложных решений, таких как DLP-системы, сканеры безопасности, системы класса Security Information and Event Management (SIEM). И однажды совокупность хаотичных и нерегламентированных процессов, огромное количество средств защиты, каждое из которых является жизненно необходимым, достигает такого состояния, когда уже неясно, действительно ли мы понимаем, как все это функционирует, как этим управлять, что происходит в компании с точки зрения ИБ. Практика показывает, что не всегда наращивание количества средств защиты влечет за собой увеличение персонала. Очень часто руководители полагают, что раз они вложили приличные суммы в обеспечение информационной безопасности, значит, все должно функционировать практически без участия человека. Но это не так. Как правило, подобный подход приводит к перегруженности персонала и низкой эффективности выполнения операционной деятельности ИБ.
О чем идет речь
Обеспечение информационной безопасности – довольно сложный интеллектуальный процесс. Различные программно-аппаратные средства, как правило, защищают только от определенного спектра угроз. Универсального средства, которое могло бы защитить «от всего и сразу», не существует. Попутно возникает проблема разнородности этих средств: функции у них разные, и люди, управляющие ими, могут отвечать только за какой-то определенный класс систем. Руководителю службы ИБ компании, персонально отвечающему за информационную безопасность перед высшим руководством, полезно знать, насколько эффективно были потрачены деньги компании, как эксплуатируются средства защиты, кроме того, он должен иметь возможность доказать руководству эффективность работы своего подразделения.
Люди и инциденты: как сэкономить на одних и предотвратить другие
Решение данных проблем реализуется через создание Security Operations Center (SOC), которое подразумевает объединение и тесную интеграцию операционных процессов ИБ с возможностью их непрерывного контроля. Автоматизация этих процессов реализуется посредством уже имеющихся средств и систем защиты. На следующем уровне зрелости в SOC интегрируется ряд процессов управления ИБ, а для их эффективного выполнения уже требуются решения класса Security Intelligence, способные консолидировать и проводить аналитическую обработку информации о состоянии ИБ в компании. Зачастую клиент не представляет, каким образом это можно реализовать и какую экономическую выгоду может принести. Прежде всего, SOC – это совокупность операционных процессов, следовательно, каждый интегрируемый в него процесс приносит свои выгоды. Согласно результатам исследований ведущих производителей в области ИБ HP «Demonstrating the ROI for SIEM» и RSA «ROI and SIEM», правильное выстраивание и автоматизация процессов управления событиями ИБ, а также Incident Management позволяют снизить трудозатраты на выявление инцидентов ИБ примерно в шесть раз, время реагирования на них – в четыре раза. Это значительно повышает эффективность обеспечения информационной безопасности компании, снижая ущерб от возникающих инцидентов.
Incident Management – важнейший процесс обеспечения информационной безопасности компании и один из ключевых процессов SOC. Инцидентом ИБ может быть практически все: от ddos-атаки до банальной передачи пароля третьему лицу или коллеге, от попытки подобрать пароль к критически важному серверу до необдуманной пересылки информации по корпоративной почте. На подобные события необходимо реагировать, и чаще всего это вопрос интерпретации даже не политик безопасности, а понимания их конкретным человеком.
При правильно выстроенном процессе Incident Management каждый сотрудник знает свою «зону ответственности» и возложенные на него функции в части обеспечения ИБ. В компании работают четкие процедуры, есть перечень действий, которые необходимо предпринять в определенной ситуации. Можно сколько угодно выстраивать SOC, но если конечный исполнитель не знает, что делать при возникновении инцидента, вся работа бессмысленна. Наш опыт подсказывает, что при грамотно разработанной организационно-технической документации и своевременном обучении сотрудников проблем не возникает. Следует учитывать тот факт, что в управлении ИБ всегда принимают участие не только сотрудники ИБ, но и сотрудники ИТ. Зарегистрированный инцидент должен быть обработан, и без привлечения ИТ-специалистов это просто невозможно. Еще на этапе создания SOC мы советуем клиентам задействовать ИТ-службу, помогаем выстроить правильную последовательность действий и взаимодействие двух подразделений в процессах обеспечения ИБ.
Качество информации также является одним из ключевых факторов успешной работы SOC. Это касается как данных, используемых для операционной деятельности ИБ, так и необходимых руководству ИБ для управления и принятия решений. Мы рекомендуем очень внимательно относиться к составу и качеству входной информации, поступающей для анализа в SOC. Следует на ранних этапах определить, что является важным, что будет действительно востребовано и необходимо для анализа и выполнения процессов ИБ, и не будет ли одна информация копировать другую.
Приведем пример. Для расследования инцидента ИБ часто необходимо быстро найти связанные с ним события, отсеяв весь информационный «мусор». Если его много, то и время анализа значительно увеличивается. В результате потери компании возрастают. Наша экспертиза помогает клиентам обнаруживать зачастую неожиданные инциденты ИБ среди событий, которые совершенно не связаны между собой. Это лишь вопрос грамотной настройки средств защиты и процессного подхода к обеспечению ИБ.
Рисунок. Security Operations Center (SOC) как он есть
Источник: «Астерос Информационная безопасность»
Как выжать SOC по максимуму
На основе накопленного опыта нами выработан наиболее эффективный подход к созданию SOC. Рецепт правильного внедрения SOC состоит в поэтапной реализации операционных процессов и управления ИБ и далее в постепенном повышении их уровня зрелости. В начале проекта мы проводим глубокую экспертизу того, на каком уровне зрелости находятся существующие процессы ИБ, как работают имеющиеся средства защиты, затем описываем целевые процессы информационной безопасности и разрабатываем план их реализации и интеграции в рамках SOC. Это позволяет выявить основные проблемы управления ИБ и устранить их еще на этапе «закладки фундамента» будущего SOC. На практике мы нередко сталкиваемся с ситуацией, когда сотрудники ИБ и руководство понимают, как работают средства защиты, имеющиеся в компании, но не всегда могут правильно распорядиться той информацией, которую эти средства предоставляют. Как правило, это связано с низким уровнем зрелости процессов обеспечения и управления ИБ, что, в свою очередь, приводит к отсутствию четкой коммуникации между сотрудниками ИБ и другими подразделениями компании, низкому уровню осведомленности ответственных лиц о своих ролях и обязанностях.
Простой пример одного из наших клиентов. Все средства защиты, которые только можно представить, уже были созданы. Нужно было понять, насколько эффективно они работают, и построить на их основе SOC. В рамках проекта был создан SOC, проработаны процессы обеспечения информационной безопасности, увеличена эффективность средств защиты, выстроен правильный и оперативный Incident Management, операционные расходы на ИБ значительно сокращены. В результате каждый сотрудник службы информационной безопасности понимает свой функционал и в любое время и в установленный срок может эффективно выполнять свои задачи. При этом у руководства ИБ появились инструменты для принятия решений (оценка рисков, возврата инвестиций и предотвращенного ущерба от инцидентов ИБ), помогающие ему доказывать топ-менеджменту свою эффективность и показать, что информационная безопасность не только «съедает» деньги, но и приносит пользу.
Есть ли жизнь после SOC?
Построение правильного процесса управления ИБ – дело непростое, требующее как финансовых, так и людских вложений. И не стоит его начинать, если информационная безопасность для вас является просто набором средств защиты. Времена, когда можно было просто купить все возможные средства защиты и этим ограничиться, уходят в прошлое. Число угроз растет с каждым днем, сами продукты ИБ становятся все сложнее, и сегодня уже важно понимать, как ими управлять.
SOC требуется прежде всего крупным компаниям с распределенной инфраструктурой, поскольку с его помощью можно иметь полную картину того, что происходит во всех территориально распределенных подразделениях. Он показывает, сколько инцидентов ИБ было зарегистрировано в каждом филиале, какие действия были предприняты. Кроме того, централизация полезна для внедрения единого подхода и создания среды, необходимой для унификации процессов управления ИБ.
Однако даже если вы внедрили SOC, не стоит на этом останавливаться. Ведь SOC – не продукт, а процесс, который никогда не прерывается. Нельзя просто внедрить SOC и забыть о нем. Необходимо постоянно убеждаться в том, что все составные части этого механизма (люди, процессы, информация, технологии) работают безотказно.