Александр Парамонов, руководитель направления SOC, АМТ-ГРУП
Александр Пуха, эксперт-аналитик SOC, АМТ-ГРУП
Сейчас почти в каждой организации ведется мониторинг компонентов ИТ-инфраструктуры на предмет выявления инцидентов ИБ. Где-то используется дорогостоящая SIEM-система, где-то сотрудники вручную мониторят наиболее критичные компоненты. Но даже в случае использования SIEM-системы ее обслуживание и организация комплексного мониторинга ИБ в целом являются непростой задачей, требующей квалифицированных ресурсов, поэтому руководители служб ИБ все чаще поднимают вопрос о передаче данной функции на аутсорсинг сторонней компании. В интервью журналу Connect специалисты компании «АМТ-ГРУП» Александр Парамонов, руководитель направления SOC, и Александр Пуха, эксперт-аналитик SOC, рассказали о подходе АМТ-ГРУП к оказанию услуг по мониторингу ИБ.
Расскажите о сервисе SOC, который вы предлагаете.
Александр Парамонов: Сервис SOC – это услуга по комплексному мониторингу инцидентов ИБ. В рамках данной услуги эксперты АМТ-ГРУП осуществляют постоянный мониторинг и анализ событий ИБ в инфраструктуре заказчика, своевременно оповещают об обнаруженных инцидентах ИБ и помогают в реагировании на них. При этом вовлеченность специалистов заказчика в сам процесс мониторинга минимальна – они получают уже готовую информацию для принятия решений по реагированию на инциденты.
На площадке заказчика разворачивается система мониторинга и интегрируется в существующую ИТ-инфраструктуру. Настройка и обслуживание всех компонентов системы выполняются специалистами АМТ-ГРУП.
Характеристики оказываемой услуги могут быть существенно кастомизированы под потребности заказчика и особенности инфраструктуры компании.
Сервисы SOC являются достаточно новым направлением на российском рынке. Востребованы ли решения SOC в целом российскими компаниями на текущий момент? Насколько интересен для них SOC именно как сервис и почему?
Александр Парамонов: Заинтересованность российских компаний в решениях SOC сейчас, несомненно, есть – мы наблюдаем это, в частности, и по нашим заказчикам. Решения SOC становятся для организаций средством, позволяющим проактивно, максимально комплексно и целостно подойти к обеспечению ИБ, превентивно реагировать на угрозы и эффективно организовать процесс управления инцидентами ИБ. SOC дает возможность связать в единое целое задачи бизнеса, применимые нормативные требования и используемые меры обеспечения ИБ, разложить все «по полочкам» и навести порядок.
Предлагаемый нами формат реализации SOC как сервиса привлекателен тем, что позволяет существенно снизить стоимость владения: компания не покупает оборудование и программное обеспечение, не содержит свой персонал, не тратит ресурсы на его обучение. При этом достигается и поддерживается требуемый уровень обеспечения ИБ, риски находятся под контролем, процессы ИБ функционируют максимально эффективно за счет использования высоких компетенций экспертов нашего SOC, обладающих, в частности, опытом построения комплексных систем ИБ в компаниях различных отраслей.
Но, конечно же, всегда найдутся «но». В данном случае одним из основных сдерживающих факторов развития SOC как сервиса на российском рынке, так и сервисов безопасности в целом по-прежнему остается вопрос доверия пользователей к поставщикам. В последние годы в данном направлении наметилась определенная положительная тенденция, и мы наблюдаем постепенный рост рынка сервисов ИБ. Дальше – больше. В частности, этому способствуют интенсивное развитие облачных вычислений и повсеместное распространение ИТ-сервисов.
Какие услуги вы оказываете в рамках сервисного контракта?
Александр Парамонов: Каждому заказчику мы предлагаем оптимальный набор услуг в зависимости от потребностей и индивидуальных особенностей. Поэтому набор услуг уникален в каждом конкретном случае.
Если говорить об источниках событий ИБ, то мониторинг может осуществляться на уровне операционных систем, СУБД, прикладного ПО заказчика (в том числе ПО собственной разработки). Кроме того, могут выполняться мониторинг критичных сегментов сети и событий с используемых заказчиком средств защиты информации, а также периодический анализ уязвимостей.
Экспертный анализ указанных данных позволяет выявлять инциденты ИБ любой сложности, в том числе сетевые аномалии и нарушения требований действующих регламентов и стандартов по обеспечению ИБ в организации. При этом выдаются подробные рекомендации по их устранению (включая возможные варианты), что существенно облегчает работу специалистов заказчика и экономит их время.
Например, в рамках услуги выполняется обнаружение уязвимостей информационных систем. Среди всех выявленных уязвимостей экспертами выделяются те уязвимости, эксплуатация которых действительно возможна в инфраструктуре заказчика, и даются подробные рекомендации по их устранению. Специалистам заказчика не нужно самостоятельно разбирать отчет сканера, в котором перечислены тысячи выявленных уязвимостей, и совершенно непонятно, какие нужно закрывать сейчас, а какие могут подождать до завтра.
Кроме того, в рамках услуги предоставляются периодические отчеты различной степени детализации – для высшего руководства и для руководителей среднего звена, в том числе для службы ИБ. Отчеты содержат описания выявленных инцидентов ИБ, статистику по их обнаружению и обработке, детальные рекомендации по устранению.
Какие инциденты можно обнаруживать в рамках вашего сервиса?
Александр Пуха: С учетом того, что инцидентом считается событие или последовательность событий, то на основании правил, настроенных в системе, а также экспертного анализа можно обнаруживать практически любые виды инцидентов при условии, что сбор событий от соответствующих источников настроен и выполняется.
Выявляемые инциденты могут быть совершенно разными. Около 90% являются следствием внутренних нарушений, половина из них не относится к злонамеренным действиям. В большинстве случаев имеют место несанкционированное использование учетных записей, ошибки при конфигурации сервисов, использование запрещенного ПО, нарушение действующих требований и регламентов ИБ.
Были случаи подключения сотрудниками к корпоративной сети собственных ноутбуков и попыток скопировать конфиденциальные данные в обход DLP-системы путем использования учетной записи с легитимным доступом к данным. Часто системные администраторы злоупотребляют своими полномочиями, например на короткий промежуток времени создают учетную запись, которой предоставляют нелегитимный доступ к информации. Наша задача в подобных ситуациях – своевременно сообщить об этом заказчику, который использует информацию по своему усмотрению.
Неоднократно мы обнаруживали вредоносное ПО, причем в случае вирусных эпидемий помогали заказчику идентифицировать источник заражения за счет того, что на большинстве хостов были установлены агенты нашей системы.
Информация об обнаруженных нами событиях хранится длительное время, что дает возможность выполнять ретроспективный анализ данных. Например, если сотрудник попадает под подозрение, то его поведение можно проанализировать за длительный период, сформировать модель поведения и выявить «аномалии».
В чем заключается основная сложность обнаружения инцидентов?
Александр Пуха: Для современных организаций ежедневный объем событий, регистрируемых журналами аудита, составляет от сотен тысяч до нескольких миллионов. Даже после автоматической обработки событий остается чрезвычайно много, но к инцидентам относятся лишь единицы.
Одно и то же событие, произошедшее на разных узлах сети, на одном из них будет являться инцидентом, а на другом нет. Многое зависит от того, насколько хорошо наши эксперты знакомы с особенностями инфраструктуры заказчика. Как правило, через несколько месяцев работы нашего сервиса у заказчика белых пятен не остается.
Сложность заключается и в корреляции событий, полученных от разных источников. Речь идет не только о средствах SOC, но и о любой информации, полученной от заказчика, в том числе устно. Кроме того, наши эксперты постоянно анализируют данные из открытых источников, CERT и других профильных организаций. Именно здесь ключевую роль играет экспертиза специалистов SOC, включая их опыт и компетенции. Специалистам SOC необходимо постоянно поддерживать свои компетенции на должном уровне и связь с заказчиком, быть в курсе угроз, актуальных на данный момент в сфере деятельности заказчика и в ИБ в целом.
Что происходит в случае обнаружения инцидента ИБ? Какие действия вы предпринимаете?
Александр Пуха: Реакция на инцидент зависит от потребностей заказчика и вовлеченности его специалистов. Одних достаточно уведомить по электронной почте или телефону, и они сами устранят последствия инцидента, другие требуют, чтобы наш специалист выехал к ним на площадку и лично выполнил действия по устранению инцидента на месте.
Степень вовлеченности в реагирование на инцидент зависит и от уровня доступа к компонентам инфраструктуры у специалистов SOC. В случае полного аутсорсинга средств обеспечения ИБ сервис SOC дополняет оказываемые заказчику сервисы. В таком варианте большинство операций по устранению последствий и причин инцидента специалисты SOC способны выполнить самостоятельно, в том числе удаленно. В остальных ситуациях выдаются рекомендации по устранению инцидента либо продолжается сбор информации, необходимой для его устранения.
Особо хотелось бы отметить, что постоянное использование сервиса SOC обеспечивает возможность по предотвращению инцидентов еще до момента их появления (предотвратить сам факт появления инцидента). Это достигается за счет постоянного мониторинга информационной инфраструктуры заказчика экспертами SOC.
Какие дополнительные услуги вы можете оказать в рамках сервиса SOC?
Александр Парамонов: В процессе оказания сервиса специалисты АМТ-ГРУП обнаруживают в инфраструктуре заказчика проблемные места. В результате мы можем предложить провести оценку эффективности используемых мер и средств защиты, например выполнить тест на проникновение. Это отличная возможность продемонстрировать возможности SOC в реальном времени. Для отдельных компонентов инфраструктуры предлагается провести экспресс-аудит, анализ корректности существующих настроек, оценить соответствие рекомендациям производителя или какого-либо стандарта.
В рамках сервиса может выполняться рассылка бюллетеней уязвимостей, применимых к инфраструктуре и отрасли заказчика. В случае публикации информации о критической уязвимости, которая потенциально имеется у заказчика и может быть эксплуатирована в его инфраструктуре, заказчик получает уведомление о подверженных риску активах и рекомендации по устранению или применению временных компенсационных мер. Кроме того, осуществляется рассылка бюллетеней, содержащих информацию об актуальных угрозах ИБ, инцидентов, произошедших в отрасли заказчика в целом, новых способах атак и методов защиты от них, а также изменений в законодательстве.
В рамках услуги возможна разработка регламентов обеспечения ИБ и организационно-распорядительных документов.
Какова стоимость инвестиций при использовании сервиса SOC? Быстро ли они окупаются?
Александр Парамонов: Стоимость сервиса зависит от состава оказываемых услуг, потребностей заказчика и параметров контролируемой ИТ-инфраструктуры. Если сравнивать наш сервис и создание собственного SOC, то использование сервиса обходится дешевле. При этом существенная нагрузка ложится на нас как на провайдера услуги, а не на заказчика. Заказчику нет необходимости закупать лицензии, ПО и аппаратные платформы, нанимать выделенный персонал, проводить его обучение и постоянно поддерживать высокую квалификацию.
Окупаемость сервиса зависит и от инцидентов, которые будут обнаружены, – несложно представить себе ситуацию, когда сервис может окупиться и за один инцидент.
Как много времени занимает внедрение сервиса? Какова вовлеченность специалистов заказчика в процесс работы сервиса SOC?
Александр Пуха: Внедрение системы занимает до двух месяцев, базовая настройка и инсталляция – до двух недель. Система имеет базовый набор правил и настроек, но эти правила не всегда применимы в инфраструктуре заказчика, здесь многое зависит от отрасли и действующих политик безопасности. После инсталляции в течение полутора месяцев выполняется тонкая настройка системы под конкретного заказчика. При этом формируются наборы правил корреляции для выявления инцидентов с учетом особенностей инфраструктуры, проводится отработка ложных срабатываний и формируется база исключений.
Вовлеченность специалистов заказчика заключается в основном в участии в обследовании, заполнении опросных листов и помощи при первичной инсталляции.
В дальнейшем донастройка системы, создание новых правил корреляции и т. п. выполняются на протяжении всего срока оказания сервиса. Все изменения, происходящие в инфраструктуре или на организационном уровне, в том или ином виде будут отражены в настройках системы.
С какими сложностями вы сталкиваетесь при внедрении сервиса у заказчика?
Александр Пуха: Обычно сложностей нет. Возможен лишь недостаток первичной информации. Иногда заказчик не может сразу предоставить всю необходимую информацию о своей инфраструктуре и ее особенностях, что может затруднить выявление инцидентов на начальном этапе. Но со временем недостаток информации сходит на нет.
Возможны временные задержки при интеграции с нетиповыми системами, но я бы не назвал это сложностями – это лишь вопрос доработки нашей системы под инфраструктуру заказчика.
Порой мы сталкиваемся с недоверием со стороны сотрудников компании. Аутсорсинг ИБ на российском рынке – явление довольно новое и кардинально отличается от традиционных подходов к обеспечению информационной безопасности у нас в стране.
Существует ли специфика развития и использования решений SOC на российском рынке? Смотрим ли мы на Запад или идем по собственному пути?
Александр Парамонов: В конечном счете сущность и цели использования решений SOC у нас и на Западе идентичны, но специфика, безусловно, присутствует. Основное отличие на текущий момент заключается в восприятии компаниями ИБ как сервиса, различии западного и российского менталитетов и подходов.
Так, на Западе достаточно распространенной практикой является передача процессов ИБ на аутсорсинг, там уже давно оценили привлекательность этой схемы как с точки зрения функциональных возможностей, так и с экономической.
На российском рынке данное направление находится в зачаточном состоянии: отсутствует широкая практика аутсорсинга процессов ИБ, использования сервисной модели, передачи внешнему исполнителю задачи по обеспечению и контролю ИБ. Компании опасаются доверять доступ к своей сети, состоянию ИБ и потенциально иной чувствительной информации сторонним организациям. Они беспокоятся о качестве предоставляемых услуг, испытывая недоверие к всякого рода соглашениям и SLA. На Западе уже есть понимание, что за несоблюдение SLA сервис-провайдер может понести ощутимую материальную и репетиционную ответственность.
Различное отношение обусловило и различные уровни развития SOC. Запад ушел вперед, мы в этом плане отстаем на поколение. Работа с большими данными, «прикручивание» различных методик интеллектуального анализа, постепенная автоматизация процессов, которые ранее могли быть выполнены только человеком (например, реализация действий по прекращению развития инцидента, реагирование на инциденты), – уже реальность западных SOC. На российском рынке не все избавились от отождествления SOC с решениями класса SEIM.
Каковы, по вашему мнению, перспективы сервисов SOC на российском рынке?
Александр Парамонов: На текущий момент SOC как сервис – это уже действительность. И все указывает на то, что популярность сервисов SOC на нашем рынке будет возрастать. Сложившаяся культура будет постепенно меняться, а практика передачи такой чувствительной материи, как информационная безопасность, на аутсорсинг расширяться.
Мы к этому уже готовы и постоянно развиваем наш сервис, чтобы предложить заказчикам высококачественную и удобную услугу.
ВРЕЗЫ:
Около 90% выявляемых инцидентов являются следствием внутренних нарушений, половина из них не относится к злонамеренным действиям.
Специалистам SOC необходимо постоянно поддерживать свои компетенции на должном уровне и связь с заказчиком, быть в курсе угроз, актуальных на данный момент.
Окупаемость сервиса зависит и от инцидентов, которые будут обнаружены, – несложно представить себе ситуацию, когда сервис может окупиться и за один инцидент.
Аутсорсинг ИБ на российском рынке – явление довольно новое и кардинально отличается от традиционных подходов к обеспечению информационной безопасности у нас в стране.