Задача построения полноценного Security Operations Center (SOC) на сегодняшний день практически в любой компании воспринимается как необходимость. Причем в банковской сфере и оборонно-промышленном комплексе ситуация перешла на уровень выше, и этим вопросом озаботились уже не только сами представители компаний, но и соответствующие регуляторы. Подобные проекты прорабатываются на государственном уровне, что позволяет подходить к обеспечению информационной безопасности более глобально. Несмотря на это, когда в компаниях промышленного сектора и ТЭК приступают к решению задачи по построению центра мониторинга, зачастую упускается из виду важность расширения зоны его действия и на технологический сегмент.
А риски в чем?
Для обеспечения корректной работы предприятия недостаточно обеспечить безопасность только корпоративной ИТ-инфраструктуры – наибольшие риски (как финансовые, так и репутационные) несет именно работа производства. Как показывает практика, даже на небольшом предприятии чрезвычайная ситуация может повлечь за собой весьма тяжкие последствия вплоть до экологических катастроф и человеческих жертв, не говоря уже об огромных финансовых убытках.
Сложно отрицать, что в наше время причиной возникновения нештатных ситуаций, выхода оборудования из строя и нарушения технологического процесса могут оказаться не только сбои при работе оборудования, ошибки или нарушение техники безопасности и всевозможные варианты халатности и влияния человеческого фактора, но и целенаправленные атаки на промышленные объекты с использованием современных информационных технологий. Что характерно, причинами подобных атак могут являться как пресловутый хактивизм, так и конкурентная борьба. А в реалиях сегодняшнего дня некоторые из них могут иметь и явную геополитическую составляющую.
Помимо этого сегодня уже есть примеры, вызвавшие огромный резонанс на рынке, когда несанкционированный доступ к технологической сети не был конечной целью атаки, как в большинстве подобных инцидентов, а использовался для получения доступа к конфиденциальным данным, хранящимся в корпоративном сегменте компании. То есть доступ к информации был получен путем последовательного проникновения злоумышленниками сначала в технологическую сеть, а уже из нее в корпоративную.
Источники данных: от и до…
Безусловно, для обеспечения сбора событий и их последующей корреляции, а также для выявления, разбора и устранения инцидентов в технологическом сегменте предприятия должно быть достаточное количество источников данных – сетевого оборудования и средств защиты различных типов. Среди них могут быть системы обеспечения как технологической, так и информационной безопасности.
Специфика их внедрения – тема отдельного разговора. Стоит лишь упомянуть, что заниматься этим должна опытная команда высочайшей квалификации с должным объемом знаний и опытом обеспечения информационной безопасности технологического сегмента предприятий. Ведь ключевыми рисками подобных проектов являются негативное влияние на штатную работоспособность оборудования и технологической сети в целом, а также риск возникновения сбоев в работе производства.
При построении SOC возможно (и даже целесообразно) подключение в качестве источника данных систем мониторинга технологических показателей штатной работы производственного оборудования. Это позволит своевременно отслеживать отклонения от допустимых значений, в том числе вызванные износом оборудования или его некорректной настройкой. Тем самым SOC позволит оперативно детектировать и предотвращать экстраординарные ситуации, не только связанные с несанкционированным доступом и воздействием злоумышленника на технологическую инфраструктуру, но и вызванные внутренними причинами.
Особенности техноSOCа
Мониторинг технологического сегмента производства можно обеспечить различными способами: построением выделенного центра мониторинга в промышленной сети или модернизацией и расширением уже существующего корпоративного.
При интеграции с корпоративным SOC (или при установке выделенного ядра системы в корпоративном сегменте) важно учитывать особенности грамотного построения архитектуры технологической сети. Один из существенных факторов − необходимость изоляции технологического и корпоративного сегментов друг от друга и обеспечения защищенного шлюза передачи данных для транслирования событий ИБ от серверов-коннекторов к ядру системы (как между сегментами, так и между контролируемыми зонами внутри технологической сети).
Стоит уделить особое внимание и подбору грамотных специалистов, которые будут подкованы как в тематике информационной безопасности, так и в специфике функционирования промышленных систем. Таких специалистов на рынке, к сожалению, явно не достаточно. Тем не менее необходимо быть готовыми к тому, что обеспечение круглосуточного мониторинга потребует довольно большого штата сотрудников, задействованных в мониторинге и разборе инцидентов, а также организации их посменной работы.
Стоит заметить, что опыт не только западных, но и российских компаний позволяет говорить о том, что объединенный SOC для корпоративной и технологической сетей вполне можно реализовать, в частности, путем приобретения сервиса по мониторингу инцидентов ИБ или передачи собственной SIEM-системы на эксплуатацию доверенному и опытному подрядчику.
Принципы SOC
|
||
Мониторинг в реальном времени
|
Отчетность |
Управление инцидентами |
1. Сбор данных 2. Корреляция событий 3. Выявление инцидентов 4. Координация действия |
1. Краткий отчет 2. Аудит и отчетность 3. Метрики безопасности 4. Соответствие KPI 5. Выполнение SLA |
1. Пред- и постразбор инцидентов
2. Форензика 3. Анализ причин произошедшего 4. Обработка инцидентов 5. Категоризация и занесение в базу |
Больше пользы, меньше риска
Построение SOC − весьма эффективный метод повышения уровня безопасности. В отличие от активных средств обеспечения ИБ промышленного сегмента (например, средств антивирусной защиты, систем предотвращения вторжений и средств дополнительной аутентификации), внедрение которых всегда становится предметом споров об их целесообразности, средство мониторинга оказывает меньшее влияние на технологическую инфраструктуру и не является дополнительно точкой отказа. Благодаря этому можно утверждать, что такой техноSOC имеет более высокий приоритет при низких рисках.
Когда цель оправдывает средства
Реализация такого проекта позволяет осуществлять контроль над состоянием ИБ не только в знакомой корпоративной ИТ-среде, но и во всей компании. В результате будет получена полная, целостная картина состояния информационной безопасности компании по всем фронтам. При этом успешную организацию SOC можно назвать одной из вершин, достижение которых демонстрирует уровень зрелости компании в части обеспечения комплексной информационной безопасности.
Наша собственная статистика позволяет утверждать, что многие из крупных промышленных компаний и предприятий ТЭК в настоящий момент вполне осознают риски выхода из строя дорогостоящего оборудования и нарушения работы производства по причине своевременно не детектированных атак злоумышленников (как внутренних, так и внешних). И в результате уже начали реализовывать проекты по обеспечению ИБ технологического сегмента и построению SOC силами интегратора-партнера.