Мнения 5 апреля 2023

Мониторинг событий безопасности: как быстрая реакция на инциденты помогает отражать кибератаки

Далее

Простые средства защиты — антивирусы или файрволы — не всегда способны защитить компанию от существующих киберугроз. Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE, рассказывает, как происходит мониторинг инцидентов и как повысить киберзрелость компании.

Почему превентивных средств безопасности недостаточно, чтобы защитить компанию  

Представим, что на компьютере HR-менеджера пользователь начинает смотреть, какие права есть у текущей учетной записи, подключаться c использованием легитимных средств удаленного управления в интернет, выполнять другие действия, необычные для сотрудника из отдела кадров. 

Превентивные средства кибербезопасности — антивирусы, межсетевые экраны, системы обнаружения вторжений — в этой ситуации при стандартной настройке не будут блокировать такие действия. Они ищут точные признаки кибератак, например, попытки установить сетевое соединение с известным зловредным ресурсом, загрузить вредоносный файл или запустить на компьютере средства слежения. А запросить права своей учетной записи или удаленно подключиться к сети с помощью стандартных программ — вполне легитимные действия для большинства компаний. 

Однако специалист по безопасности поймет, как события могут развиваться дальше. Если на компьютер HR-менеджера проник злоумышленник, то он сможет в любое время открыть удаленное подключение к этой рабочей станции и внедрить вредоносное программное обеспечение, а информация об учетных записях поможет ему развить атаку. 

Чтобы исключить потенциальный взлом, такие действия нужно отслеживать и контролировать. Именно в этом и заключается основная задача мониторинга кибербезопасности.   

Что такое эффективный мониторинг кибербезопасности 

Без мониторинга угроз компания, скорее всего, узнает о взломе постфактум, когда не заметить инцидент станет невозможно, например, при шифровании данных на серверах и рабочих станциях. В свою очередь, проактивный подход позволяет своевременно выявлять нелегитимную активность через централизованный сбор, систематизацию и анализ событий безопасности. Работать это может по-разному. 

Некоторые организации выделяют одного специалиста, который наблюдает за алертами — оповещениями средств защиты, например, антивируса, о подозрительной активности. В какой-то степени это тоже мониторинг, но реальную защиту он обеспечить не может: эксперт будет контролировать лишь небольшой участок инфраструктуры.  

Более продвинутый вариант — и так делают многие компании — внедрить SIEM-систему (система управления событиями безопасности). Она будет собирать данные с разных участков инфраструктуры, составлять цепочки событий и отслеживать тревожные сигналы. К сожалению, этого тоже может быть недостаточно, поскольку просто обнаружить проблему — мало.

SIEM-система будет собирать данные с разных участков инфраструктуры, составлять цепочки событий и отслеживать тревожные сигналы

Для зрелого подхода к кибербезопасности и полноценной защиты нужно еще: 

  1. Иметь возможность заранее предусмотреть, с какими инцидентами может столкнуться компания. 
  2. Если событие произошло, проанализировать, что именно случилось. 
  3. Правильно отреагировать на инцидент. 
  4. Провести работу над ошибками, чтобы в будущем ситуация не повторилась. 

Такие процессы потребуют интегрировать мониторинг событий безопасности с проактивным анализом угроз и реагированием на инциденты. 

Эффективнее делать это в рамках специального подразделения, которое так и называется: центр мониторинга и реагирования на киберугрозы (security operations center, SOC). Он может работать как на собственных ресурсах компании, так и с привлечением сторонней команды. 

SOC связывает технологии, людей и процессы кибербезопасности: такое сочетание обеспечивает оптимальную защиту в условиях, когда атаки становятся все сложнее. 

Дальше расскажем, как работает SOC и как добиться от него максимальных результатов.  

Как SOC делает мониторинг инцидентов эффективнее  

Прежде чем внедрять мониторинг, компании нужно позаботиться о превентивных средствах защиты, которые помогут уберечься от типовых атак. Данный этап работы можно обозначить как предотвращение (prevention). Внедренные средства защиты информации (СЗИ) смогут автоматически блокировать известные атаки, но многие злоумышленники давно научились их обходить. Чтобы справиться с «невидимыми» угрозами, компании требуются иные средства, в частности, системы мониторинга. 

По своей сути этап prevention не входит непосредственно в процесс мониторинга угроз, но является его важным предшественником. 

Как мы говорили выше, основная часть компаний выстраивает мониторинг кибербезопасности на базе SIEM-систем. В этом случае процесс можно разложить на следующие этапы:  

1.    В сети устанавливаются СЗИ: антивирусы, межсетевые экраны, сетевые сканеры безопасности и прочие системы, основная цель которых — в автоматическом режиме искать признаки взлома.  

2.    С этих СЗИ, а также с конечных устройств, сетевого оборудования, приложений и других источников собираются события безопасности — пассивно или с установкой программ-агентов. События попадают в SIEM-систему, где к ним применяются правила корреляции. По итогу этого анализа удается определить потенциально опасные действия.  

Этот этап работы можно обозначить как обнаружение (detection), и он уже входит в процесс мониторинга угроз. 

3.    Обнаруженные правилами тревожные сигналы анализирует команда специалистов. Если угроза подтверждается, они инициируют реагирование. В его рамках могут быть использованы специализированные системы класса IRP/SOAR (i), которые запускают (по команде аналитика или автоматически на базе преднастроенных правил) сценарии реагирования для выявленного типа инцидента — плейбуки.  

Этот этап работы можно обозначить как реагирование (response). 


(i) Incident Response Platform/Security Orchestration, Automation and Response — класс программных продуктов для координации систем безопасности и управления ими. Эти решения позволяют собирать из разных источников данные о событиях безопасности, обрабатывать их и автоматизировать типовые сценарии реагирования. 


SOC дополняет цикл еще двумя этапами: непрерывное выявление уязвимостей (prediction) и извлечение уроков на будущее (lessons learned). Выявлять уязвимости на постоянной основе важно, чтобы своевременно их закрывать и снижать вероятность их эксплуатации киберпреступниками. А в ходе реагирования на инцидент компания может определить, какие события можно было бы предотвратить на этапе prevention, и вынести уроки, чтобы дополнить политики срабатывания СЗИ. В совокупности это позволяет сформировать наиболее полный подход к защите.  

Как получить максимум от мониторинга 

Кроме стандартных инцидентов кибербезопасности, в компании могут произойти и иные события, способные нарушить непрерывность бизнес-процессов. Такие инциденты также важно выявлять в SOC, а значит, их следует ставить на мониторинг. 

Возьмем для примера локальное очистное сооружение. Атака на автоматизированную систему управления технологическими процессами (АСУ ТП), ошибка оператора или нерегламентированная команда могут вызвать сброс неочищенных стоков. Итог — экологическая катастрофа, огромные штрафы, а то и уголовные дела против ответственных лиц. Чтобы снизить ущерб от инцидента, можно наладить круглосуточный мониторинг режима работы датчика задвижки: если она откроется, например, при неактивном режиме очистки, инженеры смогут немедленно принять меры. SOC — подходящая технологическая база для этого, если подготовить правила корреляции событий в SIEM и написать плейбуки. 

Как же выявлять такие события и обогащать тем самым картину для мониторинга? Мы рекомендуем провести анализ воздействия на бизнес (business impact analysis, BIA). Он даст реальное представление о том, чем грозят разные инциденты, и поможет найти факторы риска — в том числе и за пределами кибербезопасности. 

На каждом из этапов (prediction, prevention, detection, response, lessons learned) этот анализ позволит оптимизировать процессы, приоритизировать риски, сформировать логику выявления и предотвращения различных атак и выработать эффективные меры реагирования, чтобы минимизировать возможный ущерб. 

BIA можно провести самостоятельно, если в компании есть опытная команда экспертов, которые понимают процессы управления непрерывностью бизнеса и ориентируются в стандартах. Если таких специалистов в штате нет, к работе можно привлечь внешних экспертов. 

Каждой ли компании нужен SOC 

Ответ зависит от рисков, которые станут понятны по итогам BIA. При этом нужно рассматривать ущерб не только для ИТ-инфраструктуры: нарушить непрерывность бизнес-процессов могут, например, и сбои внешних сервисов, которые также важно выявлять в SOC. 

По итогам анализа на одной чаше весов будут затраты на внедрение собственного или подключение внешнего SOC, а на другой — ущерб от запоздалой реакции на события безопасности. Руководство сможет принимать решения, оценивая конкретные сценарии. Если станет ясно, что потери от каких-либо инцидентов недопустимы для компании, а SOC при этом не создаст чрезмерную нагрузку на бюджет, есть смысл потратить средства, чтобы исключить те критические потери. 

Может быть и наоборот: потенциальные потери бизнеса не оправдают расходы на SOC. Тогда компания может поставить на мониторинг отдельные ключевые события и выстроить процедуры реагирования на самые опасные сценарии. 

SOC: инхаус или аутсорсинг? 

Когда компания определилась, что ей действительно нужен SOC, остается решить, будет ли он работать на ее собственных ресурсах или нужно обратиться в экспертную организацию. 

Принять такое решение помогут следующие вопросы.  

  1. Можете ли вы сами оценить критичность систем с точки зрения мониторинга? 

Компании считают, что чем ценнее информация, которая хранится и обрабатывается в системе, тем критичнее эта система и тем важнее вести ее мониторинг. Но такой подход не всегда будет верным. 

Если киберпреступники смогут добраться до этих критически важных систем и, например, выложить в сеть базу данных, защищать информацию поздно — ее уже скомпрометировали. Но на пути к цели злоумышленнику нужно получить доступ в инфраструктуру, провести разведку, создать себе учетную запись с максимальными правами и так далее. Задача компании — как можно раньше заметить нелегитимные действия и среагировать, не дожидаясь, пока взломщик получит доступ к критическим активам. Поэтому мониторинг должен охватывать не только такие активы, но и все точки, которые пройдет злоумышленник. Это могут быть почтовые серверы, рабочие станции пользователей, второстепенные информационные системы. Все это — элементы инфраструктуры, которые обычно не считаются критически важными. 

Чтобы создать эффективный собственный SOC, компании нужны специалисты, которые смогут правильно ранжировать системы по значимости. Если у организации нет таких работников, ей помогут сторонние эксперты. 

2. Нужно ли вам выполнять требования законодательства по информированию регуляторов об инцидентах? 

Субъекты критической информационной инфраструктуры (КИИ) должны передавать информацию об инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Для этого необходимо выстроить взаимодействие с регулятором, проработать регламенты, выполнить интеграцию, наладить автоматизированную передачу сведений об инцидентах и т. д.  

Все это можно делать самостоятельно. Если же у компании нет возможности выделить собственные ресурсы на такую работу, можно поручить эти задачи внешнему SOC, у которого есть статус корпоративного центра ГосСОПКА.  

3. Как быстро вам нужно запустить мониторинг? 

Чтобы построить и ввести в работу свой SOC, компании может потребоваться несколько лет. SOC должен достичь определенного уровня зрелости, чтобы действительно начать выявлять инциденты, которые не заметили стандартные превентивные средства защиты. Наращивание экспертной базы правил, по которым выявляются подозрительные события, постоянная их актуализация, выстраивание процессов, подготовка плейбуков — все это требует очень много времени и ресурсов. Например, 1 300 правил (на январь 2023 года) в базе нашего SOC мы разрабатывали более четырех лет. При этом запустить внешний SOC можно за несколько недель. 

4. Какая скорость реагирования на инциденты для вас критична? 

Анализ воздействия на бизнес покажет, в какие рамки нужно уложиться при реагировании на инцидент. Может оказаться, что одночасовой сбой никак не скажется на бизнесе, через два часа начнутся проблемы в процессах, а два дня простоя будут грозить крупным финансовым и репутационным ущербом. Все это нужно учитывать в плейбуках, из которых будет понятна процедура реагирования. На некоторые инциденты необходимо реагировать в течение нескольких минут, в том числе и ночью. Следовательно, SOC должен работать круглосуточно, а если потребуются узкопрофильные эксперты, им нужно будет подключиться как можно скорее.  

Собственный круглосуточный SOC — это большие затраты. Основную часть расходов составят кадры — людей нужно найти и адаптировать к работе в компании. Во внешнем SOC уже есть опытные специалисты, которые ежедневно в режиме 24/7 разбираются с инцидентами у компаний из различных отраслей. 

5. Готовы ли вы нести крупные единовременные затраты?  

Вопросы бюджета при создании SOC у себя или с привлечением аутсорсинга решаются индивидуально, однозначного ответа насчет того, какой вариант будет дешевле, нет. Все зависит от численности и квалификации штата, используемых технических решений и сервисов, прочего инструментария.  

Стоит учитывать, что собственный и внешний SOC относятся к разным статьям бюджета. В первом случае речь о капитальных вложениях: оборудование, программное обеспечение, лицензии, помещения, мебель. Во втором расходы будут операционные. 

Соответственно, для создания своего SOC понадобятся крупные первоначальные инвестиции, а при аутсорсинге — нет. 

6. Есть ли у вас квалифицированные сотрудники? 

В SOC нужно изначально набирать высококвалифицированных специалистов, которые должны постоянно накапливать опыт. При этом решить кадровый вопрос сегодня нелегко. Во всем мире не хватает нескольких миллионов профильных сотрудников, в России счет приближается к ста тысячам человек. Сбор команды в штат может занять месяцы, а в стороннем SOC она уже есть. Кроме того, при планировании расходов на собственный центр мониторинга нужно учитывать не только зарплаты экспертов, но и затраты на профессиональное обучение, сертификацию и повышение квалификации. 

Резюмируем 

Без мониторинга инцидентов невозможно говорить о кибербезопасности — нельзя защититься от угроз, которые не видишь. Но, пожалуй, еще хуже потратить деньги и не добиться результата. 

Начните с анализа воздействия событий на бизнес, чтобы определиться, какой мониторинг даст ожидаемый результат. Постоянно обновляйте список событий безопасности, которые влияют на устойчивость компании. Так вы улучшите общее качество мониторинга и значительно повысите уровень киберзрелости в вашей организации. 


Читать далее:

Ученые выяснили природу странных радиосигналов с планеты, похожей на Землю

Эксперты предсказали, сколько людей будет жить на Земле к 2100 году

Найден новый тип черной дыры, скрывающейся на «космическом заднем дворе» Земли