Як побудувати та запустити центр безпеки (SOC)
Створення центру управління безпекою (SOC, Security Operations Center) та його інтеграція в організаційні процеси може бути складним завданням. Однак для успішності важливо розпочати з малих кроків, активно ділитися отриманими результатами всередині організації та пам’ятати, що SOC — це засіб, а не мета.
Що таке SOC?
На практиці, Центр безпеки відстежує активність комп’ютерів та мережі в організації. Він збирає та аналізує дані журналів від програм та пристроїв, що працюють у мережі компанії, для виявлення будь-яких незвичайних подій чи відхилень. Інформація з журналів може походити з серверів, брандмауерів, веб-додатків, антивірусного програмного забезпечення та навіть промислових систем керування. Це дає можливість мати огляд стану безпеки всіх систем та пристроїв. Ця інформація надає уявлення про те, наскільки безпечно функціонують мережа, системи, а також апаратне та програмне забезпечення в організації.
Як працює SOC?
Для успішної роботи системи SOC необхідно відповідати ряду критеріїв. Серед них:
- Наявність політики інформаційної безпеки, що підтримується всією організацією.
- Детальний огляд програмного забезпечення, що використовує організація.
- Компетентність у керуванні інформаційними системами та постійний аналіз ризиків.
- Співпраця з управління ІТ (ITSM).
Коли йдеться про інтерпретацію даних із журналів різних джерел та їх співвіднесення з цифровими процесами, система безпеки інформації та управління подіями (SIEM) може забезпечити вирішення цього завдання.
Крім інформації про системи, обладнання, програмне забезпечення та мережі, SOC також використовує аналіз загроз. Ця інформація включає в себе вразливі місця та потенційні загрози кібербезпеки, що надходять з різних джерел. За допомогою цієї інформації SOC оцінює події в системах та на всіх підключених пристроях.
Як створюється SOC?
Розпочніть з моніторингу базових технічних аспектів, які приносять вигоду організації, таких як журнали з Active Directory, брандмауерів, антивірусів і веб-серверів. Простота ключова, тому обмежте зусилля ІТ-відділу, фокусуючись виключно на технічних питаннях. Набувайте досвід у моніторингу, реєстрації та лагодженні інцидентів, зосереджуючи увагу на освоєнні процесів моніторингу та реакції на інциденти. Розширюйте моніторинг на системи, що є складовою основних операцій з контрольованим підходом. Узгодьте з ІТ-відділом правила та умови втручання у разі реєстрації подій. Не фокусуйтеся виключно на створенні SOC, а зосередьтеся на тому, що має реальне значення та корисне для організації.
Впровадження управління кіберризиками
Міжнародний стандарт ISO/IEC 27005 забезпечує структуру управління ризиками для організацій для управління ризиками інформаційної безпеки. Зокрема, він містить вказівки щодо виявлення, аналізу, оцінки, вирішення та моніторингу ризиків інформаційної безпеки.
Оцінка кіберризиків: це включає виявлення потенційних загроз і вразливостей, оцінку впливу злому та визначення ймовірності атаки.
Розробка плану управління кіберризиками передбачає визначення цілей, стратегій і процеси для управління кіберризиками. План має включати чіткі ролі та відповідальність, ризик процедури пом’якшення та реагування, а також план дій на випадок порушення.
Впровадження засобів контролю безпеки: це передбачає впровадження технічних та організаційних заходів заходи безпеки, такі як брандмауери, системи виявлення та запобігання вторгненням, шифрування, та контроль доступу.
Навчання та обізнаність працівників: це передбачає навчання працівників щодо кіберризиків і як запобігати інцидентам і реагувати на них. Співробітники повинні бути проінформовані про свою роль у
запобігання кібератакам і важливість дотримання політик і процедур безпеки.
Регулярний моніторинг і перевірка: це передбачає моніторинг ефективності програми управління кіберризиками, включаючи регулярні аудити безпеки, оцінку ризиків, сканування вразливостей. Програму слід регулярно переглядати та оновлювати, щоб переконатися, що вона продовжує відповідати змінюваному профілю ризику організації.
Структура та ролі SOC
Розвиток персоналу, утримання співробітників і залучення талантів
є ключовими компонентами успішного SOC. Добре навчена та
вмотивована команда має важливе значення для підтримки надійної безпеки та ефективного реагування на інциденти.
Типові основні ролі в SOC — це різнього рівня аналітики та менеджери.
Окрім чотирьох основних ролей, існують додаткові ролі, які певною мірою залучені у щоденній роботі SOC.
Оскільки з широкого розмаїття визначених ролей важливо
спробувати структурувати їх. Автори “Security Operations Center: A Systematic Study and Open Challenges” склали список різних
ролей та можливі взаємозв’язки між ними. Ці додаткові ролі потрібні для керування, співпрацювання з попередньо описаними основними ролями SOC, які також включені у наведений нижче рисунок.
Ці групи можна адаптувати або розширити додатковими ролями, коли необхідно:
• Tier 1 (Triage Specialist) / Рівень 1 (Спеціаліст з сортування): Відповідає за збір необроблених даних, а також за перегляд сигналізації та сповіщення. Їх потрібно підтвердити, визначити,
або налаштувати критичність сповіщень і збагатити їх
відповідні дані. На кожне сповіщення фахівець із сортування
щоб визначити, чи є він виправданим чи хибним позитивним результатом. Додатковою відповідальністю на цьому рівні є ідентифікація інших подій високого ризику та потенційних інцидентів. Усім цим необхідно розставити пріоритети відповідно до їх критичності. Якщо виниклі проблеми не можуть бути вирішені на цьому рівні, їх передають до аналітиків рівня 2. Крім того,
спеціалісти з сортування часто керують і налаштовують
засоби моніторингу.
Tier 2 (Incident Responder) / Рівень 2 (Реагування на інциденти): Аналітики переглядають більш критичні інциденти безпеки, викликані ескалацією спеціалістів із сортування та проводять більш поглиблену оцінку використання аналізу загроз (індикатори компрометації, оновлені правила тощо). Вони повинні розуміти масштаби атаки та знати про уражені системи. Необроблені дані телеметрії про атаки, зібрані на рівні 1, перетворюються на дієві дані про загрози на цьому рівні. Якщо виниклі проблеми не можуть бути вирішені на цьому рівні, їх передають до аналітиків рівня 3.
Tier 3 (Threat Hunter) / Рівень 3 (Мисливець за загрозами): Аналітики рівня 3 найбільш досвідчена робоча сила в SOC. Вони справляються з основними інцидентами, переданих їм від служб реагування на інциденти. Вони також виконують або принаймні контролюють уразливість оцінки та тести на проникнення для виявлення можливих векторів атаки. Їх найважливіший обов’язок
для проактивного виявлення можливих загроз, прогалин у безпеці,
і вразливості, які можуть бути невідомі. Вони також повинні рекомендувати способи оптимізації моніторингу безпеки. Крім того, будь-які критичні сповіщення про безпеку, аналіз загроз та інші безпекові дані, надані аналітиками рівня 1 і 2, повинні бути перевірено на цьому рівні.
SOC Manager / Менеджер SOC: Менеджери SOC контролюють команду безпеки. Вони забезпечують технічне керівництво, якщо потрібно, але найголовніше, вони відповідають за адекватне управління командою. Це включає наймання, навчання та оцінку членів команди, створення процесів, оцінку звітів про інциденти, а також розробку та реалізацію необхідних планів комунікацій у кризових ситуаціях. Вони також контролюють фінансові аспекти SOC, підтримують перевірки безпеки та звітують перед керівником інформаційної безпеки (CISO) або відповідною керівною посадою найвищого рівня.
Technical roles / Технічні ролі: існує широкий спектр додаткових спеціалістів із безпеки, яким необхідно співпрацювати з аналітиками SOC, щоб забезпечити ефективну роботу SOC. Важливою роллю цієї групи є інженер безпеки (ІБ). ІБ розробляє, інтегрує та підтримує інструменти SOC. Інженери безпеки також визначають вимоги до нових інструментів. Вони забезпечують відповідний доступ до інструментів і систем. Додатковими завданнями є налаштування та встановлення брандмауерів і систем виявлення/запобігання вторгненням. Крім того, вони допомагають у написанні та оновленні правил виявлення для систем безпеки інформації та керування подіями (SIEM).
Consulting roles / Ролі консультантів: Дві найважливіші ролі в цій групі —Архітектор безпеки (АБ) і Консультант з безпеки. АБ планує, досліджує та проектує надійну інфраструктуру безпеки в компанії. АБ проводять регулярні тести системи та вразливості та впроваджують або контролюють впровадження вдосконалень. Вони також відповідають за встановлення процедур відновлення. Консультанти з питань безпеки часто досліджують стандарти безпеки, найкращі методи безпеки та системи безпеки. Вони можуть надати огляд галузі для організації та порівняти поточні можливості SOC з конкурентами. Вони можуть допомогти планувати, досліджувати та проектувати надійні архітектури безпеки.
External personnel / Зовнішній персонал: Зовнішній персонал може бути залучений до будь-якої операції SOC, і тому, залежно від архітектури та операційної моделі SOC, більша чи менша кількість зовнішнього персоналу бере участь у різних ролях і групах SOC.
Відповідність вимогам та управління
Найкращі практики дотримання вимог і управління в діяльності SOC включають:
1. Регулярно переглядайте та оновлюйте політики та процедури безпеки, щоб забезпечити відповідність відповідним законам, нормам і стандартам.
2. Проводьте регулярні програми навчання та підвищення обізнаності для команд SOC, щоб переконатися, що вони знають свої обов’язки та зобов’язання.
3. Встановіть чіткі лінії зв’язку між командами SOC та іншими відділами в організації, щоб забезпечити їх ефективну спільну роботу.
4. Постійно відстежуйте та аналізуйте події безпеки та сповіщення, щоб виявити потенційні проблеми з відповідністю.
5. Проводьте регулярні оцінки та аудити, щоб гарантувати, що операції SOC залишаються сумісними та ефективними.
Ключові процеси, процедури та завдання, пов’язані з відповідністю та управлінням:
1. Оцінка ризиків: Регулярно виявляйте потенційні ризики та вразливі місця в системах організації та процеси.
2. Розробка політики: розробка та впровадження політики та процедур, які відповідають зовнішнім правилам та вимоги внутрішнього управління.
3. Навчання та підвищення обізнаності: Проведення програм навчання та підвищення обізнаності для працівників, щоб гарантувати, що вони розуміють важливість відповідності та управління, а також готові дотримуватись політики та процедур.
4. Моніторинг і звітність: системи моніторингу та процеси для виявлення можливих порушень політики та правил і звітування про будь-які інциденти відповідним зацікавленим сторонам.
5. Аудит і перегляд: проводите регулярні аудити та перегляди політик і процесів, щоб переконатися, що вони залишаються практичний і актуальний з урахуванням змін нормативних актів і галузевих стандартів.
6. Реагування на інциденти: розробка та впровадження плану реагування на інциденти для вирішення інцидентів безпеки та
порушує оперативно та ефективно.
7. Співпраця: Співпраця з іншими відділами та зацікавленими сторонами для забезпечення ефективного дотримання та
управління в усіх сферах бізнесу.
Інформаційні панелі
Багато компаній, які користуються SIEM, розширюють свої можливості за допомогою оркестровки безпеки, автоматизації та реагування (SOAR), щоб збирати дані з кінцевих точок. SOAR автоматизує, систематизує та використовує інші аналітичні інструменти для збору ключової інформації про потенційні загрози. Проте впровадження SOAR пов’язане зі значними витратами та складнощами. Рішення, такі як SIEM і SOAR, можуть бути обмеженими у сучасному кіберсередовищі і втрачають ефективність у виявленні, управлінні та реагуванні на загрози в умовах зростаючої атакованості. Тому компанії наразі переходять до розширеного виявлення та реагування (XDR), яке поєднує виявлення загроз і реагування на них на рівні підприємства.
На сьогоднішній день існує кілька виробників та платформ, які пропонують рішення розширеного виявлення та реагування (XDR). Деякі з них включають:
- Microsoft Defender for Endpoint: Це рішення, яке виявляє, аналізує та реагує на загрози на рівні кінцевих точок (endpoints), використовуючи штучний інтелект і інші методи захисту.
- CrowdStrike Falcon: Пропонує виявлення загроз на різних рівнях мережі та кінцевих точок, забезпечуючи реагування на інциденти та запобігання атакам.
- Palo Alto Networks Cortex XDR: Поєднує виявлення загроз на кінцевих точках та в мережі для виявлення і реагування на атаки.
- Trend Micro XDR: Ця платформа виявляє загрози на різних етапах атаки та надає інтегровані інструменти для реагування на інциденти.
- Symantec Endpoint Detection and Response (EDR): Платформа Symantec EDR пропонує виявлення, відслідковування та реагування на загрози на рівні кінцевих точок.
Це лише деякі приклади платформ та продуктів XDR, які доступні на ринку. Кожен з них має свої унікальні функції та можливості, але загальна мета у всіх — це поєднання виявлення та реагування на загрози на рівні всієї інфраструктури підприємства.
SOC KPI & KRI
Ключові показники ефективності (KPI), а також ключові показники ризику (KRI). Ці показники підкреслюють ефективність та напрямки вдосконалення SOC сервісів.
Ефективні показники мають бути: актуальними для бізнесу, збирається автоматично, вимірюватися послідовно, перетворюватись у структуровані та дієві дані, зберігаютись періодично і постійно, чітко повідомлятись, і, нарешті, регулярно спілкувався з відповідною аудиторію.
Приклади KPI:
- Кількість сповіщень: скільки сповіщень було отримано щодня
- Кількість хибних спрацьовувань: зі скількома хибними спрацьовуваннями щодня стикаються аналітики SOC
- Кількість повідомлених інцидентів: кількість повідомлених інцидентів протягом певного періоду часу
- Середній час виявлення (MTTD): кількість днів, протягом яких порушення залишаються непоміченими
- Середній час виправлення (MTTR): кількість днів між виявленням і виправленням
- Середній час стримування (MTTC): кількість днів, доки ідентифіковані вектори атак не будуть заборонені через скомпрометовані кінцеві точки
- Витрати, викликані інцидентами: на місячній і річній основі, скільки коштували порушення. Витрати включають витрати на розслідування, втрату продуктивності, простої, регуляторні санкції та втрату даних
- Робоче навантаження аналітика: кількість подій, з якими ваші аналітики мають справу щодня
- Успішність фішингової атаки: відсоток позитивних результатів після фішингових кампаній
- Навчання з питань кібербезпеки : повторюваність, повнота з точки зору зацікавлених працівників (включно з керівниками) та результати
Приклади KRI:
- Рівень готовності: кількість пристроїв у вашій корпоративній мережі, які виправлені та оновлені
- Неідентифіковані пристрої в мережі: зловмисне програмне забезпечення може потрапити у вашу мережу, коли співробітники приносять свої особисті пристрої
- Рейтинг безпеки постачальника: показники кібербезпеки мають відповідати ландшафту загроз, які виходять за межі вашої компанії. Ви повинні оцінити систему управління ризиками постачальника та сторонню систему управління ризиками, щоб завершити свої показники
- Залежності від третіх сторін: вам потрібно знати про всі залежності, на які ви покладаєтеся, щоб правильно оцінити свій ризик
- Виправлення каденції: час, необхідний для впровадження патчів безпеки додатків або пом’якшення вразливостей у списку високого ризику CVE? Кіберзлочинці використовують бази даних аналізу загроз, щоб отримати вигоду від дельти між випуском виправлення та ефективним впровадженням. WannaCry використовувала EternalBlue, щоб проникнути в комп’ютери. Цю вразливість нульового дня було швидко виправлено, але багато компаній все одно були зламані через відставання в політиці виправлень
- Антивірусний моніторинг: періодичність антивірусного сканування додатків (клієнтів електронної пошти, веб-браузерів і програм для обміну миттєвими повідомленнями)
- Керування доступом: наскільки сегментована ваша мережа. Багато порушень викликані внутрішніми загрозами, наприклад недбалими користувачами з високими привілеями
- Резервне копіювання : з якою періодичністю ви робите резервні копії своїх даних
- Кількість відомих уразливостей у зовнішніх і внутрішніх системах : повне уявлення про ваші активи, класифіковані за їхнім ризиком
Якщо вам сподобалася стаття, внизу можна підтримати автора плесканням 👏🏻 Дякую за прочитання!
