Обзор личного кабинета МТС RED SOC 07.2023, центра мониторинга и реагирования на кибератаки

1. Введение
2. Функциональные возможности личного кабинета МТС RED SOC
3. Архитектура МТС RED SOC
4. Системные требования личного кабинета МТС RED SOC
5. Сценарии использования личного кабинета МТС RED SOC
6. Выводы

Введение

Российский рынок центров мониторинга и реагирования на кибератаки активно развивается. Согласно недавнему опросу зрителей AM Live, совокупно 75 % респондентов готовы доверить внешним компаниям мониторинг безопасности, причём 30 % — на всём протяжении инфраструктуры, вплоть до критически важных участков и автоматизированных систем управления (АСУ ТП). В то же время инструменты контроля и оценки эффективности SOC ещё только развиваются. МТС RED SOC 07.2023 предлагает свой вариант решения этой задачи — личный кабинет, который будет рассмотрен в текущем обзоре.

Функциональные возможности личного кабинета МТС RED SOC

После заключения контракта заказчик МТС RED SOC активирует учётную запись через корпоративную электронную почту. После этого он должен включить двухфакторную аутентификацию с использованием номера телефона, к которому будет привязана учётная запись.

При входе в сервис пользователь видит статистику за текущий день, прошедшую неделю и прошедший месяц. Инциденты разбиты по уровню критической значимости, особо выделены те, которые требуют решения.

Рисунок 1. Стартовый экран личного кабинета

Далее пользователь может перейти в раздел «Аналитика», где представлена статистика по инцидентам, тактикам и техникам MITRE ATT&CK и соответствию параметрам соглашения о качестве (SLA) для инцидентов с разным уровнем критической значимости.

Рисунок 2. Раздел «Аналитика»

Если заказчиком является крупный холдинг, в личном кабинете будет отображаться информация по всем подключённым в SOC дочерним подразделениям. Она доступна в подменю «Параметры»: списки «Компании» и «Домены». Там же можно выбрать интервал времени для отображения данных. 

Интересной частью этого раздела являются панели мониторинга (дашборды), которые показывают, как сработавшие правила корреляции накладываются на техники и тактики злоумышленников по матрице MITRE ATT&CK. За счёт этого заказчик может определить актуальные для его компании векторы атак и при необходимости подключить дополнительные источники событий и правила корреляции.

Уровень качества обслуживания МТС RED SOC определяется по промежутку времени между регистрацией инцидента и информированием клиента о возникшей ситуации. Пользователь может контролировать соблюдение SLA в разрезе инцидентов разной степени критической значимости. 

По этому поводу добавим, что в зависимости от уровня угрозы клиент получает уведомления по телефону или по электронной почте. В последнем случае письмо содержит не только информацию об инциденте, но и инструкции аналитиков по устранению причин и последствий. Реализация предложенных мер возлагается на специалистов клиента, поскольку только они могут оценить риски для бизнес-процессов организации и сопоставить их с потенциальным ущербом от инцидента.

Рисунок 3. Пример уведомления об инциденте на почту оператора

В разделе «Аналитика» также представлена статистика по количеству событий в секунду (EPS), регистрируемых и обрабатываемых SOC, и их соответствию тому количеству, которое прописано в договоре. Фактические показания EPS важны, так как помесячная тарификация осуществляется на основе именно этого параметра.

Рисунок 4. Сопоставление фактически зарегистрированных EPS с прописанным в договоре объёмом

В данном случае у заказчика наблюдается среднесуточное превышение договорного значения. При этом никаких блокировок не происходит, события продолжают регистрироваться и обрабатываться. Разовое превышение не является проблемой, но если наблюдается превышение постоянное, которое увеличивает среднемесячный показатель, то заказчику и сервис-менеджеру МТС RED SOC понадобится принять решение о том, чтобы увеличить договорные значения или отключить определённые источники событий, которые мало влияют на информационную безопасность компании. Если же заказчик видит, что он не использует весь объём EPS, прописанный в договоре, то среднемесячные значения можно пересмотреть в сторону уменьшения.

Рисунок 5. Статистика использования EPS по источникам

При необходимости заказчик может не только уменьшить количество источников, передающих данные в SOC, но и увеличить его — например, в случае появления новых систем или переоценки существующей модели угроз. Для этого потребуется связаться с сервис-менеджером, указанным в контракте.

Помимо статистики за указанный период пользователю доступен сводный анализ событий по источникам.

Рисунок 6. Анализ EPS по источникам событий

Заметим, что на иллюстрациях приведены обезличенные названия. Это позволяет избежать указания на конкретных заказчиков и их источники событий. 

Если в компании есть несколько подразделений, то можно получить статистику EPS по каждому из них.

Рисунок 7. Статистика использования EPS по доменам (подразделениям)

В данном случае в компании есть один домен (подразделение), иначе здесь была бы также представлена информация и по всем остальным.

В разделе «Инциденты» пользователь личного кабинета может отслеживать текущие инциденты или работать с архивными данными. Личный кабинет МТС RED SOC даёт возможность ретроспективного анализа инцидентов. В архиве информация хранится один год, но по договорённости с поставщиком сервиса этот срок можно увеличить.

Для облегчения поиска информации инциденты можно отфильтровать по текущему статусу, домену (подразделению), датам создания и / или закрытия, критической значимости и исполнителю.

Рисунок 8. Мониторинг инцидентов

В таблицу выводятся: домен, к которому относится инцидент; правило, которое вызвало уведомление; ключевое поле, кратко поясняющее инцидент; исполнитель, которому назначена работа по данному инциденту.

При необходимости оператор может экспортировать отфильтрованные инциденты в локальный файл в формате XLSX для дальнейшего анализа. Частота срабатывания различных правил корреляции и распределение инцидентов по типам дают представление о ландшафте киберугроз, характерном для конкретного заказчика, позволяют выявить слабые места инфраструктуры и оптимизировать настройки систем защиты.

Рисунок 9. Экспортированные инциденты за определённый период

Выгруженный файл содержит подробную информацию о произошедших событиях. Если инцидент уже находится в работе, то для него будут определены тактики и техники MITRE ATT&CK, тип журнала, от которого получено данное уведомление, и другая дополнительная информация; в частности, в поле «raw_event» будет указано, как событие выглядело в системе управления сведениями по безопасности (SIEM).

Если организация-заказчик владеет объектом критической информационной инфраструктуры (КИИ) и должна передавать сведения об инцидентах в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА), то оператор может использовать одноимённый раздел личного кабинета.

Рисунок 10. Уведомления в разделе «ГосСОПКА»

Ответственный за взаимодействие с ГосСОПКА создаёт уведомления в случае выявления компьютерной атаки, компьютерного инцидента или компьютерной уязвимости.

Рисунок 11. Создание уведомления

МТС RED SOC не отправляет уведомления самостоятельно, но предоставляет удобный инструмент для взаимодействия с национальным координационным центром по компьютерным инцидентам (НКЦКИ).

В разделе «Обращения» можно создавать запросы на подключение новых источников, получать дополнительную информацию по событиям и сведения о системе МТС RED SOC и её функционировании.

Рисунок 12. Раздел «Обращения»

Активные обращения можно отредактировать и дополнить. Неактивные (закрытые) отправляются в архив.

Рисунок 13. Работа с уже созданными обращениями

К обращению можно прикрепить файлы, которые помогут специалистам МТС RED SOC лучше понять причину и подготовить наиболее полный ответ.

Рисунок 14. Создание нового обращения

Интерфейс личного кабинета доступен как пользователю, так и дежурной смене МТС RED SOC. Благодаря этому сотрудник службы информационной безопасности компании может в режиме реального времени видеть, как аналитики центра мониторинга обрабатывают инцидент, и давать комментарии во встроенном чате.

В личном кабинете можно настроить профиль, а также проверить, какие разрешения выданы для работы в системе. Доступ к профилю осуществляется через соответствующую иконку в правом верхнем углу экрана.

Рисунок 15. Страница профиля пользователя в личном кабинете

На странице профиля можно указать рабочий телефон и выбрать часовой пояс, в котором находится сотрудник. Указание часового пояса востребованно у заказчиков с распределённой филиальной структурой — это важно для правильной привязки событий ко времени и отображения в отчётах.

Здесь также выбирается язык личного кабинета. Сейчас представлены два языка — русский и английский, но разработчик может добавить другой по запросу. Дополнительно можно указать, является ли данный пользователь «резервным контактом», к которому специалисты МТС RED SOC будут обращаться только в случае недоступности основных контактов организации. Также пользователь может сменить здесь свой пароль для доступа в личный кабинет.

Рядом с кнопкой входа в профиль есть переключатель темы — «Дневная» или «Ночная».

Также в личном кабинете есть раздел «Помощь», где можно получить описание различных ситуаций, статусов и терминов или запросить помощь от дежурного сотрудника МТС RED SOC, нажав одноимённую кнопку.

Рисунок 16. Раздел «Помощь» в личном кабинете

Архитектура МТС RED SOC

Личный кабинет является частью сервисов МТС RED SOC. Помимо него центр мониторинга работает со следующими ключевыми сущностями:

• Источники информации.
• SIEM-система.
• Команда безопасности поставщика сервиса: аналитики, сервис-менеджеры, операторы, в том числе дежурная смена.
• НКЦКИ.
• Представитель клиента / заказчика, ответственный за информационную безопасность.

Рисунок 17. Упрощённая архитектура МТС RED SOC

Источники — это различные системы и сервисы на стороне заказчика, информацию о событиях по безопасности из которых специалисты заказчика и оператор, проводивший обследование инфраструктуры, считают важными. К таким источникам можно отнести различные сетевые сервисы (DNS, DHCP, службы каталогов (Active Directory) и др.), сетевые устройства, межсетевые экраны, СУБД, персональные компьютеры и серверы, антивирусы, сканеры безопасности, лог-файлы различных приложений и пр. Для регистрации доступно более 1500 систем.

SIEM — ключевой элемент обработки собранных событий. В этой роли выступает решение от «Лаборатории Касперского» — Kaspersky Unified Monitoring and Analysis Platform (KUMA). В настоящий момент используется версия 1.6.

Системные требования личного кабинета МТС RED SOC

У личного кабинета отсутствуют специфические системные требования. Взаимодействие с кабинетом осуществляется с помощью браузера и поэтому может вестись с рабочих станций под управлением различных операционных систем и с использованием различных интернет-обозревателей. Была проверена работа в браузерах Chrome, Edge, Firefox и Vivaldi.

Для использования формируемых системой отчётов необходима программа, которая позволяет работать с файлами формата XLSX.

Сценарии использования личного кабинета МТС RED SOC

Личный кабинет МТС RED SOC используется сотрудниками компании-заказчика для получения информации о текущей ситуации с инцидентами в ИТ-инфраструктуре, отображения статистики по произошедшим событиям за определённый период. С его помощью можно получить сведения по анализу обнаруженных атак и уязвимостей, увидеть перечень пяти основных практик и техник MITRE ATT&CK, применённых против организации.

Также личный кабинет применяется для взаимодействия со службой технической поддержки МТС RED SOC, передачи сведений по произошедшим инцидентам в ГосСОПКА. Его можно использовать для формирования отчётов, настройки параметров, получения помощи.

Выводы

Сервис МТС RED SOC 07.2023 подходит компаниям любого размера, как крупным, так и небольшим, потому что не требует наличия в штате высококвалифицированных специалистов в различных областях ИБ. Личный кабинет даёт возможность быстро получить информацию о текущем состоянии инфраструктуры, понять, какие инциденты произошли и как можно с ними справиться, в т. ч. используя рекомендации специалистов МТС RED SOC. Компании, которые владеют объектами КИИ, с помощью личного кабинета смогут при необходимости предоставить требуемую информацию в НКЦКИ. Можно сказать, что личный кабинет выгодно отличает предложение МТС RED в рыночном сегменте «SOC как услуга». 

Достоинства:

• Возможность интеграции с другими сервисами МТС RED и CloudMTS.
• Информация о событиях из более чем 1500 источников.
• Детальная аналитика по работе МТС RED SOC, инцидентам, SLA и EPS.
• Удобная система взаимодействия с НКЦКИ.
• Использование российской SIEM-системы в качестве ключевого элемента решения.
• Возможность добавления новых языков в личном кабинете для международных заказчиков.

Недостатки:

• В качестве второго фактора аутентификации поддерживается только СМС.
• Нет возможности выгружать файлы отчётов об инцидентах по настроенному расписанию.
• Отсутствует возможность самостоятельно, через личный кабинет, добавить источник информации для SIEM.