Магия превращений из SIEM в SOC, из SOC в CERT, а из CERT в ГосСОПКА

Магия превращений из SIEM в SOC, из SOC в CERT, а из CERT в ГосСОПКА

Обсуждать функции SIEM уже давно стало неинтересно. Хотя, если вспомнить… За последние 2 года на российский рынок высыпали новые решения, каждое по-своему (не)уникальное и (не)функциональное [сами расставьте «не» по смыслу], и даже появились импортозамещающие OEM-фантики для «гартнеровских» лидеров. И каждый новый игрок рынка считает должным дать свою трактовку 20-летней теме парсинга и корреляции событий ИБ. «Ой, всё!» Да и статья не об этом.

 

 

1. Про SIEM, SOC и CERT

2. FinCERT как живой пример Центра мониторинга и реагирования

3. Если есть SOC и CERT, но вам все равно чего-то не хватает

 

 

Про SIEM, SOC и CERT

Будем считать, что читатель anti-malware.ru по умолчанию подкованный ИБэшник и темой SIEM его не удивить. Также примем в качестве известной величины то, что SIEM является сердцем SOC со всей его оргштаткой и процессами, неоднократно расписанными в блогах Андрея Прозорова и Алексея Лукацкого. Кстати, с этим утверждением согласны далеко не все. Например, в комментариях на Facebook Дмитрий Костров уверенно выразил иное мнение: «SOC существовал без SIEM ? Конечно ДА» [пунктуация сохранена]. В защиту важности SIEM для реализации SOC приведу цитату из отчета State of security operations, 2015 от HP Security Intelligence and Operations Consulting (SIOC), исследовавших 87 отдельно взятых SOC: «0% SOCs that are achieving minimum security monitoring capabilities without a SIEM». То есть, если вам говорят, что построили SOC без SIEM, то порекомендуйте им пройти аудит в HP SIOC — пусть взорвут мировой рынок ИБ своим уникальным опытом.

И тогда получается, что в этой статье прежде всего хочется обсудить взаимоотношения построенных SOC различных компаний, немного разобраться в русском понимании терминов CERT и CSIRT и, далее, определить блокирующие факторы в развитии информационного обмена между SOC и CERT для противодействия кибератакам.

Пару недель назад в ленте Facebook Алексея Лукацкого разгорелся холивар на тему функций и определений SIEM, SOC, CERT и CSIRT. По просьбе Дмитрия Мананникова для пополнения его статистики приведу, как мне кажется, очевидные определения и цели этих терминов.

SIEM — Security Information and Event Management, термин был введен в оборот по некоторым данным в 2000-2001 гг., когда еще ArcSight назывался Wahoo Technologies, а по другим — в 2005 г. представителями компании Gartner. Были в ходу и вариации этой аббревиатуры: например, название SIM использовалось компанией Symantec для подобного класса решений. Цель такой системы — обеспечить целостность журналов аудита и коррелировать разнородные события ИБ между собой, т. е. выявлять сложные инциденты в цепочках простых событий. Но нельзя сказать, что до 2000-х годов никто не занимался автоматизированным разбором логов ИБ. Занимались многие — просто термина SIEM еще не было.

SOC — Security Operations Center, термин весьма широк, а потому им называют практически любую организованную деятельность вокруг обнаруженных в SIEM инцидентов, для уменьшения false positive и true negative в работе корреляционных правил (тут целый пласт связанных с этим задач) и с целью повышения эффективности работы специалистов ИБ внутри самого SOC (да, похоже это рекурсия, а точнее бесконечный процесс). Пожалуй, именно из-за такого широкого значения термина складывается впечатление, что вообще любая жизнь в отделах ИБ может называться SOC, но благо существуют методики оценки зрелости (HP SOMM), baselines и best practice (NIST SP, SANS, GIAC), которые прямо утверждают следующее: «A SOC without SIEM is meaningless and a SIEM without skilled resources is a wasted investment» [SANS Institute, Security Operations Centre (SOC) in a Utility Organization, стр. 8, 2014].

Пожалуй, самая большая путаница возникает вокруг терминов CERT, CSIRT. Оно и понятно: слова зарубежные, редкие, в России используются исключительно людьми сведущими. Вообще, среди коллег-безопасников произошла подмена понятий. Любую команду, занимающуюся реагированием и разбором инцидентов, стали называть CERT, некоторые, считающие себя более продвинутыми, используют CSIRT с акцентом на слово Security. Но ведь, чтобы стать CERT, надо получить аккредитацию от Carnegie Mellon University, такую, как, например, получила компания Group-IB. Получается, что правильнее неаккредитованным группам разбора ИБ-инцидентов называть себя CSIRT, но если посмотреть на список зарегистрированных компаний на сайте, то они используют оба термина — и CERT, и CSIRT. И где правда?

 

FinCERT как живой пример Центра мониторинга и реагирования

Тогда почему в России столько CERT? НКЦКИ, GovCERT, CERT МО, ЦБ вместе с Указанием 2831-У и его подразделением — FinCERT, CERT-GIB, Ru-CERT, а с недавних пор всё активнее обсуждается ГосСОПКА как объединение всех CERT. Так что же получается: например, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (более известный как FinCERT) — это CERT или нет? И тут можно начинать новый спор. С формальной точки зрения — пока не CERT. С точки зрения функций и задач — самый настоящий. В этом и заключается отечественная специфика использования термина CERT, а именно в отрыве от сложившейся западной иерархии организаций и рабочих групп: CERT Coordination Center (CERT-CC) Carnegie Mellon University, US-CERT, TF-CSIRT (с их форумом FIRST.org) и ENISA.

Попробуем на примере FinCERT разобраться в работе государственных Центров мониторинга. Задача данного отраслевого центра — сбор информации об инцидентах с финансовых организаций и оперативное предупреждение участников рынка, присоединившихся к FinCERT, о появлении угрозы и методах борьбы с ней. Сейчас в России насчитывается около 750 банков, за полгода работы FinCERT к информационному обмену напрямую присоединились около 80 из них, то есть уже больше 10%. С одной стороны, явно недостаточно, но с другой — за этот период с учетом формирования команды аналитиков и технических экспертов, установления отношений с ведущими российскими SOC и лабораториями ИБ — показатель более чем достойный.

На прошедшей выставке InfoSecurity Russia была организована дискуссия в формате круглого стола «Информационная безопасность на финансовых рынках: угрозы и противодействие», в которой обсуждались направления работы FinCERT. После обращения модераторов секции к аудитории с вопросом, готовы ли они предоставлять данные об инцидентах, ответов «нет» было большинство. В связи с этим первостепенные вопросы к отраслевому Центру можно сформулировать примерно так:

- Доверие к регулятору, который сегодня собирает данные об инцидентах, а завтра отзывает лицензии у банков. Банковское сообщество боится ЦБ, а тут FinCERT выполняют роль «спасателей», которые возьмут и сберегут банки от мошенничества и инцидентов.

- Противоречие нескольким ФЗ (в части неразглашения банковской тайны и персональных данных). Если передавать данные о дроперах или номера транзитных счетов, на которые нелегитимно выводятся деньги, в FinCERT, то это нарушение ряда ФЗ и даже Конституции (например, презумпция невиновности дропера, пока суд не признал его виновным). Но в то же время ЦБ как регулятор имеет инструменты, чтобы подобную информацию официально запросить и получить. К тому же команда FinCERT работает над внесением изменений в соответствующее законодательство.

- Отсутствие официальной информации о работе FinCERT и информационного портала: некоторые банки узнают об отраслевом центре через профильные форумы, кулуарно обмениваются контактами представителей Центра (Обмен инцидентами), а на сайте ЦБ до сих пор нет никакой информации о FinCERT (только пресс-релиз о его появлении).

- Полноценная двусторонняя выгода банковского сообщества от обмена информацией. По существу, банки уже давно обмениваются с ЦБ данным по форме 203, но в ответ ждут конкретных рекомендаций, как бороться с преступниками, с помощью чего обнаружить или предотвратить кибератаку. Что и где настраивать, какие технические и организационные меры принимать. По мнению банковских организаций, FinCERT должен делать такие рекомендации. Готовы ли они брать на себя такую ответственность?

Конечно, после решения проблем этапа становления следует еще разобраться в деталях и поискать ответы на десяток вопросов, заданных Алексеем Лукацким. Но FinCERT уже действительно работает: собирает информацию от банков и их сообществ, взаимодействует с закрытым клубом «SOC России» и с Solar JSOC, анализирует вредоносное ПО, занимается аналитикой и выпуском уведомлений об обнаруженных угрозах. Причем в этих уведомлениях присутствует IoC (indicators of compromise), то есть вся необходимая информация для поиска в инфраструктуре и обезвреживания инструментов злоумышленника: какими антивирусными средствами распознается, способы заражения и проникновения, маркеры распаковки инструментария на целевом хосте (создание файлов, изменения системных файлов и веток реестра и пр.), общие меры противодействия. Вступить банкам в информационный обмен и войти в список рассылки можно отправив запрос на [email protected].

 

Если есть SOC и CERT, но вам все равно чего-то не хватает

Появление отраслевых Центров мониторинга — это новый качественный уровень в борьбе с кибератаками, преодоление границ корпоративных SOC отдельно взятых компаний. Безусловно в каждой критически важной для государства отрасли должен быть свой координационный центр. Например, много и часто обсуждаемая последние года тема защиты АСУТП должна по логике уже перерасти в SCADA CERT. Коммерческий рынок реагирует на подобные запросы быстрее: уже известны центры, оказывающие услуги мониторинга и реагирования на инциденты компаний энергетической, банковской, медийной и других отраслей. Со стороны государства медленно, но верно развивается тема объединения ведомственных центров мониторинга в структуру ГосСОПКА. В декабре 2015 г. должен стартовать сервис личного кабинета на lk.gov-cert.ru, в котором в двустороннем порядке уполномоченные представители органов государственной власти будут обмениваться с Главным центром информацией о признаках компьютерных инцидентов и смогут скоординировано действовать в случае угрозы ИБ.

Централизация и координация центров мониторинга коммерческих компаний в ГосСОПКА не раскрывается, поэтому вопросы объединения полностью возлагаются на профессиональное ИБ-сообщество. 1 июля 2015 года был организован закрытый клуб «SOC России». Уже проведено несколько встреч, и на текущий момент общее число участников-экспертов клуба насчитывает 37 человек. Сквозной темой встреч представителей «SOC России» является обсуждение форм и схем информационного обмена построенных в российских компаниях SOC с целью повышения качества работы и выхода на новый уровень в противостоянии киберугрозам. Как выяснилось, 90% участников готовы обмениваться (или уже обмениваются) информацией об обнаруженных инцидентах. Примерно 30% могут организовать показ своего SOC для участников закрытого клуба. Столь открытая позиция экспертов общественного объединения «SOC России» стала основой для запуска первого в России специализированного форума «SOC-Forum: Практика противодействия кибератакам и построения центров мониторинга ИБ». По мнению участников-экспертов клуба «SOC России», форум позволит массово и в полной мере осветить актуальные задачи по защите от кибератак, обсудить практический опыт построения SOC и CERT, рассказать о законодательных инициативах в этой области и получить обратную связь от профессионального сообщества.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru