Современный SOC как важный элемент корпоративной киберустойчивости

Современный SOC как важный элемент корпоративной киберустойчивости

Функциональности классических SIEM-систем на основе корреляционной логики для организации процессов информационной безопасности предприятий в актуальных условиях недостаточно — особенно с учётом изменений, вызванных коронавирусной пандемией. Компания Micro Focus существенно переработала платформу ArcSight, чтобы максимально соответствовать текущим реалиям и успешно решать задачи современных SOC.

 

 

 

 

 

  1. Введение
  2. От информационной безопасности — к киберустойчивости
  3. SIEM-решение для новых реалий
  4. Инструментарий для аналитиков безопасности
  5. Выводы

Введение

Много лет назад на наш рынок ИБ пришли SIEM-системы. Они тогда казались чем-то особенным, удивительным, любые задачи казались решаемыми их корреляционной логикой. Большая часть SIEM-систем того времени осталась лишь частью истории, но мы поговорим об исключении. Развивая и совершенствуя ArcSight, который отметил недавно свое 20-летие, мы с коллегами стали свидетелями серьёзных перемен. Мир вокруг нас существенно изменился: другими стали и информационные технологии, и ландшафт связанных с ними угроз, а также, как следствие, подходы к защите от них.

От информационной безопасности — к киберустойчивости

Если раньше мы с вами заботились о выстраивании информационной безопасности и защиты ИТ-систем и данных, то в последние годы на первый план вышла киберустойчивость (Cyber Resilience) — способность обеспечить динамичный рост бизнеса в условиях киберугроз: организации должны быть готовы к ним, уметь реагировать на них и быстро восстанавливаться после их воздействий. Киберустойчивая организация способна адаптироваться к известным и неизвестным кризисам, угрозам, трудностям и испытаниям. Конечная цель киберустойчивости — помочь организации вести успешный бизнес в неблагоприятных условиях, в том числе в периоды кризисов, пандемий, финансовой нестабильности и т. п.

Идея киберустойчивости — в том, что сегодня невозможно полностью защититься от всех угроз, имеющих отношение к ИТ: при всём желании их не удастся предотвратить в полном объёме. И раз от них никуда не деться, бизнесу нужно научиться жить в окружении киберугроз и уметь противостоять им. Эксперты рынка ИБ говорили об этом уже давно, но лишь сейчас бизнес начал осознавать новые реалии и принимать этот подход в качестве основного.

Организация, ставшая киберустойчивой, обладает множеством преимуществ.

Меньшее количество инцидентов. Киберустойчивая организация умеет точно определять приоритеты и лучше реагировать на риски. Её SOC концентрирует внимание на реальных, а не мнимых или ложных угрозах, благодаря чему количество инцидентов снижается по сравнению с теми организациями, которые оценивают угрозы недостаточно взвешенно.

Меньше пеней и штрафов. Киберустойчивая организация может легко идентифицировать и защищать данные, которые собирает, а также обеспечивает соблюдение требований регуляторов — это снижает вероятность штрафов и риски судебных разбирательств.

Ниже влияние нарушений безопасности. Они уже не оказывают существенного воздействия на работу организации, поскольку киберустойчивость снижает вероятность реализации рисков.

Высокая репутация. Киберустойчивая организация будет пользоваться в бизнес-кругах лучшей репутацией, поскольку она умеет хорошо защищать не только свою информацию, но и данные партнёров и клиентов, с которыми работает. Имея более широкий круг лояльных клиентов, такая организация будет более конкурентоспособной.

Ключевой компонент киберустойчивости организации — её способность развивать свою систему безопасности и адаптировать её к ландшафту угроз. Киберустойчивая организация умеет предвидеть новые векторы атак, адекватно моделируя угрозы, и работать над защитой от них.

Определять уровень зрелости организаций в плане киберустойчивости мы предлагаем по следующим направлениям: корпоративное управление кибербезопасностью, защита систем и данных, выявление угроз и развитие системы кибербезопасности.

Наши эксперты совместно с передовыми консалтинговыми компаниями подготовили матрицу зрелости киберустойчивой организации, которую мы рекомендуем в качестве методологического материала.

Кстати, недавно в Micro Focus появилось бизнес-направление CyberRes (его название происходит от английского термина Cyber Resilience), в рамках которого мы объединили все продукты для киберустойчивости и безопасности ИТ-систем.

Подробнее о киберустойчивости можно узнать из этой статьи.

SIEM-решение для новых реалий

В нашем ежегодном исследовании «State of Security Operations» мы проанализировали работу множества SOC в разных странах мира и выявили актуальные проблемы. Наиболее болезненными из них оказались следующие:

  • острая нехватка квалифицированных специалистов с нужными навыками;
  • «зоопарк» различных инструментов анализа, которые приходится использовать в ходе мониторинга и проведения расследований;
  • необходимость работать с большими объёмами данных при существенных ограничениях в производительности используемых инструментов;
  • нехватка инструментов для автоматизации операций в процессе расследования.

Оценив нынешние потребности аналитиков SOC, мы перестроили нашу платформу ArcSight, чтобы максимально соответствовать современным реалиям и успешно решать задачи SecOps. За 2020 год мы практически полностью переработали архитектуру нашего решения. При её построении мы отталкивались в первую очередь от текущих потребностей рынка SecOps (Security Operations).

Наш ArcSight стал другим: мы отошли от прежней концепции набора самостоятельных решений, интегрированных между собой. Теперь ArcSight — это единая платформа, которую можно расширять и совершенствовать, встраивая в неё новые модули.

Платформа объединяет наши лучшие технологии для реализации инфраструктуры, предназначенной для противодействия настоящим и будущим угрозам. В частности, мы встроили в ArcSight передовое решение для работы с большими данными, позволяющее не только эффективно хранить их, но и анализировать огромные объёмы информации с очень высокой скоростью.

Мы сохранили в платформе наш корреляционный движок, так как считаем его наиболее функциональным среди существующих на рынке, а также наши коннекторы с широкими возможностями по интеграции с различными системами и оборудованием. В новой платформе мы используем передовые возможности алгоритмов машинного обучения (ML) без учителя для выявления различных угроз на базе поведенческой аналитики.

Вошли в состав платформы и технологии SOAR компании ATAR Labs, которую Micro Focus приобрела в нынешнем году. В частности, модуль SOAR включает в себя набор сценариев для автоматизации расследований и богатые возможности по взаимодействию с окружающей инфраструктурой.

Кроме того, мы встроили в ArcSight (точнее, в его стандартный контент по выявлению угроз) методические наработки и рекомендации по выявлению современных атак, сформулированные экспертами всемирно известной организации MITRE.

Инструментарий для аналитиков безопасности

Обновлённый ArcSight призван помочь аналитикам SOC эффективнее решать задачи, возникающие в их практике, — быстрее, точнее и с меньшими расходами сил и средств.

Как известно, в SOC работают аналитики с различными уровнями квалификации. Первая линия аналитиков принимает на себя весь поток инцидентов, их основная задача — определить степень значимости инцидента и убедиться, что тревога не напрасна. ArcSight позволяет максимально автоматизировать работу этих специалистов, ускоряя обработку инцидентов: наше решение собирает и анализирует всю необходимую информацию, а затем передаёт специалисту свои выводы и рекомендации для принятия окончательного решения либо корректировки процесса анализа событий. В результате нагрузка на людей снижается.

ArcSight помогает заметно упростить и работу специалистов второй линии SOC, которые анализируют инциденты, выявленные на первой линии, и принимают решения о способах реагирования. Благодаря встроенным возможностям для автоматизации расследований ArcSight позволяет в разы сократить время анализа данных по безопасности.

Таким образом, благодаря наличию целого «созвездия» встроенных в продукт технологий для автоматизации операций по безопасности и проведения расследований ArcSight позволяет повысить эффективность работы аналитиков первой и второй линий, предоставить им возможности для развития вместо традиционного пути к выгоранию.

Выводы

Пандемия, приведшая ко всеобщей «удалёнке», вывернула наизнанку устоявшиеся инфраструктуры «цифровых крепостей»: разрушила границы безопасного периметра, проверила на прочность существующие в организациях технологии и процессы информационной безопасности, испытала их на киберустойчивость.

Согласно нашему опыту, организации, выстроившие у себя процессы SecOps и внедрившие ArcSight хотя бы за год до начала пандемии, после её начала оказались во всеоружии, продолжая анализировать инциденты и угрозы в привычном русле, поскольку весь стек технологий, которые нужны для SecOps, уже давно имеется в составе платформы.

Одним из немаловажных условий киберустойчивости является уверенность в надёжности используемых инструментов, а это — не только их функциональные возможности, но и политика ценообразования. Лицензирование ArcSight основано на среднесуточной интенсивности входящего потока событий (количестве событий за единицу времени). Поскольку у заказчиков платформы могут наблюдаться еженедельные и ежемесячные всплески, мы проводим повторное усреднение за 45 дней; это делается для того, чтобы оценка потока была более взвешенной, а плата за лицензию — более справедливой.

Что важно, мы никак не ограничиваем функциональность платформы даже при серьёзном отклонении входящего потока от лицензированных значений. Более того, увеличение потока в периоды атак на клиентов вообще не считается нарушением лицензионной политики, так же как и всплески в ходе отладки системы.

Все эти особенности и возможности ArcSight делают нашу платформу весьма привлекательной для клиентов. И, конечно же, мы сами являемся одним из ключевых и самых требовательных её пользователей, обеспечивая с её помощью нашу собственную киберустойчивость.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru