MSS, MDR — не всякий SOC одинаково полезен для ГосСОПКА

MSS, MDR — не всякий SOC одинаково полезен для ГосСОПКА

ГосСОПКА ведёт свою историю с 2013 года, и на сегодняшний день уже несколько десятков организаций подписали соглашения с НКЦКИ. Стоит ли двигаться от MSS SOC в сторону MDR-сервисов, каковы требования регулятора к центрам ГосСОПКА, каждый ли SOC соответствует столь гордому званию, и какие компетенции нужно нарастить для его получения?

 

 

 

 

 

  1. Введение
  2. Чего хочет ФСБ России от центра ГосСОПКА
  3. Что осталось за кадром
  4. Выводы

 

Введение

Действующие в России центры ГосСОПКА помогают регулятору получать оперативные данные о том, что происходит в критической информационной инфраструктуре. При этом далеко не каждый SOC может трансформироваться в центр ГосСОПКА, так как к последним предъявляются жёсткие требования относительно персонала, технического оснащения и функций.Какие именно — рассмотрим ниже.

 

Чего хочет ФСБ России от центра ГосСОПКА

НКЦКИ опубликовал набор методических рекомендаций и требований к персоналу, техническому оснащению и функциям, которые должен выполнять центр ГосСОПКА. Остановимся подробнее на функциях:

  1. Взаимодействие с НКЦКИ.
  2. Разработка документов, регламентирующих процессы в Центре.
  3. Эксплуатация средств ГосСОПКА.
  4. Приём сообщений об инцидентах от персонала и пользователей информационных ресурсов, регистрация компьютерных атак и инцидентов.
  5. Анализ событий информационной безопасности.
  6. Инвентаризация информационных ресурсов.
  7. Анализ угроз информационной безопасности, прогнозирование их развития и направление в НКЦКИ результатов.
  8. Составление и актуализация перечня угроз информационной безопасности для информационных ресурсов.
  9. Выявление уязвимостей информационных ресурсов и формирование предложений по повышению уровня защищённости.
  10. Составление перечня компьютерных инцидентов, ликвидация их последствий, анализ результатов и установление причин.

Рассмотрим подробнее эти функции.

Взаимодействие с НКЦКИ. ГосСОПКА создавалась для того, чтобы регулятор мог получать объективную, достоверную и оперативную картину происходящего в критической информационной инфраструктуре. С практической точки зрения это означает накопление данных о случившихся компьютерных инцидентах, выявление индикаторов компрометации и «перекрёстное опыление» знаниями остальных участников системы.

Здесь сразу возникает одно из основных требований к SOC, стремящемуся стать центром ГосСОПКА: необходимо организовать непрерывный мониторинг 24/7/365 — как минимум потому, что субъекты КИИ обязаны отправлять в НКЦКИ данные об инцидентах со значимыми объектами не позднее 3 часов с момента обнаружения.

Также нагрузкой на кадровое обеспечение становятся такие функции, как разработка документов, регламентирующих процессы в Центре, эксплуатация средств ГосСОПКА и приём сообщений об инцидентах от персонала и пользователей информационных ресурсов. Общее описание кадровых вопросов Центра можно найти здесь.

На функции эксплуатации средств ГосСОПКА стоит остановиться подробнее. Исходя из приказа ФСБ России от 6 мая 2019 г. №196 можно сделать вывод, что в Центре должны быть средства:

  • обнаружения (один из ярких представителей — SIEM),
  • предотвращения (инвентаризация, сканер уязвимостей),
  • ликвидации последствий (IRP с возможностью взаимодействия с НКЦКИ),
  • криптографической защиты информации.

Все эти средства могут быть реализованы одним или несколькими программными и программно-аппаратными решениями.

Сразу же бросается в глаза пункт о средствах ликвидации последствий инцидентов: появляются требования по формированию, учёту и отслеживанию карточек инцидента, а также по автоматизации этих процессов, но главное — по обмену карточками с НКЦКИ. Такие требования могут стать дополнительной нагрузкой для внутренних SOC, так как далеко не всегда есть необходимость в приобретении или развёртывании Open Source IRP — иногда хватает и простого Microsoft Excel. Техническая инфраструктура НКЦКИ позволяет работать как в автоматическом режиме с использованием API, так и в операторском, когда нужны только браузер и криптографическое средство защиты.

Из общих требований к средствам ГосСОПКА следует, что они должны быть отечественными и доверенными. Если в SOC была налажена работа с зарубежными решениями, нужно учесть проект по внедрению новых (а это — поставка, наладка, разработка контента, изменение процессов под новые средства), а также обучение сотрудников.

Ещё один немаловажный момент: мониторинг в центре ГосСОПКА не равен мониторингу в классическом MSS. В Центре постоянно отслеживают состояние информационных ресурсов в зоне ответственности и проводят анализ угроз, который всегда начинается с инвентаризации информационных ресурсов и заканчивается ею же, а данные постоянно сопоставляются с CMDB-моделью.

 

Рисунок 1. Анализ угроз должен начинаться с инвентаризации информационных ресурсов

 Анализ угроз должен начинаться с инвентаризации информационных ресурсов

 

Центр ГосСОПКА должен выявлять уязвимости информационных ресурсов, а значит, нужно как минимум проводить пентесты и держать команду Red Team, причём это должны быть не разовые события, а выстроенные процессы, цель которых — создать настоящий Vulnerability Management. Соответственно, центр ГосСОПКА в своей зоне ответственности должен производить:

  • инструментальное сканирование,
  • внешние и внутренние тестирования на проникновение,
  • нагрузочные тестирования,
  • контроль выполнения требований безопасности информации,
  • исследование результатов устранения ранее выявленных уязвимостей,
  • оценку соответствия применяемых мер защиты информации требованиям нормативных правовых актов,
  • анализ документации информационных ресурсов перед их вводом в эксплуатацию.

Также в случае необходимости Центр должен выстраивать процессы DevSecOps и анализировать исходные коды.

Далее мы подходим к таким привычным для SOC задачам, как регистрация компьютерных атак / инцидентов и анализ событий информационной безопасности. Здесь стоит отметить, что совершенно недостаточно собирать события с IDS на периметре или между сегментами сети компании: это не обнаружит даже 30% типов и категорий атак, которые необходимо выявлять центру ГосСОПКА.

Важно собирать события информационной безопасности ещё и с операционных систем, прикладного ПО, телекоммуникационного оборудования, средств поведенческого анализа, систем обнаружения вторжений и межсетевых экранов, NTA, специализированных СЗИ и антивирусов. Только при комплексном анализе информации от всех источников можно выявить ранее неизвестные компьютерные атаки (те самые APT с 0-day наперевес).

Для выстраивания процесса выявления компьютерных атак и инцидентов необходимо предварительно проанализировать угрозы ИБ, спрогнозировать их развитие и направить в НКЦКИ результаты, а также составить и актуализировать перечень угроз ИБ для информационных ресурсов. Также требуется разработать и подготовить контент для SIEM-системы; это — базовая функция SOC, но почему-то не все её у себя реализуют.

Таким образом, для реального соответствия званию центра ГосСОПКА организация должна решать задачи не только анализа рисков, но и Threat Intelligence вкупе с развитием контента SIEM и СЗИ. Анализ угроз в свою очередь опирается на инвентаризацию ресурсов, а также на изучение уязвимостей и произошедших инцидентов.

Из данных инвентаризации берётся информация об изменениях инфраструктуры, потенциально позволяющих реализовать компьютерную атаку, и выявляются системные проблемы защищённости информационного ландшафта. Анализ файлов Threat Intelligence даёт возможность выделить угрозы, наиболее релевантные для определённой зоны ответственности, и внести превентивные изменения в инфраструктуру (выделить новый сегмент сети, повысить частоту обновления антивирусных баз или степень значимости части хостов). По результатам анализа уязвимостей определяются меры противодействия, в том числе компенсирующие — в случае отсутствия патчей. Здесь также следует учитывать результаты деятельности команды киберрасследований (форензики): проведённый анализ вредоносных программ, целевых атак на инфраструктуру и т.п.

По итогам анализа угроз и инцидентов создаются новые правила корреляции, принимаются новые технические и организационные меры, которые составляют функцию формирования предложений по повышению уровня защищённости информационных ресурсов. Реализацию этих предложений потом необходимо проверять.

Ещё одно основное отличие центра ГосСОПКА от типичного MSS SOC — необходимость заниматься реагированием на компьютерные инциденты. Эта функциональность разбита на 3 блока:

  1. Составление перечня компьютерных инцидентов.
  2. Ликвидация их последствий.
  3. Анализ результатов.

Таким образом подчёркивается важность каждого из этих процессов в современных условиях, когда общий фокус смещается со «слепой» периметровой защиты на живое, оперативное реагирование.

В ходе расследования сотрудники SOC должны установить причины компьютерных инцидентов, однако далеко не каждый из них можно расследовать из SIEM. Возникают случаи, когда требуется «выезжать в поля», снимать образы дисков, ОЗУ и проводить реверс-инжиниринг вредоносных программ для глубокого понимания происхождения инцидента (компьютерная криминалистика, форензика). Для этого нужна команда профильных специалистов, которым, как и пентестерам, нужно обеспечить не только внушительный фонд оплаты труда, но и регулярные «интересные» происшествия для расследования.

 

Что осталось за кадром

Регуляторные требования сконцентрированы на противодействии внешним нарушителям и на поиске индикаторов компрометации, ценных для большинства участников ГосСОПКА. При этом за рамками остаётся часть важных для бизнеса событий, которые тем не менее вполне успешно выявляются собственными и коммерческими SOC. Приведём далее несколько примеров.

В процессах предотвращения утечек конфиденциальной информации:

  • аномально большой трафик файловых хранилищ / почты / VPN,
  • аномальное поведение пользователя в CRM, использование P2P и т.д.

При выявлении мошенничества:

  • изменение ключевых полей в бизнес-приложении (кредитный конвейер, АБС, ERP и т.д.),
  • аномальное поведение пользователя в системах дистанционного банковского обслуживания.

В процессах контроля исполнения внутренних регламентов и правил:

  • СКУД —доступ во внерабочее время,
  • подключение украденного АРМ к интернету,
  • использование учётной записи отсутствующего сотрудника.

 

Выводы

Легко увидеть, что для выполнения всех требований и положений методических рекомендаций ФСБ России субъекты ГосСОПКА должны обладать высоким уровнем зрелости. Нормативные документы регулятора закрепили наметившуюся несколько лет назад общемировую тенденцию движения от MSS SOC в сторону MDR-сервисов.

Такая тенденция закономерна и естественна, но требует серьёзной квалификации, которую, учитывая усиливающийся кадровый голод, часто неоткуда брать. Выходом может стать либо передача функций центра ГосСОПКА компаниям-лицензиатам, заключившим соглашение с НКЦКИ, либо комплексный проект по трансляции экспертизы.

Последнее подразумевает, что подрядчик принимает инфраструктуру организации в свою зону ответственности, выполняет для неё все функции центра ГосСОПКА и параллельно реализует проект по его созданию. Исполнитель помогает с подбором и обучением персонала, а впоследствии передаёт все функции Центра заказчику и отпускает его «в свободное плавание».

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru