09.10.2024 07:20
LidiaISKIN 4 617 Источник

Всем привет! Я Лидия Виткова, начальник АЦКБ «Газинформсервис». Сегодня у меня внеплановый, но интересный материал, основанный на системном анализе центров мониторинга и реагирования России. Полный документ и карточки можно скачать по ссылке.

Пристегнитесь, будет «душно».

Почему мы выбрали системный анализ?

Обычно отчёты по информационной безопасности в основном аналитические (объектный анализ), так как в них анализируются типы атак, виды событий в мире ИБ, их признаки. В более узких случаях рассматриваются техники, тактики, способы реализации и т. д. Конечно, всё это сверху приправлено статистикой.

А что, если попробовать по-другому? Подумали мы. Взять какую-то область, условно разобрать её на части и посмотреть, какие выводы можно сделать, если опираться на системный анализ? Что в итоге получилось, читайте дальше.

Как мы работали

(1) ШАГ

Мы посмотрели, кто и когда публиковал хорошие отчёты по SOC-центрам. В моём личном топе — статья «Сравнение услуг коммерческих SOC (Security Operations Center)»[1]. Как понятно из названия, статей было две и целью являлось сравнение SOC-центров. Сравнение проводилось по 179 критериям, они-то нам и были нужны. Честно скажу, вторую часть я не читала, потому что для меня самыми ценными оказались именно эти критерии. Однако в том исследовании участие принимали сами центры мониторинга, а мы не ставили перед собой цель провести сравнение. Более того, для системного анализа нам не нужно было такое большое количество критериев. Но мы были действительно восхищены объёмом и уровнем декомпозиции.

(2) ШАГ

Мы собирали информацию из открытых источников за период с 2022 года по 1-й квартал 2024 года. Для исследования выбрали 10 центров мониторинга. Основной критерий отбора — наличие маркетинговых активностей в указанный период.

В отчёт попали следующие компании: PTK Solar, Bi.Zone, «Информзащита», Angara Security, «Инфосистемы Джет», Innostage, MTS RED, Infosecurity, «Перспективный мониторинг» и «Мегафон». Разумеется, и другие центры мониторинга и реагирования участвовали в конференциях, но для системного анализа нам было достаточно десяти. Мы подсчитали количество выступлений на конференциях у всех участников и выбрали наиболее активных. В отчёте SOC-центры перечислены на второй странице и далее повторяются в карточках, но порядок их расположения ничего не означает: это не сравнение и не рейтинг, а просто список.

(3) ШАГ

Мы прослушали все доклады, прочитали статьи, а также изучили посты в соцсетях и каналах. На основе собранной информации выделили следующие разделы, которые подробно разбираем в отчёте:

  • общие сведения,

  • процессы управления инцидентами,

  • процессы расследования инцидентов,

  • продукты и решения кибербезопасности.

  • тренировка специалистов SOC на киберполигонах.

Здесь стоит отметить огромную работу, проделанную Едемской Е., которая указана в соавторах отчёта. На самом деле, ей нужно было быть в авторах, ведь она выполняла основную работу.  

Что мы узнали

Выводов оказалось несколько. Расскажем о них в порядке от самых ожидаемых к самым интересным.

I. Основные бизнес-процессы, характерные для коммерческих SOC:

1.    Настройка SOC.

2.    Управление инцидентами.

3.    Расследование инцидентов.

4.    Тренировки специалистов.

Замечу: пока что технологии и бизнес-процессы на стадии становления и заметно, насколько каждый по-своему категорирует инциденты, выбирает путь подготовки кадров и т. д. В отчёте это сразу видно. Мне кажется, что уже можно переходить к этапу формирования best practice или некоторых стандартов.

 II. Типичные паттерны работы:

1.    Подключаем все источники: всё, что может отдавать данные, должно отдавать данные.

2.    Перевариваем любой формат событий: структурированные данные поглощаем обязательно, остальные тоже пытаемся.

3.    Строим 1-ю линию, но по-разному видим разделение обязанностей между 1 и 2.

Такое количество источников и форматов событий, которое сейчас в российских SOC обрабатывается, уже просится в базу знаний ИБ. Конечно, многие уже могут просто оказывать услуги не только по ИБ, но и по экспертизе своей команды в части работы с источниками, коннекторами и правилами корреляции для SIEM.

 III. Базовый набор продуктов и решений кибербезопасности:

1.    Системы SIEM (часто не одна, а несколько).

2.    Системы IRP/SOAR.

3.    Системы CMDB.

4.    Системы NTA.

5.    SandBox.

6.    TIP.

Теперь самое интересное

 I.              EDR

На данный момент не удалось сформировать список типичных EDR-систем для SOC. Мы предполагаем, что в ближайшие годы SOC будут выбирать из существующих предложений на рынке, тестировать продукты и постепенно сформируется перечень типичных EDR. Анализ состояния рынка EDR в России показывает, что для SOC такой список появится не раньше 2026 года. Судя по текущим доступным продуктам, этот список, вероятно, будет небольшим.

II.           TIP

На смену разделённым платформам TIP (Threat Intelligence Platform) и TH (Threat Hunting) приходят объединённые решения. Возможно, часть этого сегмента будет покрыта решениями XDR (Extended Detection and Response). Ожидаем дальнейших анонсов, некоторые из которых уже были представлены. Хочется увидеть эти решения в действии.

III.        CMDB

Также мы наблюдаем тенденцию, при которой SOC-центры начинают использовать собственные CMDB (Configuration Management Database). Традиционно CMDB хранит данные о конфигурации всех компонентов системы и их взаимосвязях, что помогает отслеживать влияние изменений на систему. В крупных технологических корпорациях (особенно зарубежных) CMDB дополняется системами управления активами (Asset Management), управления соответствием требованиям (Compliance Management) и Hardening Compliance. Совмещение этих систем позволяет SOC-командам иметь полное представление о том, какие активы и конфигурации подвергаются угрозам, как эти угрозы могут повлиять на связанные элементы, и учитывать риски информационной безопасности и бизнеса для эффективного управления скоростью реагирования. На данный момент похоже, что многофункционального решения подобного типа от какого-либо российского вендора ИБ просто нет.

 

Несколько мыслей, которые мы не включили в отчет

Системный анализ позволяет взглянуть на объект целостно, не разбирая его на мельчайшие детали, и выделить ключевые особенности. Например, мы заметили, что уровень формализации бизнес-процессов управления инцидентами и расследований уже подготовил почву для автоматизации. С нетерпением ждём развития концепций Security as Code в целом, а также Detection as Code (DaC) и Response as Code (RaC) в частности.

Коллеги, если вам интересно то, чем мы занимаемся, знакомьтесь с полной версией нашего отчёта по ссылке. Если после прочтения этой статьи у вас появились идеи для исследований, напишите мне и мы попробуем реализовать их и вместе оценить результаты. Я очень благодарна (вселенной) компании за то, что в АЦКБ у нас есть ресурсы и время не только на рутинную работу, но и на творческие исследования. Благодарим за поддержку технического директора компании «Газинформсервис» Николая Нашивочникова.

[1] https://www.anti-malware.ru/compare/SOC-Security-Operations-Center

Комментарии (4)


  1. Shaman_RSHU
    09.10.2024 17:24
    #27397742

    Уточните пожалуйста, в чём ценность данного документа, если я всё это могу получить (да и получал) из запроса предложений на конкурс по выбору услуги SOC по любому поставщику из данного исследования?


    1. LidiaISKIN Автор
      09.10.2024 17:24
      #27399576

      Добрый день, разница в том, что вам скажет сам поставщик услуг и о чем вам не скажет. Плюс отчет составлен за временной промежуток, вот если вы сделаете запросы осенью 2024 и сравните с тем, о чем говорилось в выступлениях осенью 2022, то вы увидите, что рывок был сделан огромный всеми. А это многое говорит о тенденциях на рынке в стране в целом. Ценность отчета в том, чтобы вы могли посмотреть, сделать свой анализ и обладая другой информацией сделать свои выводы. Мы не публиковали все свои мысли, пусть они останутся с нами, мы предоставили материал для них.


      1. Shaman_RSHU
        09.10.2024 17:24
        #27402176

        Да, Вы правы: на рынке услуг SOC за последние пару лет был совершен огромный рывок. Лидеры обеспечивают своим клиентам полное покрытие тактик MITRE ATT&CK. Аутсайдеры до сих пор не могут решить у своих клиентов проблемы с утилизацией ресурсов на конечных хостах от агентов EDR.

        Но, как мне кажется, в текущей ситуации, поставщикам услуг не выгодно что-то не договаривать. При победе в конкурсе и заключении договора все недоговорки всплывут в процессе оказания услуги. А это уже репутационные риски поставщика. Поверьте, в коммьюнити такая информация распространится очень быстро и исправить её поставщику будет очень не просто. Тем более, что крупные поставщики, приведенные в Вашем отчете будут стремиться обеспечить прозрачность.

        А вот информация из отчётов по SOC-центрам и выступлений вендоров носит как раз рекламный характер. Многое, что заявлено еще сырое и не реализуется в полном объеме, т.к. такие выступления и отчёты, в основном, создаются не техническими специалистами, а продажниками.


        1. LidiaISKIN Автор
          09.10.2024 17:24
          #27404432

          С последним прям согласна (про доклады, которые делают не технические специалисты), но все-таки отчет для тех, кто только создает SOC или выбирает, или думает как развивать продукты ИБ, что занято, что свободно. И для тех, кто думает как бы сделать так, чтобы определение инцидента было стандартным для государства, а не разным "на усмотрение команд". Когда придет время сделать отчет с участием всех SOC центров, то кто-то из маркетинговых компаний придет в компании и соберет информацию. Это разные форматы исследований, как вы знаете (аналитическое исследование/сравнительное исследование/экспресс-опрос,пилотажное исследование и тд.).