Самый SOC, или как мы делали аналитический отчёт по информации из открытых источников / forpes.ru

Главная
Самый SOC, или как мы делали аналитический отчёт по информации из открытых источников

Самый SOC, или как мы делали аналитический отчёт по информации из открытых источников +1

09.10.2024 07:20

LidiaISKIN 0 284 Источник

Всем привет! Я Лидия Виткова, начальник АЦКБ «Газинформсервис». Сегодня у меня внеплановый, но интересный материал, основанный на системном анализе центров мониторинга и реагирования России. Полный документ и карточки можно скачать по ссылке.

Пристегнитесь, будет «душно».

Почему мы выбрали системный анализ?

Обычно отчёты по информационной безопасности в основном аналитические (объектный анализ), так как в них анализируются типы атак, виды событий в мире ИБ, их признаки. В более узких случаях рассматриваются техники, тактики, способы реализации и т. д. Конечно, всё это сверху приправлено статистикой.

А что, если попробовать по-другому? Подумали мы. Взять какую-то область, условно разобрать её на части и посмотреть, какие выводы можно сделать, если опираться на системный анализ? Что в итоге получилось, читайте дальше.

Как мы работали

(1) ШАГ

Мы посмотрели, кто и когда публиковал хорошие отчёты по SOC-центрам. В моём личном топе — статья «Сравнение услуг коммерческих SOC (Security Operations Center)»[1]. Как понятно из названия, статей было две и целью являлось сравнение SOC-центров. Сравнение проводилось по 179 критериям, они-то нам и были нужны. Честно скажу, вторую часть я не читала, потому что для меня самыми ценными оказались именно эти критерии. Однако в том исследовании участие принимали сами центры мониторинга, а мы не ставили перед собой цель провести сравнение. Более того, для системного анализа нам не нужно было такое большое количество критериев. Но мы были действительно восхищены объёмом и уровнем декомпозиции.

(2) ШАГ

Мы собирали информацию из открытых источников за период с 2022 года по 1-й квартал 2024 года. Для исследования выбрали 10 центров мониторинга. Основной критерий отбора — наличие маркетинговых активностей в указанный период.

В отчёт попали следующие компании: PTK Solar, Bi.Zone, «Информзащита», Angara Security, «Инфосистемы Джет», Innostage, MTS RED, Infosecurity, «Перспективный мониторинг» и «Мегафон». Разумеется, и другие центры мониторинга и реагирования участвовали в конференциях, но для системного анализа нам было достаточно десяти. Мы подсчитали количество выступлений на конференциях у всех участников и выбрали наиболее активных. В отчёте SOC-центры перечислены на второй странице и далее повторяются в карточках, но порядок их расположения ничего не означает: это не сравнение и не рейтинг, а просто список.

(3) ШАГ

Мы прослушали все доклады, прочитали статьи, а также изучили посты в соцсетях и каналах. На основе собранной информации выделили следующие разделы, которые подробно разбираем в отчёте:

общие сведения,
процессы управления инцидентами,
процессы расследования инцидентов,
продукты и решения кибербезопасности.
тренировка специалистов SOC на киберполигонах.

Здесь стоит отметить огромную работу, проделанную Едемской Е., которая указана в соавторах отчёта. На самом деле, ей нужно было быть в авторах, ведь она выполняла основную работу.

Что мы узнали

Выводов оказалось несколько. Расскажем о них в порядке от самых ожидаемых к самым интересным.

I. Основные бизнес-процессы, характерные для коммерческих SOC:

1. Настройка SOC.

2. Управление инцидентами.

3. Расследование инцидентов.

4. Тренировки специалистов.

Замечу: пока что технологии и бизнес-процессы на стадии становления и заметно, насколько каждый по-своему категорирует инциденты, выбирает путь подготовки кадров и т. д. В отчёте это сразу видно. Мне кажется, что уже можно переходить к этапу формирования best practice или некоторых стандартов.

II. Типичные паттерны работы:

1. Подключаем все источники: всё, что может отдавать данные, должно отдавать данные.

2. Перевариваем любой формат событий: структурированные данные поглощаем обязательно, остальные тоже пытаемся.

3. Строим 1-ю линию, но по-разному видим разделение обязанностей между 1 и 2.

Такое количество источников и форматов событий, которое сейчас в российских SOC обрабатывается, уже просится в базу знаний ИБ. Конечно, многие уже могут просто оказывать услуги не только по ИБ, но и по экспертизе своей команды в части работы с источниками, коннекторами и правилами корреляции для SIEM.

III. Базовый набор продуктов и решений кибербезопасности:

1. Системы SIEM (часто не одна, а несколько).

2. Системы IRP/SOAR.

3. Системы CMDB.

4. Системы NTA.

5. SandBox.

6. TIP.

Теперь самое интересное

I. EDR

На данный момент не удалось сформировать список типичных EDR-систем для SOC. Мы предполагаем, что в ближайшие годы SOC будут выбирать из существующих предложений на рынке, тестировать продукты и постепенно сформируется перечень типичных EDR. Анализ состояния рынка EDR в России показывает, что для SOC такой список появится не раньше 2026 года. Судя по текущим доступным продуктам, этот список, вероятно, будет небольшим.

II. TIP

На смену разделённым платформам TIP (Threat Intelligence Platform) и TH (Threat Hunting) приходят объединённые решения. Возможно, часть этого сегмента будет покрыта решениями XDR (Extended Detection and Response). Ожидаем дальнейших анонсов, некоторые из которых уже были представлены. Хочется увидеть эти решения в действии.

III. CMDB

Также мы наблюдаем тенденцию, при которой SOC-центры начинают использовать собственные CMDB (Configuration Management Database). Традиционно CMDB хранит данные о конфигурации всех компонентов системы и их взаимосвязях, что помогает отслеживать влияние изменений на систему. В крупных технологических корпорациях (особенно зарубежных) CMDB дополняется системами управления активами (Asset Management), управления соответствием требованиям (Compliance Management) и Hardening Compliance. Совмещение этих систем позволяет SOC-командам иметь полное представление о том, какие активы и конфигурации подвергаются угрозам, как эти угрозы могут повлиять на связанные элементы, и учитывать риски информационной безопасности и бизнеса для эффективного управления скоростью реагирования. На данный момент похоже, что многофункционального решения подобного типа от какого-либо российского вендора ИБ просто нет.

Несколько мыслей, которые мы не включили в отчет

Системный анализ позволяет взглянуть на объект целостно, не разбирая его на мельчайшие детали, и выделить ключевые особенности. Например, мы заметили, что уровень формализации бизнес-процессов управления инцидентами и расследований уже подготовил почву для автоматизации. С нетерпением ждём развития концепций Security as Code в целом, а также Detection as Code (DaC) и Response as Code (RaC) в частности.

Коллеги, если вам интересно то, чем мы занимаемся, знакомьтесь с полной версией нашего отчёта по ссылке. Если после прочтения этой статьи у вас появились идеи для исследований, напишите мне и мы попробуем реализовать их и вместе оценить результаты. Я очень благодарна (вселенной) компании за то, что в АЦКБ у нас есть ресурсы и время не только на рутинную работу, но и на творческие исследования. Благодарим за поддержку технического директора компании «Газинформсервис» Николая Нашивочникова.

[1] https://www.anti-malware.ru/compare/SOC-Security-Operations-Center