Статья

Новая информационная безопасность: какой SOC выбрать

Безопасность
мобильная версия
/ Фото: ru.depositphotos.com

Cписок релевантных для владельца бизнеса вопросов почти бесконечен, но информационная безопасность традиционно не занимала в нем первых мест. Но времена меняются: хакерские атаки стали затрагивать операционную деятельность компаний – приводить к снижению выручки. Вследствие этого владельцы бизнеса стали активно интересоваться вопросами информационной безопасности. Одной из наиболее популярных и острых тем в этой сфере в последнее время стали центры мониторинга ИБ (Security Operations Centers – SOC). Часто они воспринимаются руководителями служб ИБ и консультантами как панацея. Заместитель генерального директора по развитию бизнеса Angara Professional Assistance Александр Бодрик рассказывает о выгодах использования SOC для бизнеса.

Выручка как начало и конец

Традиционные задачи корпоративной информационной безопасности по охране конфиденциальной информации во многом устарели. Даже в крупных организациях с развитыми бизнес-процессами нет уверенности, что конфиденциальная информация была определена верно и ее список еще актуален. Наконец, что ее разглашение действительно нанесет реальный финансовый ущерб организации.

Реальная проблема – остановка бизнес-процессов из-за реализации тех или иных атак. Когда продажи стоят, отгрузки не идут, а снабжение не может обеспечить непрерывные поставки сырья для заводов, вопросов о необходимости информационной безопасности не возникает. Для непрерывных и опасных производств ситуация может быть и неизмеримо хуже – человеческие жертвы и экологические проблемы, увы, еще не сведены к нулю на производствах страны.

Более узкая проблема – хищение денежных средств (ранее накопленная выручка). Казалось бы, финансовые хищения могут произойти у каждой организации, но на практике злоумышленники понимают, что гальку лучше всего спрятать на пляже и воруют в первую очередь у финансовых и квазифинансовых (криптоэкономических) организаций.

И самая узкая – привлечение средств инвесторов через размещение на бирже (квази-выручка). Инвесторы желают знать, что операционная деятельность компании стабильна, и у нее будет будущая выручка, чтобы выплатить им дивиденды или купоны по облигациям. А, значит, организация должна соответствовать определенным нормам, например, закону Sarbanes-OxleyAct (нормативный акт, который определяет требования к документообороту и финансовой отчетности компаний и процедуру регулярного независимого аудита), что в итоге потребует и мониторинга финансовых приложений и используемых ими серверов в организации, а в идеале и мониторинга поведения сотрудников критичных функций (например, продаж) для более точного прогнозирования выручки.

Итоговая оценка бизнес-риска проста. Организации точно нужен Центр мониторинга, если она стремится обеспечить непрерывность своей операционной деятельности, в том числе устойчивость перед кибератаками и отказами в ИТ-инфраструктуре. Также он необходим компаниям, которые находятся в привлекательном для злоумышленников секторе (обладают значительными по меркам экономики финансовыми активами, резко изменили чистую стоимость активов или работают в модном секторе – криптоэкономике и др.). Центр мониторинга будет нужен и тем, кто стремится обеспечить корректность и достоверность финансовой отчетности, а также прозрачность функционирования ключевых бизнес-процессов.

Сервисы SOC

Основным сервисом любого SOC является мониторинг сетевой безопасности (далее – SOC.MON): сбор и обработка журналов безопасности с существующих и установленных персоналом SOC средств безопасности. Мониторинг позволяет в режиме, близком к реальному времени, находить атаки, которые уже проводятся против организации и снизить ущерб от них, отреагировав до того, как атакующий добьется своей цели – например, зашифрует финансовую базу и потребует выкуп.

Мониторинг также представляет собой «прививку от теоретиков» – организация начинает понимать, что реально происходит в ее инфраструктуре, кто по ней перемещается, используя сетевые протоколы и учетные записи в информационных системах.

Более превентивным (работающим на опережение атаки) классическим сервисом SOC является мониторинг уязвимостей (он же – управление уязвимостями или SOC.VM). Сервис заключается в систематическом поиске и оценке критичности уязвимостей в сети организации для их своевременного закрытия – сужения коридора возможностей для атакующей стороны.

Крупные и территориально распределенные организации подходят и к упреждающему сервису внешнего мониторинга киберугроз («киберразведке» – SOC.TI). Киберразведка направлена на своевременное получение из внешнего мира информации об актуальных для конкретной страны, отрасли, а то и компании, хакерских группировках, инструментах и тактиках атаки – что позволяет не только более эффективно находить атаки, но и трезво оценивать риски для организации.

Пути корпорации к своему SOC

Прежде чем двигаться к своему SOC необходимо выбрать нужный для себя набор сервисов – хотя бы из тех базовых, что представлены выше. К примеру, для обеспечения достоверности финансовой отчетности в соответствующем ландшафте информационных систем нужны будут SOC.MON + SOC.VM. Для обеспечения непрерывности деятельности в зависимости от масштаба деятельности и значимости на рынке организации может понадобиться и SOC.TI, а для организаций традиционно атакуемых секторов (финансы, ОПК и др.) SOC.TIпросто необходим.

В зависимости от бизнес-цели и размера организации необходимо определить и куратора проекта по созданию SOC. Достоверность финансовой отчетности – очевидно забота финансового директора, непрерывность операционной деятельности – операционного, а в иных случаях куратором скорее всего придется назначить директора СБ или директора по ИТ (за неимением развитой СБ).

Для небольших и средних корпораций (Small and Medium Enterprise или до 4 000 хостов) рационально будет привлечь сервис-провайдера для оказания услуг мониторинга, для компаний покрупнее – логичным будет создание своего SOC с селективным привлечением сервис-провайдера в «узких» местах или еще пока не развитых процессах.

Есть и отраслевая специфика – к примеру, 5 000 хостов в нефтедобыче совсем не то, что в ритейле, где 4 500 из них будут одинаковы, и безопасность их будет проще обеспечить за счет внедрения строгих норм и стандартов. Относить такие компании нужно будет к SME.

Панацеи нет или когда SOC бесполезен

Перед принятием окончательного стратегического решения по SOC необходимо ответить на вопрос: готова ли организация что-то делать по итогам сигналов от SOC? SOC демонстрирует возврат инвестиций в случае синхронной работы с организацией (в парадигме ГРУ ГШ МО РФ «Узнавать чтобы действовать или действовать, чтобы узнавать»). Если по итогам сообщений и отчетов SOC другие подразделения организации не будут готовы реагировать на вскрывшиеся проблемы и инциденты – SOC возможно еще преждевременная история для конкретной организации.

Лучше один раз увидеть

Ежегодно, в мае проходит крупнейший в России форум по кибербезопасности Positive HackDays, на котором будет представлен не один SOC, значимое количество компаний, что уже построили или подключились к SOC, а так же много эффективных технологий безопасности для создания или повышения результативности SOC. Посетители форума смогут увидеть, как SOC работает в «реальном времени» в рамках традиционной кибербитвы The Standoff («Противостояние»). В рамках конкурса будут состязаться команды атакующих, защитников и Security Operations Centers (SOC). Профессиональные команды атакующих «Противостояния» покажут, каким угрозам подвержены ресурсы любого крупного города, а команды специалистов по защите информации и экспертные центры безопасности продемонстрируют эффективные методы противодействия. События на площадке максимально приближены к реальности, игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры.