Услуги Security Operation Center (SOC) Одним из важных и самых непростых для выполнения требований регуляторов практически для всех типов информационных систем (ИСПДн, ГИС, КИИ, АСУ ТП, инфраструктура для перевода денежных средств финансовой кредитной организации и т. д.) является мониторинг событий информационной безопасности, выявление инцидентов и реагирование на них. Процессы мониторинга событий безопасности, выявления […]
Услуги Security Operation Center (SOC)
Одним из важных и самых непростых для выполнения требований регуляторов практически для всех типов информационных систем (ИСПДн, ГИС, КИИ, АСУ ТП, инфраструктура для перевода денежных средств финансовой кредитной организации и т. д.) является мониторинг событий информационной безопасности, выявление инцидентов и реагирование на них.
Процессы мониторинга событий безопасности, выявления инцидентов и реагирования на них (далее – Мониторинг) важны не только в контексте выполнения требований нормативных правовых актов, но и как важнейшая часть системы практического обеспечения информационной безопасности организации. Чтобы в полной мере реализовать процессы Мониторинга самостоятельно, в организации необходимо провести следующие мероприятия:
- выделить существенные серверные мощности под SIEM-систему;
- выделить существенные финансовые средства на закупку, настройку и последующее ежегодное обновление лицензии SIEM-системы;
- закупить и осуществить интеграцию SIEM-системы и других сопутствующих продуктов в свою инфраструктуру;
- найти на рынке труда и нанять в штат аналитиков и инженеров, которые будут заниматься поддержкой и сопровождением SIEM-системы и разбором событий ИБ с последующим выявлением инцидентов;
- назначить группу реагирования на выявленные инциденты;
- постоянно совершенствовать правила корреляции событий ИБ с целью сокращения количества ложно-положительных срабатываний.
При таком подходе, даже при наличии неограниченных финансовых ресурсов часто остро встает кадровый вопрос. К сожалению, в настоящий момент, ни ВУЗы, ни частные учебные центры не обучают аналитиков или инженеров SOC.
В случае организации Мониторинга путем подключения к SOC ООО «Информационный центр» организации необходимо реализовать следующие шаги:
- выделить более скромные серверные мощности под log-коллектор (бесплатная лицензия) – централизованный сервер, аккумулирующий события ИБ с различных источников;
- заключить договор с ООО «Информационный центр» на оказание услуг SOC;
- осуществить при непосредственном участии инженеров ООО «Информационный центр» настройку log-коллектора, пересылку событий ИБ с источников и защищенного канала связи с внешним SOC;
- назначить лицо, ответственное за коммуникацию с внешним SOC;
- реагировать на инциденты ИБ на месте.
На первый взгляд может показаться, что при втором подходе пунктов не многим меньше, но все они не являются для организации-заказчика услуг SOC чересчур дорогостоящими или трудозатратными. Ну и, конечно же, снимается вопрос кадрового обеспечения собственного SOC.
Дополнительно SOC ООО «Информационный центр» является центром ГосСОПКА и ФинЦЕРТ. При необходимости организации взаимодействия заказчика с указанными структурами, SOC ООО «Информационный центр» может взять эту задачу на себя.
Для организаций, которые думают о преимуществах и недостатках вариантов своего или стороннего SOC, наши специалисты подготовили сравнительную таблицу преимуществ и недостатков двух подходов.
| Свой SOC | Сторонний SOC | |
| Первоначальные финансовые затраты | Да, первоначальная покупка SIEM, услуги интегратора, услуги HR-агентств по найму специализированного персонала | Нет |
| Периодические финансовые затраты | Да – обновление лицензии SIEM, услуги интегратора, зарплата аналитиков и инженеров | Да – абонентская плата, сравнимая только с затратами на персонал |
| Выделяемые серверные мощности | Существенные – полноценное развертывание SIEM.
Пример. Для обработки потока событий 10000 в секунду: 16-32 потока CPU (2,4+ GHz), 64-128 RAM, 500 GB SSD для ОС и 1+ TB для БД |
Средние – log-коллектор или аренда сервера у интегратора.
Также для обработки потока событий 10000 в секунду: 4-8 потоков CPU, 16 GB RAM, 150 GB HDD |
| Необходимость разворачивать у себя дополнительные средства обеспечения работы SOC помимо SIEM | Обязательно:
— Sandbox; — Threat Intelligence; — средства анализа защищенности и поиска уязвимостей; — ПО для расследования инцидентов. Опционально в зависимости от масштаба SOC и решаемых задач: — SOAR; — системы учета инцидентов; — Honeypot; — и т. д. |
Не требуется |
| Кадры | Поиск, обучение, удержание в штате аналитиков и инженеров | Кадровое обеспечение – головная боль стороннего SOC |
| Организация защищенных каналов связи | Не требуется* | Требуется для передачи событий ИБ в сторонний SOC |
| Наличие источников событий ИБ | Чем больше источников событий ИБ и чем они качественнее, тем лучше | Чем больше источников событий ИБ и чем они качественнее, тем лучше |
| Непрерывность работы SOC | Определяется скоростью реакции инженеров на внештатные ситуации и их квалификацией. В случае неработоспособности SOC в течение длительного периода времени – это сугубо ваша проблема | Определяется SLA, в случае недоступности услуг SOC, в течение времени, превышающего условия SLA, сторонний SOC, как правило, обязан предоставить определенные договором периоды бесплатного обслуживания |
| Передача информации о событиях ИБ в стороннюю организацию | Нет | Да. Обязанность стороннего SOC соблюдать конфиденциальность полученной информации определяется соответствующим соглашением |
| Взаимодействие с ГосСОПКА/ФинЦЕРТ (при необходимости) | Своими силами | Силами стороннего SOC |
* — в случае если все источники событий ИБ, серверная часть SOC и каналы передачи данных находятся в пределах одной контролируемой зоны
Итого:
Если вы крупная организация с высокими доходами и очень зрелыми процессами информационной безопасности, если вы готовы решать вопросы кадрового обеспечения своего SOC. То, скорее всего, ваш лучший выбор – построение и развитие собственного SOC. С этим ООО «Информационный центр» также может помочь.
Если вы средняя или небольшая организация, вам необходимо обеспечивать на должном уровне процессы информационной безопасности и/или выполнять требования регуляторов по мониторингу событий безопасности и реагированию на инциденты, то ваш выбор – сторонний коммерческий SOC.
SOC ООО «Информационный центр» по праву и с гордостью носит звание первого коммерческого SOC на Дальнем Востоке РФ.
Тестирование на проникновение
Услуга тестирования на проникновение позволяет получить независимую оценку фактического уровня защищенности информационных систем организации.
В процессе тестирования на проникновение имитируются действия вероятного внешнего и внутреннего злоумышленников по компрометации информационных систем тестируемой организации.
К сожалению, стандартные организационные и технические мероприятия по защите информации (в том числе регулярный анализ уязвимостей системы и оперативное устранение выявленных уязвимостей) не всегда в полной мере нивелируют риски компрометации информационных систем.
Ниже приведены лишь некоторые возможные предпосылки компрометации любой информационной системы возможным злоумышленником:
- высокий уровень автоматизации злоумышленниками сканирования общедоступных сетей на предмет наличия возможностей для компрометации (известных уязвимостей, ошибок конфигурации, паролей по умолчанию);
- слабый уровень информированности персонала организации в области информационной безопасности;
- слабый контроль со стороны организации публикуемой информации об организации, ее организационной структуре, о применяемых технологиях и т. д. (официальный сайт, сайты для поиска сотрудников, сайты партнеров и подрядчиков, социальные сети);
- высокая доступность (бесплатность, наличие подробных инструкций по применению) «хакерских» инструментов;
- отсутствие парольной политики или отсутствие контроля за ее выполнением (как следствие – применение слабых паролей, в запущенных случаях, в том числе, для доступа с правами администратора);
- некачественная разработка приложений с точки зрения информационной безопасности (особенно веб-приложений);
- распространение подхода «security through obscurity» (мы повесим интерфейс удаленного доступа в систему на нестандартный сетевой порт и никто не догадается);
- применение устаревших версий операционных систем, прикладного ПО, фреймворков, JS-библиотек и т. д.
В ООО «Информационный центр» тестирование на проникновение проводится опытной командой пентестеров, участники которой проходят обучение по различным программам, в том числе Certified Ethical Hacker от EC-Council. А также, занимаются постоянным самообучением в сфере этичного хакинга и, конечно же, имеют богатый опыт пентестов.
По результатам тестирования на проникновение заказчик получает отчет, содержащий не только сведения об обнаруженных недостатках системы защиты информации, но и рекомендации по устранению выявленных проблем.