Константин Смирнов
Александр КравченкоЦентр противодействия киберугрозам (ЦПК) и классический security operations center (SOC) имеют много общих сущностей (уровней, доменов, функций), что упрощает понимание функционирования решений, но обладают некоторыми различиями. SOC может иметь разные определения, но все они сводятся к тому, что речь идет о специалистах информационной безопасности, которые в режиме реального времени проводят мониторинг ИТ-инфраструктуры компании, обнаруживают, расследуют киберугрозы и реагируют на них. В каждой компании есть своя специфика деятельности SOC, однако общие принципы одни.
Центр противодействия киберугрозам (ЦПК) — организационная структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимых событий, реагирует на эти факторы и минимизирует негативные последствия действий злоумышленников. Мониторингу подлежат только системы, которые являются целями злоумышленников при реализации недопустимых событий или служат источниками таких событий. Это позволяет сократить время и финансовые затраты на построение защиты
Результативная кибербезопасность продолжает эти принципы, но трансформирует их в конкретном практическом направлении. Для лучшего понимания стоит детальнее разобрать, что общего и в чем различия представленных решений.
Обоим решениям присуще наличие стратегии, отвечающей на вопрос «Зачем мы это делаем?», операционной модели, отвечающей на вопрос «Что именно мы делаем?», и блока повседневной деятельности, характеризующего вопрос «Как именно мы это делаем?». Отдельно стоит выделить операционную модель, выступающую мостом между стратегией компании и ее повседневной деятельностью. Она позволяет более четко определить области деятельности компании и понять, как наилучшим образом организовать людей, технологии и процессы для достижения поставленных стратегических целей.
Основными функциями ЦПК и SOC являются мониторинг событий (сбор и хранение записей журналов событий), их анализ (выявление аномалий, создание правил детектирования) и реагирование на инциденты.
Мониторинг в SOC предполагает экспертный подход, при котором для мониторинга выбираются системы, наиболее выгодные с точки зрения самого эксперта (например, сначала собрать события с антивирусного ПО и межсетевого экрана, а позже с контроллера домена). В ЦПК мониторинг целенаправленно начинается с систем, определенных внутри компании как точки проникновения через периметр организации. Именно через подобные системы начнет свой вектор атаки злоумышленник для реализации недопустимого события, и специалистам службы информационной безопасности нужно осуществлять их мониторинг в первую очередь.
Анализ событий информационной безопасности с точки зрения построения и развития ЦПК предполагает основное внимание уделить не только точкам проникновения, но и ключевым и целевым системам, утвержденным рабочей группой в компании. Правила детектирования опираются на возможные несанкционированные действия злоумышленника (например, повышение привилегий), которые ему необходимо предпринять в таких системах для реализации недопустимого события. В создании правил детектирования может помочь:
- информация о тактиках злоумышленников в MITRE ATT&CK;
- функциональность систем класса SIEM, которая облегчает написание правил;
- использование Indicator of Compromise (IoC) из сторонних источников;
- использование правил YARA.
Функция реагирования на инциденты в отношении ЦПК также будет несколько отличаться от принятого в SOC. В случае ЦПК аномальное событие предполагает действие злоумышленника, который пытается реализовать недопустимое для организации событие. Это означает, что время реагирования должно быть минимальным (отсюда целесообразна доступность функции мониторинга и реагирования 24/7), а предпринимаемые меры должны носить решительный характер и быть направлены на блокирование развития вектора атаки злоумышленника и предотвращение недопустимого события.