Методология
akhalin.jpgАлексей Халин
ksmirnov.jpgКонстантин Смирнов

Структура команды мониторинга и реагирования

Команда мониторинга и реагирования — одна из основных частей персонала, обеспечивающего работу центра противодействия киберугрозам (ЦПК). Поэтому если вы хотите, чтобы процесс реагирования на инциденты был эффективным, очень важно правильно сформировать такую команду. В первую очередь нужно определить её структуру, при которой она будет доступна для любого сотрудника организации, который подозревает, что произошел инцидент.

Вертикальная структура команды мониторинга и реагирования обычно состоит из трех уровней — линий:

Первая линия. Аналитики, непосредственно занимающиеся мониторингом, обработкой ложных срабатываний, первичным анализом в рамках типовых сценариев реагирования (плейбуков). Такие сценарии помогают специалистам ЦПК быстро принимать решения по типовым ситуациям. При необходимости аналитики первой линии эскалируют инцидент на вторую линию.

Вторая линия. Аналитики, принимающие оповещения об инцидентах от первой линии и занимающиеся реагированием на типовые инциденты и их детальным расследованием.

Третья линия. Аналитики, занимающиеся глубоким анализом и реагированием на нетиповые и сложные инциденты, разбором деталей и артефактов. Эти специалисты могут использовать сложную аналитику, включая реверс-инжиниринг приложений.

В состав команды мониторинга и реагирования также могут входить специалисты, которые не будут относиться ни к одному из трех уровней. Например, специалисты по расследованиям или виртуальная команда реагирования, которая собирается при возникновении сложных инцидентов (Computer Security Incident Response Team, CSIRT).

Горизонтальная структура команды мониторинга и реагирования зависит от масштабов самой организации и может принимать следующие формы:

Центральная команда. Отдельная команда обрабатывает все инциденты по всей организации. Эта модель эффективна для небольших организаций и для организаций с минимальной географической распределенностью вычислительных ресурсов.

Распределенные команды. У организации есть множество команд, и каждая ответственна за конкретный логический или физический сегмент организации. Эта модель эффективна для крупных организаций (например, одна команда на одно структурное подразделение организации) и для организаций с важными вычислительными ресурсами в отдаленных местоположениях (например, одна команда на географический регион). При этом команды должны быть частью одной координируемой сущности, так чтобы процесс реагирования на инциденты был непротиворечив по всей организации и информация об инцидентах была общей для всех команд.

Чтобы укомплектовать команду мониторинга и реагирования необходимым числом сотрудников, можно использовать одну из трех моделей:

Штатные сотрудники. Организация выполняет всю работу по реагированию на инциденты самостоятельно и с минимальной технической и административной поддержкой от подрядчиков.

Частичный аутсорсинг. Часть работ по реагированию на инциденты выполняется внешней организацией. Обязанности реагирования на инциденты могут быть разделены между организацией и одним или несколькими подрядчиками различными способами, но наиболее распространенными вариантами являются:

  • аутсорсинг мониторинга обнаружения вторжений, межсетевых экранов и других устройств безопасности внешним поставщиком услуг управления безопасностью (managed security service provider, MSSP) 24 часа в день, 7 дней в неделю (24/7). MSSP определяет и анализирует подозрительную активность и сообщает о каждом обнаруженном инциденте команде реагирования организации;
  • аутсорсинг третьей линии реагирования. Для специалистов третьей линии требуется высокий уровень квалификации. При этом инциденты такого уровня могут происходить довольно редко. Поэтому иногда некоторые организации для расследований, требующих глубокого анализа, заключают контракты с организациями, специализирующимися на оказании услуг расследования.

Полный аутсорсинг. Работа по реагированию на инциденты полностью выполняется внешней организацией, как правило, единым подрядчиком. Эта модель используется организациями, когда они нуждаются в постоянной единой команде мониторинга и реагирования, но не имеют в наличии достаточно квалифицированных сотрудников. Такая модель предполагает, что у организации будут сотрудники, контролирующие и наблюдающие за работой подрядчика.

Факторы, влияющие на выбор структуры команды мониторинга и реагирования

Выбирая соответствующую структуру и модели комплектования команды мониторинга и реагирования, организации должны рассмотреть следующие важные факторы, которые могут повлиять на их выбор:

  • Круглосуточное функционирование. Для работы центра противодействия киберугрозам, нужно чтобы команда мониторинга и реагирования всегда была доступна. То есть команда должна функционировать круглосуточно семь дней в неделю.
  • Затраты. Основной фактор. Помимо выплат зарплат сотрудникам за сменный график, который позволяет ЦПК работать в режиме 24/7, нельзя забывать про затраты на оборудование рабочих мест, покупку техники и специального ПО.
  • Экспертные знания персонала. Обработка инцидентов требует специализированных знаний и опыта в нескольких технических областях. Широта и глубина требуемых знаний варьируются в зависимости от серьезности утвержденных в организации недопустимых событий. Подрядчики могут обладать более глубокими знаниями в области обнаружения вторжений и расследований инцидентов, знаниями уязвимостей, эксплойтов и других аспектов безопасности. Кроме того, MSSP могут коррелировать события среди клиентов и за счет этого выявлять новые угрозы быстрее, чем это мог бы сделать каждый клиент по отдельности. Однако у внутренних сотрудников обычно есть лучшее знание IT-инфраструктуры организации, чем у подрядчиков. Это может быть полезным в идентификации ложных срабатываний и определении приоритета инцидента в зависимости от значимости объекта.

Передача функций реагирования на аутсорсинг

Рассматривая передачу функций реагирования на аутсорсинг, организации должны учитывать следующие факторы:

Ответственное подразделение. Организации часто не предоставляют подрядчикам полномочий по принятию эксплуатационных решений внутри IT-инфраструктуры (например, отключение веб-сервера от сети). В таком случае важно задокументировать пути принятия решений. Обычно, для решения этой проблемы утверждается специальный документ – мандат на реагирование, в котором определяется кто и в каких случаях (при каком приоритете/критичности инцидента) может принять решение о реагировании без дальнейшей эскалации в сторону представителя заказчика.

Конфиденциальная информация, предоставляемая подрядчику. Деление обязанностей по реагированию на инциденты поможет ограничить доступ к конфиденциальной информации. Например, подрядчик может определить, какой идентификатор пользователя присутствовал в инциденте (например, ID 123456), но не знать, какому человеку он соответствует. В свою очередь, внутренние сотрудники организации, проводя свое расследование, могут сопоставить идентификатор с реальным пользователем системы. При этом с подрядчиком необходимо заключить соглашение о неразглашении конфиденциальной информации. Еще один способ, который вы можете использовать для защиты конфиденциальных данных – токенизация.

Отсутствие конкретных сведений об организации. Точный анализ и назначение приоритетов инцидентам зависят от знания среды организации. Организация должна обеспечить подрядчика регулярно обновляемыми документами, которые касаются реагирования на инциденты ИБ: какие ресурсы очень важны и какой уровень реагирования должен быть при различном стечении обстоятельств. Организация должна также сообщать обо всех изменениях и обновлениях в ее IT-инфраструктуре, конфигурации сети и систем. Иначе предположение подрядчика относительно того, как лучше обработать тот или иной инцидент, неизбежно приводит к тому, что с инцидентами не справляются и отношения между сторонами ухудшаются. Обычно, указанные условия являются частью договора об оказании услуг.

Отсутствие корреляции. Корреляция среди нескольких источников данных очень важна. Если система обнаружения вторжений делает запись предпринятой атаки на веб-сервер, но у подрядчика нет доступа к журналам сервера, он может не определить, была ли атака успешной. Чтобы работа была эффективной, подрядчик потребует административных привилегий доступа к критически важным системам и журналам устройств безопасности удаленно по безопасному каналу. Однако это увеличит затраты на администрирование, введет дополнительные точки проникновения и увеличит риск несанкционированного раскрытия конфиденциальной информации.

Локальная обработка инцидентов. Эффективное реагирование на инциденты часто требует физического присутствия на объектах организации. Если подрядчик работает удаленно, оцените, где подрядчик расположен, как быстро команда, ответственная за реагирование на инциденты ИБ, может прибыть на объект и сколько это будет стоить.

Поддержание внутренних возможностей реагирования на инциденты. Организации, в которых реагирование на инциденты осуществляется только силами подрядчика, должны стремиться поддерживать базовые внутренние возможности по реагированию на инциденты. Могут возникнуть ситуации, когда подрядчик недоступен, поэтому организация должна быть готова выполнить обработку инцидента сама. Кроме того, технический персонал организации должен понимать значение, технические последствия и влияние рекомендаций подрядчика на IT-инфраструктуру организации. 

Роли в команде мониторинга и реагирования

За работу команды мониторинга и реагирования должен отвечать отдельный сотрудник, с одним или несколькими заместителями. В полностью субподрядной модели этот человек контролирует и оценивает работу подрядчика. Во всех других моделях обычно есть руководитель команды и один или несколько заместителей, которые берут на себя полномочия в отсутствие руководителя команды.

Руководители обычно выполняют много задач, включая связь с высшим руководством и другими командами и организациями, разрешение кризисных ситуаций. Кроме того, руководитель выступает гарантом того, что есть необходимый персонал, ресурсы и знания, необходимые для эффективного предотвращения недопустимых событий. Руководители должны быть технически подготовлены и иметь отличные навыки общения, особенно с большой аудиторией. В конечном итоге руководители ответственны за обеспечение правильного реагирования на инциденты.

В дополнение к руководителю и его заместителям, в некоторых командах также есть технический руководитель — человек с сильными техническими навыками и опытом мониторинга и реагирования на инциденты, который осуществляет надзор и несет конечную ответственность за качество технической работы команды.

Должность технического руководителя не следует путать с ролью ведущего по инциденту. Более многочисленные команды для обработки высокоприоритетных сложных инцидентов назначают ведущего по инциденту, который становится ответственным за обработку инцидента. Обычно, эта роль назначается одному из сотрудников второй или третьей линии реагирования и может совпадать с ролью руководителя виртуальной команды реагирования (CSIRT). В зависимости от размера команды реагирования и серьезности инцидента, ведущий по инциденту может не выполнять фактическую обработку инцидента, а лишь координировать работу аналитиков, собирать от них информацию, предоставлять новую информацию по инциденту другим группам и гарантировать, что потребности команды удовлетворены.

Примерная ролевая модель команды мониторинга и реагирования изображена на рисунке ниже.

Рисунок 1. Ролевая модель команды мониторинга и реагирования

У членов команды мониторинга и реагирования должна быть превосходная техническая подготовка в таких областях, как системное администрирование, администрирование сетей, программирование, обнаружение вторжений, техническая поддержка. У каждого члена команды должны быть хорошие навыки по решению проблем и способности к критическому мышлению.

Практика показывает, что необязательно, чтобы каждый член команды был техническим экспертом, как минимум потому, что для этого нужны большие финансовые затраты. Однако наличие по крайней мере одного очень опытного человека в каждой основной области (например, в области операционных систем и приложений, которые атакуют чаще всего) является необходимостью. Часто полезно также иметь несколько членов команды, специализирующихся в особых технических областях, таких как обнаружение сетевых вторжений и анализ вредоносного кода.

Моральный дух команды напрямую влияет на эффективность ее работы. Поэтому очень важно бороться с выгоранием персонала, предоставляя возможности для повышения квалификации и роста. Для этого есть несколько советов:

  • Сформируйте достаточный бюджет, чтобы поддерживать, увеличивать и расширять мастерство в технических областях и направлениях безопасности, а также в менее технических темах, таких как законодательные аспекты реагирования на инциденты ИБ. Это должно включать отправку персонала на конференции и поощрение или иное стимулирование участия в конференциях, обеспечение доступности технических справочников, которые дают более глубокое техническое понимание разных вещей, и иногда привлечение внешних экспертов (например, подрядчиков) с глубокими техническими знаниями в необходимых областях, если позволяет финансирование.
  • Дайте возможность членам команды выполнять непрофильные задачи, такие как создание обучающих материалов, проведение семинаров по информационной безопасности и выполнение исследований.
  • Рассмотрите временную ротацию сотрудников между линиями мониторинга и реагирования. Это способствует кардинальному улучшению процессов и настроек инструментов мониторинга. Кроме того, ротация также может происходить с командами внутри ЦПК и другими командами в организации (например, сетевыми администраторами), чтобы получить новые технические знания.
  • Поддерживайте достаточное укомплектование персоналом, чтобы у членов команды могло быть свободное время (например, отгулы).
  • Создайте программу наставничества, чтобы дать возможность основному техническому персоналу помогать менее опытным сотрудникам осваивать обработку инцидентов.

У членов команды в дополнение к техническим знаниям должны быть развиты гибкие навыки (soft skills). Фундаментальное значение имеет навык командной работы, ведь кооперация и координация действий — залог успешного реагирования на инциденты. У каждого члена команды также должны быть хорошие навыки общения и письма, ведь команда будет взаимодействовать с большим количеством людей. Также важны письменные навыки: команда готовит оповещения и описывает процедуры реагирования. Конечно, не у каждого члена команды эти навыки должны быть сильными, но по крайней мере несколько человек на каждой линии должны ими обладать на достаточно хорошем уровне, чтобы команда в целом могла эффективно взаимодействовать внутри себя и с другими подразделениями.

Дополнительные задачи, которые может решать команда мониторинга и реагирования

Основной задачей команды мониторинга и реагирования является, естественно, предотвращение кибератак, которые могут привести к реализации недопустимых событий, однако иногда встречаются ситуации, когда команда выполняет не только эту задачу. Ниже приводятся примеры других задач, которые может выполнять команда мониторинга и реагирования, в случае отсутствия других подразделений в ЦПК, на которые могут быть возложены эти задачи:

Распространение оповещений. Команда может выпускать оповещения о новых уязвимостях и угрозах внутри организации. Если возможно, должны использоваться автоматизированные методы доведения информации, например через XML-файлы или каналы RSS.

Повышение осведомленности. Знания — множитель ресурсов: чем больше пользователей и технических специалистов знают об угрозах ИБ, тем меньше усилий нужно прикладывать команде мониторинга и реагирования. Поэтому в команде может быть выделен отдельный сотрудник, который будет разрабатывать обучающие материалы и проводить проверки усвоенного материала.