С каждым днем киберпреступления становятся все более изощренными. Также растут убытки от подобного рода инцидентов, суммы выкупов и штрафы, предусмотренные законодательством. Вне всякого сомнения, сейчас нужда в установке отдельной системы на базе комплекса SIEM
с целью быстрого распознавания угроз стоит особенно остро. Но достаточно ли SIEM для борьбы с современными угрозами?
Что такое SOC и SIEM
Хотя IT-профессионалы могут быть хорошо знакомы с понятиями SOC и SIEM, однако руководителей, скорее всего, придется ввести в курс дела.
Аббревиатура SOC расшифровывается как Security Operations Center (Центр службы безопасности). Поддержание кибербезопасности исключительно при помощи пассивных методов (например, фаерволов или систем IDS) сродни строению стены вокруг замка и надежде на то, что враг не сможет найти лазейку или перемахнуть сверху. Существует множество толкований термина SOC, однако в большинстве случае SOC выступает как центр управления безопасностью компании или организации. Формирование SOC включает в себя найм команды профессионалов, настройку процессов мониторинга сервера и/или всей сети и комплекс мер реагирования при возникновении инцидентов. Иногда функции этого центра завязаны на одном человеке, но такие случаи скорее исключение.
Каждому SOC’у требуются инструменты наподобие SIEM (Security Information and Event Management; Управление событиями и информационной безопасностью), который представляет собой набор утилит для получения информации, необходимой для детектирования и управления событиями, связанными с безопасностью.
Точнее говоря, система SIEM собирает и упорядочивает данные из различных источников. Информация может браться из журналов сообщений (syslog), логов операционной системы, конечных устройств, фаерволов/IDS или сети. Вместо того чтобы собирать все подряд, SIEM удаляет нерелеватную информацию. По-другому эта операция называется нормализацией. После первоначальной обработки SIEM использует правила умной корреляции для подсвечивания связей между событиями, которые затем анализируются командой IT-поддержки. Далее специалисты применяются различные техники, как, например, анализ NetFlow и другие методики для поиска причин аномалий и, если требуется, предпринимают меры для защиты IT-инфраструктуры бизнеса.
Помимо того, что каждом SOC’е будет использоваться приложения в духе SIEM, этот набор утилит также используется командами по реагированию на киберинциденты (CIRT) и как часть других IT-служб, имеющих отношение к безопасности. Например, в Лос-Анжелесе комплекс SIEM был внедрен как часть централизованного командного центра, связанного с кибер-вторжениями.
Нужно ли что-то помимо SIEM?
Одно из ограничений SIEM заключается в том, что обрабатываются исключительно сигналы, генерируемые системой. Хотя если кибератака реализуется вручную, а не при помощи вредоноса, то может остаться незамеченной. Кроме того, могут возникнуть специфические аномалии, связанные с пользователями, которые могут сигнализировать о надвигающейся угрозе. Например, специалист одного из департаментов во время планирования своих злонамеренных действий мог подключаться к системе несколько раз, которую в целом редко использует. Или другой сценарий: учетные записи одного из сотрудников были украдены во время фишинговой атаки и использованы злоумышленником для доступа к системе в непривычное время или одновременно с легитимным пользователем.
Эти сценарии относятся к сфере анализа поведения пользователя (UBA). Если внедрить приложения, позволяющие выполнять подобный анализ, в связке с SIEM, то получим систему способную сопоставлять внутренние и внешние сигналы и от систем, и от пользователей.
Несмотря на то, что сам по себе запуск и поддержка SOC требует активных действий, многие компании следуют стандартным стратегиями и тратят много времени на просеивание предупреждений. Даже там, где используются технологии предотвращения вторжений, реакция на инциденты, как правило, очень медленная из-за размера и сложности сетей.
Часть проблемы заключается в том, что большинство утилит из линейки SIEM/UBA сами по себе не очень адекватны. Однако возможно использовать эти средства в связке с другими мерами, например:
Конечными устройствами для детектирования и реагирования (EDR), находящимися за пределами фаервола.
Источниками информации, посвященными аналитике угроз.
Ловушками в виде ресурсов (honeypot), файлов, пользователей и учетных записей.
Заранее заготовленными схемами детектирования.
Технологией централизованного управления журналами.
Естественно, в компании должны быть образовательные программы и база знаний, где рассказывается, как объединить все вышеуказанные средства в единый SOC. Еще один вариант сделать хорошо управляемый SOC с наилучшей экспертизой в сфере безопасности и утилитами – интегрировать облачные SaaS-приложения.
Однако даже если интегрировать SIEM, UBA, другие утилиты и процессы, связанные с безопасностью, что приведет к повышению эффективности и уменьшению «слепых зон», можно сделать и другие улучшения.
Подавляющее большинство данных, помеченных SIEM, слава богу, не представляет угрозы. Тем не менее, аналитики должны анализировать каждый случай, чтобы выловить 2-5% информации, имеющей отношение к реальным атакам.
Чтобы снизить уровень шума и улучшить эффективность специалистам по информационной безопасности можно взять пример из медицинской индустрии. Когда скорая помощь прибывает на место, где произошел несчастный случай, то медработники не распределяют равномерно свои усилия на всех пострадавших. Как вы понимаете, довольно странно тратить драгоценное время на перелом руки, если рядом лежит человек, умирающий от потери крови.
То есть, специалисты, находящиеся на первом рубеже реагирования, сортируют и быстро оценивают степень тяжести несчастного случая и расставляют соответствующие приоритеты.
Если сортировка будет привязана к SIEM, специалисты отдела SOC смогут быстро реагировать на наиболее очевидные и важные сигналы, вместо растрачивания временных ресурсов впустую на нерелевантную информацию. Сортировка также поможет аналитику избежать замыливания взгляда на неактуальные сведения, что может стать причиной пропуска реальных угроз из-за постоянного потока ложных предупреждений.
Таким образом, SIEM с интегрированной системой UBA и платформой для сортировки событий уже начинает представлять из себя нечто интересное. Однако можем ли мы пойти еще дальше?
Чем быстрее специалисты центра SOC смогут реагировать на инциденты, чем меньше вероятность простоя и потерь у бизнеса. Вместо того, чтобы ждать, пока специалист среагирует на наиболее важные сигналы, можно настроить так, чтобы приложение реагировало автоматически. Например, если от SIEM и UBA поступают сигналы о возможной атаке, а от сортировочной платформы приходит сигнал о том, что нужно начать немедленное расследование, еще до начала расследования можно заблокировать IP-адреса, удалить права доступа и/или изолировать сети.
Кроме того, система управления общим документооборотом, где будет храниться системная и контекстуальная информация в структурированном виде, значительно упростит расследование после возникновения инцидента.
Центр SOC будущего
По мере роста индустрии IoT (интернет вещей), текущая модель SOC становится все более устаревшей. С другой стороны, вполне вероятно искусственный интеллект и машинное обучение сделают умнее приложения, связанные с безопасностью.
Хотя и невозможно точно сказать, какова будет SOC будущего, собрав воедино SIEM, UBA и другие утилиты вместе с платформой сортировки, приложением для автоматического реагирования и системой управления документооборотом, компании, как минимум, сделают уверенный шаг в сторону построения модели центра безопасности будущего.
Источник: