Спецпроекты

Новая информационная безопасность: какой SOC выбрать

Безопасность

Cписок релевантных для владельца бизнеса вопросов почти бесконечен, но информационная безопасность традиционно не занимала в нем первых мест. Но времена меняются: хакерские атаки стали затрагивать операционную деятельность компаний – приводить к снижению выручки. Вследствие этого владельцы бизнеса стали активно интересоваться вопросами информационной безопасности. Одной из наиболее популярных и острых тем в этой сфере в последнее время стали центры мониторинга ИБ (Security Operations Centers – SOC). Часто они воспринимаются руководителями служб ИБ и консультантами как панацея. Заместитель генерального директора по развитию бизнеса Angara Professional Assistance Александр Бодрик рассказывает о выгодах использования SOC для бизнеса.

Выручка как начало и конец

Традиционные задачи корпоративной информационной безопасности по охране конфиденциальной информации во многом устарели. Даже в крупных организациях с развитыми бизнес-процессами нет уверенности, что конфиденциальная информация была определена верно и ее список еще актуален. Наконец, что ее разглашение действительно нанесет реальный финансовый ущерб организации.

Реальная проблема – остановка бизнес-процессов из-за реализации тех или иных атак. Когда продажи стоят, отгрузки не идут, а снабжение не может обеспечить непрерывные поставки сырья для заводов, вопросов о необходимости информационной безопасности не возникает. Для непрерывных и опасных производств ситуация может быть и неизмеримо хуже – человеческие жертвы и экологические проблемы, увы, еще не сведены к нулю на производствах страны.

Более узкая проблема – хищение денежных средств (ранее накопленная выручка). Казалось бы, финансовые хищения могут произойти у каждой организации, но на практике злоумышленники понимают, что гальку лучше всего спрятать на пляже и воруют в первую очередь у финансовых и квазифинансовых (криптоэкономических) организаций.

И самая узкая – привлечение средств инвесторов через размещение на бирже (квази-выручка). Инвесторы желают знать, что операционная деятельность компании стабильна, и у нее будет будущая выручка, чтобы выплатить им дивиденды или купоны по облигациям. А, значит, организация должна соответствовать определенным нормам, например, закону Sarbanes-OxleyAct (нормативный акт, который определяет требования к документообороту и финансовой отчетности компаний и процедуру регулярного независимого аудита), что в итоге потребует и мониторинга финансовых приложений и используемых ими серверов в организации, а в идеале и мониторинга поведения сотрудников критичных функций (например, продаж) для более точного прогнозирования выручки.

Итоговая оценка бизнес-риска проста. Организации точно нужен Центр мониторинга, если она стремится обеспечить непрерывность своей операционной деятельности, в том числе устойчивость перед кибератаками и отказами в ИТ-инфраструктуре. Также он необходим компаниям, которые находятся в привлекательном для злоумышленников секторе (обладают значительными по меркам экономики финансовыми активами, резко изменили чистую стоимость активов или работают в модном секторе – криптоэкономике и др.). Центр мониторинга будет нужен и тем, кто стремится обеспечить корректность и достоверность финансовой отчетности, а также прозрачность функционирования ключевых бизнес-процессов.

Сервисы SOC

Основным сервисом любого SOC является мониторинг сетевой безопасности (далее – SOC.MON): сбор и обработка журналов безопасности с существующих и установленных персоналом SOC средств безопасности. Мониторинг позволяет в режиме, близком к реальному времени, находить атаки, которые уже проводятся против организации и снизить ущерб от них, отреагировав до того, как атакующий добьется своей цели – например, зашифрует финансовую базу и потребует выкуп.

Мониторинг также представляет собой «прививку от теоретиков» – организация начинает понимать, что реально происходит в ее инфраструктуре, кто по ней перемещается, используя сетевые протоколы и учетные записи в информационных системах.

Более превентивным (работающим на опережение атаки) классическим сервисом SOC является мониторинг уязвимостей (он же – управление уязвимостями или SOC.VM). Сервис заключается в систематическом поиске и оценке критичности уязвимостей в сети организации для их своевременного закрытия – сужения коридора возможностей для атакующей стороны.

Крупные и территориально распределенные организации подходят и к упреждающему сервису внешнего мониторинга киберугроз («киберразведке» – SOC.TI). Киберразведка направлена на своевременное получение из внешнего мира информации об актуальных для конкретной страны, отрасли, а то и компании, хакерских группировках, инструментах и тактиках атаки – что позволяет не только более эффективно находить атаки, но и трезво оценивать риски для организации.

Пути корпорации к своему SOC

Прежде чем двигаться к своему SOC необходимо выбрать нужный для себя набор сервисов – хотя бы из тех базовых, что представлены выше. К примеру, для обеспечения достоверности финансовой отчетности в соответствующем ландшафте информационных систем нужны будут SOC.MON + SOC.VM. Для обеспечения непрерывности деятельности в зависимости от масштаба деятельности и значимости на рынке организации может понадобиться и SOC.TI, а для организаций традиционно атакуемых секторов (финансы, ОПК и др.) SOC.TIпросто необходим.

В зависимости от бизнес-цели и размера организации необходимо определить и куратора проекта по созданию SOC. Достоверность финансовой отчетности – очевидно забота финансового директора, непрерывность операционной деятельности – операционного, а в иных случаях куратором скорее всего придется назначить директора СБ или директора по ИТ (за неимением развитой СБ).

Для небольших и средних корпораций (Small and Medium Enterprise или до 4 000 хостов) рационально будет привлечь сервис-провайдера для оказания услуг мониторинга, для компаний покрупнее – логичным будет создание своего SOC с селективным привлечением сервис-провайдера в «узких» местах или еще пока не развитых процессах.

Есть и отраслевая специфика – к примеру, 5 000 хостов в нефтедобыче совсем не то, что в ритейле, где 4 500 из них будут одинаковы, и безопасность их будет проще обеспечить за счет внедрения строгих норм и стандартов. Относить такие компании нужно будет к SME.

Панацеи нет или когда SOC бесполезен

Перед принятием окончательного стратегического решения по SOC необходимо ответить на вопрос: готова ли организация что-то делать по итогам сигналов от SOC? SOC демонстрирует возврат инвестиций в случае синхронной работы с организацией (в парадигме ГРУ ГШ МО РФ «Узнавать чтобы действовать или действовать, чтобы узнавать»). Если по итогам сообщений и отчетов SOC другие подразделения организации не будут готовы реагировать на вскрывшиеся проблемы и инциденты – SOC возможно еще преждевременная история для конкретной организации.

Лучше один раз увидеть

Ежегодно, в мае проходит крупнейший в России форум по кибербезопасности Positive HackDays, на котором будет представлен не один SOC, значимое количество компаний, что уже построили или подключились к SOC, а так же много эффективных технологий безопасности для создания или повышения результативности SOC. Посетители форума смогут увидеть, как SOC работает в «реальном времени» в рамках традиционной кибербитвы The Standoff («Противостояние»). В рамках конкурса будут состязаться команды атакующих, защитников и Security Operations Centers (SOC). Профессиональные команды атакующих «Противостояния» покажут, каким угрозам подвержены ресурсы любого крупного города, а команды специалистов по защите информации и экспертные центры безопасности продемонстрируют эффективные методы противодействия. События на площадке максимально приближены к реальности, игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры.

Взгляд месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Стратегия месяца

Кто будет управлять облачной частью бизнеса?

Неудивительно, что популярность гибридной модели стремительно растет.