Итак, первое, что следует понимать: создание полноценного центра управления информационной безопасностью — это всегда следующий этап после развертывания SIEM. Иными словами, компании, внедрившие у себя системы мониторинга и отслеживания событий, сделали важнейший шаг на пути к централизованному управлению системой информационной безопасности. Без этого о SOC можно не задумываться, иначе это будет похоже на строительство крыши сразу после фундамента.

В мировой практике основным потребителем подобных решений всегда являются наиболее IT-зависимые отрасли, в частности, банковская сфера. Это связано с тем, что в локальной сети каждого банка постоянно обрабатывается огромный объем конфиденциальной информации, которую необходимо защищать. Малейшие изменения в настройках сетевого или серверного оборудования могут повлечь за собой утечку информации.

Приведу пример. Клиент подозревает, что конфиденциальная информация о вкладчиках может утекать. Эта информация хранится в реляционной базе данных. Не доверять администратору баз данных у него нет причин, но вследствие того, что база огромна, администратор не всегда может четко настроить правила доступа к таблицам, которые содержат конфиденциальную информацию. SIEM-решение здесь может помочь следующим образом: если кто-то пытается целиком выгрузить информацию из интересующей нас таблицы, то можно создать правило, которое, получая информацию об этом, будет генерировать инцидент. Таким образом можно не только защитить конфиденциальную информацию, но и видеть, насколько корректно настроены права доступа к базе администратором. При этом важно понимать, что для того, чтобы создать специфическое правило корреляции, нужно знать не только как работает SIEM-решение, но и принцип работы того оборудования, для которого это правило создается.

В классической конфигурации такие системы не способны предотвращать атаку или блокировать трафик. Они предназначены для анализа информации, поступающей от различных источников, корреляции и предоставления ясной картины о том, что происходит в локальной сети. Если система «замечает» отклонение от нормы, она информирует нас о том, что возможен инцидент. Предотвратить инцидент она не в состоянии вследствие аналитической направленности, но при этом предоставляет полную фактологическую базу для его расследования.

Кроме того, наличие SIEM является преимуществом компании перед различными внешними аудитами, поскольку закрывает часть требований международных стандартов (PCI DSS, ISO 27001 и т.д.).

Как создать действительно работающее SIEM-решение?

Чтобы внедрение SIEM решало задачи бизнеса, IT и ИБ, приносило максимальную пользу при внедрении подобного класса решений, требуется определенный подход к внедрению: с фокусом на процессы информационной безопасности. При всей логичности этого простого утверждения, на практике зачастую все ровно наоборот. Простой пример: к клиенту приходит интегратор и рассказывает: «Сейчас вы купите SIEM, включите его в свою локальную сеть, отправите на систему события из различных узлов, и все будет сразу же работать». Было бы отлично, но это не так. С SIEM-решениями неправильно работать по принципу «пришел, увидел и внедрил». Внедрение в данном случае это всегда сложная, трудоемкая задача.

Достижение максимальной эффективности от внедрения предполагает обеспечение правильного функционирования процессов, связанных с информационной безопасностью. При этом SIEM всегда несет в себе определенное количество правил корреляции и настроек прямо «из коробки», но для того чтобы инциденты не были ложно позитивны или чтобы отслеживался каждый инцидент, в системе необходимо производить тонкую настройку. Без этого польза от внедрения будет минимальна.

Часто бывает, что у клиента уже есть SIEM, однако интегратор, внедривший это решение, сделал все «быстро и дорого». При этом оставив клиента с довольно сложной в эксплуатации системой без понимания, как ее поддерживать, настраивать, управлять. Или же другой вариант: интегратор выполнил свою задачу корректно, передал бразды управления клиенту, а он просто не знает, что может извлечь из уже имеющейся системы. И в одном и в другом случае рецепт один — обратиться к опытному интегратору и провести аудит того, как настроена система, разработать специальную документацию, дополнить правила корреляции. Информационная безопасность — это не просто статья расходов, а важнейший процесс, плотно связанный с жизнедеятельностью компании. Именно поэтому SIEM-решение должно «жить» и развиваться без отрыва от бизнеса компании.

Хотите получить свой куSOC пирога?

Хорошо, мы разобрались с SIEM. Следующий этап развития информационной безопасности — это комплексное управление информационной безопасностью. Как правило, он предполагает создание SOC, объединяющего в себе процесс управления инцидентами ИБ, процесс контроля соответствия инфраструктуры компании корпоративным и мировым стандартам и мониторинг состояния информационной безопасности (действия пользователей, управление уязвимостями, контроль конфигурации).

SOC предоставляет полную картину состояния ИБ компании, позволяя оперативно реагировать на изменения конфигурации, подозрительную сетевую активность или другие угрозы ИБ.

Базовые компоненты SOC. Источник: «Астерос Информационная безопасность», 2014 год

Процесс создания SOC довольно сложный. Прежде всего, это обуславливается объединением в единое целое совершенно различных систем и процессов. Именно поэтому, еще на этапе внедрения SIEM, мы информируем клиента о том, какие из продуктов ИБ лучше всего будут в дальнейшем сочетаться в SOC, если такое развитие будет иметь место.

Для успешного внедрения SOC интегратор должен обладать глубокими знаниями, обширной экспертизой и опытом внедрения SIEM- и SOC-решений, сканеров безопасности, должен четко понимать, как работают все средства защиты и как выстроить процесс управления ИБ, чтобы он приносил максимальную пользу компании.

Например, одному из наших клиентов было необходимо решение, способное удовлетворить его требованиям к процессу обеспечения информационной безопасности. Компания, в которой работает более 30 тыс. сотрудников, имеющая распределенную филиальную сеть, с представительством в каждом регионе России. Проект длился чуть больше года. В рамках проекта была построена защищенная инфраструктура на базе SIEM- и SOC-решений, и реализованы такие задачи как: сбор событий со всех имеющихся узлов локальной сети, настройки специфических правил корреляции, создание распределенной отказоустойчивой инфраструктуры SIEM, разработка политик и процедур управления инцидентами ИБ, отслеживание состояния локальной сети на предмет соответствия стандартам ИБ, анализ уязвимостей узлов локальной сети, анализ рисков для критически важных сегментов локальной сети, создание системы help desk на основе SIEM-решения для использования IT- и ИБ-специалистами.

Следует понимать, что путь построения высокоинтеллектуальной системы, лежащей в основе SOC, является трудозатратным как для заказчика, так и для интегратора. Внедрить действительно работающее решение и проносящее максимальную пользу «быстро и дешево» не получится. В отличие от других ИБ-систем подобные решения никогда не приносят мгновенной пользы, но в перспективе затраты будут целиком оправданы.

Прогнозы по развитию SIEM и SOC

Согласно аналитическим прогнозам (IDC, Russia IT Security Services Market 2013-2017 Forecast and 2012 Vendor Shares) рынок SIEM- и SOC-решений продолжает расти бурными темпами. Четких статистических данных по динамике распространения SOC в мире нет. Но с каждым днем все больше представителей крупных компаний заявляют о том, что они либо уже построили у себя SOC, либо готовы это сделать. Основными предпосылками для роста рынка являются повышения уровня зрелости ИБ, а также увеличение объема и разнообразие информации, генерируемой в компаниях. Кроме того общеизвестно, что расходы на информационную безопасность намного меньше, чем возможный ущерб, вызванный недофинансированием систем ИБ. Именно это позволяет нам смотреть с оптимизмом на будущее рынка SOC в России.

Реклама