Фото: ICL

Специалисты финансовой сферы России всегда были на порядок грамотнее в области обеспечения должного уровня информационной безопасности (ИБ) и навыков соответствия нормативным актам (комплаенс), нежели коллеги из многих других отраслей экономики. Банкиры готовы активно делиться опытом с другими. Неудивительно, что на ITSF 2019 тематика ИБ, в частности SOC/SIEM, заняла весьма почетное место как по количеству мероприятий, так и по размеру аудитории.

Напомним, аббревиатура SOC расшифровывается как Security Operations Center (Центр службы безопасности), а SIEM — как Security Information and Event Management (Управление событиями и информационной безопасностью), которое представляет собой набор утилит для получения информации, необходимой для детектирования и управления событиями, связанными с безопасностью.

От версии 0.1 сразу к 2.0

Что оказалось самым любопытным на ITSF 2019? Обстоятельный разбор того факта, что рынок SOC, будучи примерно вдвое моложе рынка SIEM, успел вступить во вторую фазу своего развития, становясь при этом как бизнес-ориентированным, так и тотально связанным с государственными структурами типа ФинЦЕРТ Банка России или ГосСОПКА и Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Об этой трансформации было интересно послушать всем делегатам Форума, чем объясняется аншлаг на большинстве секций.

Надо отдать должное опыту организаторов. Они учли, что банкиры, особенно представители служб ИБ финансовых учреждений, крайне скупы на слова. Поэтому многое за них рассказал Алексей Лукацкий, бизнес-консультант по ИБ Cisco, независимый эксперт в области ИБ. А участвовавшим в дебатах банкирам осталось только подтвердить или опровергнуть его выводы. Надо отметить, что в корне несогласных с ним среди 2 тыс. делегатов Форума не оказалось.

Итак, «программным документом» по данной теме стала презентация Алексея Лукацкого «SOC v0.1 к SOC 2.0: от простого к инновационному», она размещена в открытом доступе на сайте ITSF. В данном выступлении эксперт, опираясь на почти двадцатилетний опыт эксплуатации SOC в компании Cisco (как известно, она не отличается скупостью в размерах бюджетов, направляемых на развитие направления ИБ), в виде зарисовок рассказал о том, чем отличается «простой» SOC начального уровня от SOC более продвинутого уровня. Аналог того, что можно сделать в области ИБ при практически неограниченном бюджете в России имеется, в частности, в крупнейшем банке страны, но, к сожалению, его представители не участвовали в публичных дискуссиях. А жаль: было бы очень интересно сравнить разные подходы.

Аутсорсинг как двигатель SOC-строения

«Выбросьте триаду на помойку! — именно с эти слов начал Алексей Лукацкий. — Технологии, команда и процессы. Этого сейчас явно недостаточно, попытка сконцентрироваться на них приводит к тому, что ИБ-специалисты упускают важнейшие моменты. Для чего нужен SOC внутри организации? На базе чего он будет детектировать те или иные несанкционированные действия, будь то внутренние или внешние? SOC начального уровня — это лишь мониторинг. Как только возникает функционал, связанный с аналитикой и реагированием, у вас появляется продвинутый SOC. Это важно при аутсорсинге SOC; если он первого уровня, то и эффективной ИБ не будет никогда. Она станет эффективной только тогда, когда в самой организации появится команда реагирования. Потому — это миф, когда говорят, что SOC можно полностью отдать на аутсорсинг».

Что еще важно при переходе к SOC 2.0? То, что в этом случае он ориентирован не на комплаенс или что-то, диктуемое модой. Если только комплаенс, то бизнес рано и поздно начинает задавать вопросы: «А зачем мы тратим колоссальные деньги, если к нам так и никто не приходит с проверками, не штрафует?». Поэтому признаком хорошего SOC является изначальная ориентация на бизнес.

Алексей Лукацкий, бизнес-консультант по ИБ Cisco. Фото: ICL

Следующим важным этапом перехода станет ответ на вопрос: «А что SOC будет мониторить? Одно дело, когда мониторится внутренняя инфраструктура банка. А если выясняется, что банк отдал АБС или элементы ЕБС на аутсорсинг, как ИБ понять, что там происходит? Очевидно, что должна быть продумана схема, связанная с мониторингом инфраструктуры, принадлежащей внешнему провайдеру.

Почему этот вопрос стал актуальным? Необходимо отметить, что на одной из сессий Форума, прошедшей накануне, Алексея Лукацкого буквально засыпали вопросами, касающимися обеспечения ИБ банковских информационных систем, отданных на аутсорсинг в ГК ЦФТ и другим сервис-провайдерам. Этот тренд набирает обороты, особенно с запуском Единой биометрической системы и других платформенных сервисов, разработанных как ЦФТ, так и Банком России. Да и без этого малые и средние банки не прочь отдать на аутсорсинг даже АБС, что они и делают. Мало того, отдают сейчас на аутсорсинг и в облака даже средства информационной безопасности. Вопрос назрел, а ответов на него мало.

Мировой опыт использования облаков в финансовых учреждениях показал, что облачные провайдеры должны предоставлять наружу через API или другие интерфейсы исчерпывающую информацию о том, что происходит не вообще у провайдера в целом, а именно в том виртуальном мире (инстансе), в котором размещается и выполняется то или иной приложение. У такого облачного гиперскейлера, как Amazon, заказчикам предлагается около 20 инструментов, с помощью которых можно забирать из инстанса клиента данные о событиях безопасности. То же применимо к Microsoft Azure и Google, хотя у них меньше инструментов. Именно по наличию подобных услуг и можно определить степень зрелости провайдера облака с точки зрения ИБ. Если облако предлагается как черный ящик, как нечто само в себе, это не лучшее облако, можно поискать другое, которое понимает корпоративные потребности в части ИБ. Примерно такие наставления собравшимся дал эксперт.

Алексей Лукацкий продолжал говорить о будущем: «Сначала обычно выстраиваются процессы: мониторинга, реагирования, Threat Intelligence, аналитики, работы с персоналом. Но это начальный уровень, когда SOC существует ради самого себя, ИБ ради безопасности. SOC 2.0 — это сервис, когда внешний заказчик, в данном случае бизнес, говорит: мне надо вот это, и всё! По своей сути это инсорсинг, когда внутренняя команда ИБ предлагает бизнесу сервис с заданными показателями качества. А как устроен этот сервис, бизнес уже не волнует. И уже тут бизнесу становится неважно, внутренний это SOC или аутсорсинговый. Но тут необходимо научиться измерять показатели качества. Например, не просто считают количество инцидентов, а учитывают, как эти инциденты влияют на бизнес. В этом еще одно коренное отличие простого SOC от продвинутого. Здесь служба ИБ привязывает свои показали к бизнес-задачам. Например, насколько выявление инцидентов позволило сэкономить деньги банка, снизить издержки, либо еще что-то». 

И бизнес доволен, и регуляторы 

А вот для того чтобы «и овцы были целы, и волки сыты», т.е. и бизнес был доволен, и регуляторы, крайне неплохо иметь так называемую сервисную стратегию SOC, которая определяет, куда, а главное, для чего существует SOC. Этот документ помогает понять, есть ли у него перспективы или он так и останется на уровне SIEM.

Необходимо запомнить, что SOC объединяет в единый комплекс множество решений ИБ, а не только данные, скажем, от файрволов и антивируса. Поэтому попытка начать выстраивать службу ИБ с вершины айсберга, т.е. с SOC, приводят обычно к краху. Начинать надо снизу вверх, а именно с рутины: с налаживания сбора данных со всех средств ИБ на местах, интеграции с внешними источниками фидов и Threat Intelligence типа ГосСОПКА или ФинЦЕРТ.   

«Если это “правильный” SOC, то он базируется не только на средствах автоматизации», — продолжил Алексей Лукацкий. И на примере службы мониторинга Cisco по отслеживанию утекших паролей он показал, что сегодня в мире не существует ни единого средства автоматизации этого процесса, это почти всегда ручная работа.

Досталось и внутренним нарушителям (инсайдерам), точнее тем строителям SOC 2.0, которые упорно продолжают игнорировать тот факт, что люди всегда являются слабым звеном в цепочке обеспечения ИБ. Без толку наращивать компетенции в сборе информации и умении ее обрабатывать с технических средств ИБ, если главный нарушитель в любой момент может испортить идеальную картинку мира офицеров ИБ. Людей надо обучать, это важная часть сотрудников ИБ и SOC. Докладчик привел в качестве примера фишинговую симуляцию, когда специальное подразделение рассылает персоналу фишинговые сообщения, чтобы выяснить, насколько сотрудники понимают, какое письмо в почте следует открывать, а какое — нет, а также по каким ссылкам в нем можно кликать, а по каким — нет.  

Хоть стопроцентной безопасности достичь невозможно, сделать все, чтобы злоумышленнику стало невыгодно или небезопасно атаковать вашу компанию как изнутри, так и снаружи, можно и нужно. В этом и заключается задача службы ИБ и всех инструментов, находящих на ее вооружении. Таков был финальный аккорд, после чего настало время выступлений тех, кому была переназначена презентация.

ИБ — это прежде всего доверие

Финальным, кульминационным моментом в работе Форума стал круглый стол: «Опыт эксплуатации SOC: задачи, проблемы, решения», на который Алексей Лукацкий, уже в качестве модератора, пригласил весьма внушительную группу специалистов. Среди участников были: Эмиль Алтынбаев, ведущий специалист отдела защиты информации компании «Гринатом»; Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies; Антон Юдаков, операционный директор Solar JSOC компании Ростелеком-Solar; Роберт Низамеев, эксперт SOC-центра компании ICL, и Алексей Петухов, руководитель Kaspersky Industrial Cyber Security. Финансистов на круглом столе представляли: Сергей Романов, руководитель отдела IT-безопасности Энергобанка; Александр Бабкин, заместитель начальника департамента — начальник ситуационного центра ИБ департамента защиты информации Газпромбанка, и Владислав Бубенников, начальник управления кибербезопасности Ак Барс Банка.

Как оказалось, крупными банками SOC строились по принципу step-by-step, а в остальных финансовых учреждениях все было по-разному. Порой работы велись людьми, пришедшими в свое время в ИБ из «физической безопасности», сказывалась и продолжает сказывать нехватка кадров. Это иногда наносило некоторый отпечаток на архитектуру ИБ, которую они строили, хотя бизнес четко и ясно ставил перед ними задачи: обеспечение комплаенса, сохранности денег и т.д. Чтобы решить эти задачи, чаще всего в таких банках выбирали вариант аутсорсинга, т.е. внешнего SOC. Таким образом, в финансовой сфере в условиях недостатка регулирования облаков и т.д., как ни удивительно, «безопасникики» стали драйвером использования аутсорсинга в банкинге и значительно здесь преуспели. Как говорится, «не было бы счастья, да несчастье помогло».

Но остались те проблемы, о которых говорил ранее Алексей Лукацкий. Как доказать бизнесу эффективность SOC, да и службы ИБ вообще? Отчасти финансирование отделов информационной безопасности было вынужденным, необходимо было выполнять жесткие требования Банка России, международных платежных систем, ФСТЭК, ФСБ и т.д. Имея такую «подушку безопасности», сотрудники соответствующих подразделений банков имели больше возможностей, чем их коллеги из промышленности, ритейла и т.д. Поэтому дискуссия на круглом столе часто упиралась в вопрос, что показать в качестве аргументов в этих отраслях? У банкиров все просто — сколько денег было украдено или, наоборот, спасено. А тут что? Репутационные потери? Необходимо искать другую мотивацию.

Без толку наращивать компетенции в сборе информации и умении ее обрабатывать с технических средств ИБ, если внутренний нарушитель (инсайдер) в любой момент может испортить идеальную картинку мира офицеров ИБ

Возвращаясь к банкирам, необходимо отметить, что в выступлениях звучали и другие подходы, дополняющие опыт Cisco. Речь идет об адаптивной стратегии SOC, предполагающей гибридный подход и высвобождение времени внутренних сотрудников на улучшение подходов к ИБ. В качестве примера была названа модель непрерывного анализа рисков и доверия. Ведь если отдать SOC полностью на аутсорсинг, то утратится гибкость банка. Внешний подрядчик по определению не успевает подстроиться под внутренние процессы подрядчика. А тенденции развития банков известны: ускорение вывода продуктов на рынок. Но придется очень четко определиться, что именно банк планирует развивать самостоятельно, а что отдать партнерам.

Хотя информация, касающаяся ИБ, конфиденциальна, банкиры пришли к пониманию того, что частью этой информации необходимо делиться с коллегами и регуляторами. Почему это неизбежно и где найти баланс между частным и общественным? Применима ли найденная формула в нефинансовом секторе?

Ответ банкиров коллегам на этот вызов заключался в том, что ИБ — это прежде всего доверие, хотя и грамотно составленные договора тоже необходимы: доверяй, но проверяй! Кроме того, важна экономическая модель, которая доказывает необходимость передачи некритичной информации в третьи руки. Уж кто-кто, а финансисты умеют считать деньги и учитывать риски. Поэтому искомый баланс находится в сочетании риск-менеджмента и экономической целесообразности. 

Однако в ситуацию вмешались еще два фактора. Во-первых, растущая конкуренция на финансовом рынке заставила большинство банков принять концепцию клиентоориентированности, предполагающую значительную открытость перед клиентами. Во-вторых, крупные банки в той или иной степени являются государственными. Поэтому у государства в руках оказался козырный туз для убеждения таких банков участвовать в обмене информацией об инцидентах с ФинЦЕРТ Банка России. Конечно, оттуда они получают фиды, являющиеся «пищей» для SOC/SIEM. Автоматизация ИБ экономически эффективнее ручного труда, поэтому уговаривать долго не пришлось.

Коллеги из зала с некоторой долей зависти слушали финансистов, атомщиков, связистов и, наверное, думали: кто бы нас уговорил на уровне регуляторов присоединиться к подобным начинаниям! Для начала необходимо, чтобы отраслевые регуляторы услышали их. Но собственно, для этого и проводится уже тринадцатый ITSF.