Почему вашему центру безопасности нужен не только комплекс SIEM

Почему вашему центру безопасности нужен не только комплекс SIEM

По мере роста индустрии IoT (интернет вещей), текущая модель SOC становится все более устаревшей.

С каждым днем киберпреступления становятся все более изощренными. Также растут убытки от подобного рода инцидентов, суммы выкупов и штрафы, предусмотренные законодательством. Вне всякого сомнения, сейчас нужда в установке отдельной системы на базе комплекса SIEM с целью быстрого распознавания угроз стоит особенно остро. Но достаточно ли SIEM для борьбы с современными угрозами?

Что такое SOC и SIEM

Хотя IT-профессионалы могут быть хорошо знакомы с понятиями SOC и SIEM, однако руководителей, скорее всего, придется ввести в курс дела.

Аббревиатура SOC расшифровывается как Security Operations Center (Центр службы безопасности). Поддержание кибербезопасности исключительно при помощи пассивных методов (например, фаерволов или систем IDS) сродни строению стены вокруг замка и надежде на то, что враг не сможет найти лазейку или перемахнуть сверху. Существует множество толкований термина SOC, однако в большинстве случае SOC выступает как центр управления безопасностью компании или организации. Формирование SOC включает в себя найм команды профессионалов, настройку процессов мониторинга сервера и/или всей сети и комплекс мер реагирования при возникновении инцидентов. Иногда функции этого центра завязаны на одном человеке, но такие случаи скорее исключение.

Каждому SOC’у требуются инструменты наподобие SIEM (Security Information and Event Management; Управление событиями и информационной безопасностью), который представляет собой набор утилит для получения информации, необходимой для детектирования и управления событиями, связанными с безопасностью.

Точнее говоря, система SIEM собирает и упорядочивает данные из различных источников. Информация может браться из журналов сообщений (syslog), логов операционной системы, конечных устройств, фаерволов/IDS или сети. SIEM анализирует весь поступающий объем данных и удаляет нерелеватную информацию. По-другому такая операция называется нормализацией. После первоначальной обработки SIEM использует правила умной корреляции для подсвечивания связей между событиями, которые затем анализируются командой IT-поддержки. Далее специалисты применяются различные техники, как, например, анализ NetFlow и другие методики для поиска причин аномалий и, если требуется, предпринимают меры для защиты IT-инфраструктуры бизнеса.

Помимо того, что каждом SOC’е будет использоваться приложения в духе SIEM, этот набор утилит также используется командами по реагированию на киберинциденты (CIRT) и как часть других IT-служб, имеющих отношение к безопасности. Например, в Лос-Анжелесе комплекс SIEM был внедрен как часть централизованного командного центра, связанного с кибер-вторжениями.

Нужно ли что-то помимо SIEM?

Одно из ограничений SIEM заключается в том, что обрабатываются исключительно сигналы, генерируемые системой. Атака может остаться незамеченной, если она реализуется вручную, а не при помощи вредоносной программы. Кроме того, могут возникнуть специфические аномалии, связанные с пользователями, которые могут сигнализировать о надвигающейся угрозе. Например, специалист одного из департаментов во время планирования своих злонамеренных действий мог подключаться к системе несколько раз, которую в целом редко использует. Или другой сценарий: учетные записи одного из сотрудников были украдены во время фишинговой атаки и использованы злоумышленником для доступа к системе в непривычное время или одновременно с легитимным пользователем.

Эти сценарии относятся к сфере анализа поведения пользователя (UBA). Если внедрить приложения, позволяющие выполнять подобный анализ, в связке с SIEM, то получим систему способную сопоставлять внутренние и внешние сигналы и от систем, и от пользователей.

Несмотря на то, что сам по себе запуск и поддержка SOC требует активных действий, многие компании следуют стандартным стратегиями и тратят много времени на фильтрацию предупреждений. Даже там, где используются технологии предотвращения вторжений, реакция на инциденты, как правило, очень медленная из-за размера и сложности сетей.

Часть проблемы заключается в том, что большинство утилит из линейки SIEM/UBA сами по себе не очень адекватны. Однако возможно использовать эти средства в связке с другими мерами, например:

  • система обнаружения устройств на конечных точках (EDR), находящимися за пределами фаервола.

  • Источниками информации, посвященными аналитике угроз.

  • Ловушками для злоумышленников (honeypot), файлов, пользователей и учетных записей.

  • Заранее заготовленными схемами детектирования.

  • Технологией централизованного управления журналами.

Естественно, в компании должны быть образовательные программы и база знаний, где рассказывается, как объединить все вышеуказанные средства в единый SOC. Еще один вариант сделать хорошо управляемый SOC с наилучшей экспертизой в сфере безопасности и утилитами – интегрировать облачные SaaS-приложения.

Однако даже если интегрировать SIEM, UBA, другие утилиты и процессы, связанные с безопасностью, что приведет к повышению эффективности и уменьшению «слепых зон», можно сделать и другие улучшения.

Подавляющее большинство данных, помеченных SIEM, слава богу, не представляет угрозы. Тем не менее, аналитики должны анализировать каждый случай, чтобы выловить 2-5% информации, имеющей отношение к реальным атакам.

Чтобы снизить уровень шума и улучшить эффективность специалистам по информационной безопасности можно взять пример из медицинской индустрии. Когда скорая помощь прибывает на место, где произошел несчастный случай, то медработники не распределяют равномерно свои усилия на всех пострадавших. Как вы понимаете, довольно странно тратить драгоценное время на перелом руки, если рядом лежит человек, умирающий от потери крови.

То есть, специалисты, находящиеся на первом рубеже реагирования, сортируют и быстро оценивают степень тяжести несчастного случая и расставляют соответствующие приоритеты.

Если сортировка будет привязана к SIEM, специалисты отдела SOC смогут быстро реагировать на наиболее очевидные и важные сигналы, вместо растрачивания временных ресурсов впустую на нерелевантную информацию. Сортировка также поможет аналитику избежать эффекта замыливания взгляда на неактуальные сведения, что может стать причиной пропуска реальных угроз из-за постоянного потока ложных предупреждений.

Таким образом, SIEM с интегрированной системой UBA и платформой для сортировки событий уже начинает представлять из себя нечто интересное. Однако можем ли мы пойти еще дальше?

Чем быстрее специалисты центра SOC смогут реагировать на инциденты, чем меньше вероятность простоя и потерь у бизнеса. Необходимо настроить приложение на автоматическое обнаружение важных сигналов, а не ждать пока специалист обнаружит их вручную.

Например, если от SIEM и UBA поступают сигналы о возможной атаке, а от сортировочной платформы приходит сигнал о том, что нужно начать немедленное расследование, еще до начала расследования можно заблокировать IP-адреса, удалить права доступа и/или изолировать сети.

Кроме того, система управления общим документооборотом, где будет храниться системная и контекстуальная информация в структурированном виде, значительно упростит расследование после возникновения инцидента.

Центр SOC будущего

По мере роста индустрии IoT (интернет вещей), текущая модель SOC становится все более устаревшей. С другой стороны, вполне вероятно искусственный интеллект и машинное обучение сделают умнее приложения, связанные с безопасностью.

Хотя и невозможно точно сказать, какова будет SOC будущего, собрав воедино SIEM, UBA и другие утилиты вместе с платформой сортировки, приложением для автоматического реагирования и системой управления документооборотом, компании, как минимум, сделают уверенный шаг в сторону построения модели центра безопасности будущего.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!