Центр реагирования на инциденты информационной безопасности Jet CSIRT стал одной из ключевых тем, обсуждаемых на ежегодной конференции Fortinet Security Day, которая прошла 20 сентября в Москве. Алексей Мальнев, руководитель Jet CSIRT, познакомил участников мероприятия с новым сервисным продуктом компании «Инфосистемы Джет», рассказал о его преимуществах перед типовым коммерческим SOC и о том, почему в качестве главного инструмента платформы была выбрана система FortiSIEM. Ключевые моменты выступления эксперта — в этой статье.
[spoiler]
Как создавался Jet CSIRT: от концепции к реализации
Скачкообразный рост числа сложных таргетированных атак, произошедший с начала 2011 года, заставил большинство компаний сосредоточиться на детектировании угроз. Поэтому до недавнего времени эксперты фиксировали направленность коммерческих SOC на мониторинг. На сегодняшний день ситуация изменилась: заказчикам недостаточно получать хорошую аналитику — им важно быть уверенными в том, что их инфраструктура надежно защищена. Обеспечить такой результат невозможно, фокусируясь только на одном процессе, необходимо покрывать весь блок Incident Response целиком.
Яркий пример из жизни: некоторое время назад автомобильные сигнализации пользовались широким спросом, сегодня же большинство автовладельцев предпочитают устанавливать противоугонные системы. Людям важно, чтобы система не только предупреждала их об инциденте, но и могла предотвратить угон автомобиля.
Понимая необходимость в пересмотре подхода к экспертному аутсорсингу ИБ, специалисты компании «Инфосистемы Джет» запустили разработку нового сервисного продукта, призванного нивелировать недостатки типовых коммерческих SOC. За основу была взята концепция CSIRT, возникшая в 1990-е годы и за это время доказавшая свои преимущества на практике: именно этот подход наиболее полно охватывает все процессы Incident Response, на что указывают стандарты NIST SP 800-61 и ISO/IEC 27035:2016. Стоит отметить, что при корректировке подхода к аутсорсингу процессов мониторинга и реагирования на инциденты ИБ эксперты также учитывали лучшие мировые практики от таких организаций, как SANS и MITRE, а также рекомендации и требования российских регуляторов.
В результате специалисты пришли к более широкой и целостной концепции гибкого сервиса. Ее воплощением стал Jet CSIRT — центр реагирования на инциденты ИБ, вобравший лучшее из коммерческого SOC и превзошедший его в части устранения и нейтрализации угроз. Так, Jet CSIRT объединил в себе традиционные услуги мониторинга и детектирования инцидентов, сервис SIEM «в облаке», продвинутое реагирование, эксплуатацию средств защиты информации, тесты на проникновение и многое другое.
Успех в создании нового сервиса компании обеспечило наличие крупнейшей в России и Восточной Европе команды специалистов по информационной безопасности: в штате системного интегратора насчитывается около 200 экспертов самых разных профилей. Это позволяет предоставлять заказчикам, помимо основных услуг Jet CSIRT, широкий спектр дополнительных функций, таких как форензика или тесты на проникновение. Так, для анализа вредоносного кода к работе центра могут подключиться эксперты из лаборатории практического анализа защищенности. В практике компании было немало случаев, когда оперативное вмешательство тех или иных экспертов в расследование инцидентов повышало скорость реакции на атаки и позволяло предотвратить более серьезные угрозы. Один из свежих примеров: у заказчика «не поладили» DPL-система и антивирус, к расследованию инцидента быстро подключился специалист с глубокой экспертизой в области защиты от утечек, который довольно быстро помог разобрать журналы событий и сделать правильные выводы.
Процессы Incident Response: у заказчика или в облаке?
Одна из важных особенностей Jet CSIRT, отличающая сервис от традиционного коммерческого SOC, — возможность работы с инструментарием клиента. Такой подход был выбран не случайно: аргументами в его пользу стали примерно две трети обращений заказчиков, желающих выстраивать процессы мониторинга и реагирования на инциденты ИБ на базе собственных SIEM-систем и средств защиты информации. Наличие в команде Jet CSIRT специалистов по всем представленным на рынке ключевым SIEM и СЗИ позволило компании реализовать данную модель. В то же время каждый третий заказчик, что тоже немало, хотел бы использовать для сбора и корреляции событий SIEM-систему в облаке и инструменты реагирования, предоставляемые сервис-провайдером. В ответ на запросы рынка в Jet CSIRT также была реализована модель подключения заказчиков к SIEM и СЗИ в защищенном виртуальном центре обработки данных компании «Инфосистемы Джет».
Выбор инструмента мониторинга: почему FortiSIEM?
Инфраструктура Jet CSIRT построена преимущественно на решениях компании Fortinet. Такой выбор был обусловлен рядом факторов: технологичность решения, гибкая ценовая политика, развитая экосистема продуктов информационной безопасности, перспективы сертификации ФСТЭК, наличие хорошего представительства в России, оказывающего качественную техподдержку, а также обилие технической документации. Ключевой инструмент мониторинга — SIEM-систему — эксперты выбирали путем глубокого сравнительного анализа продуктов, который проводился по 67 техническим и 12 экономическим критериям в течение двух месяцев. По результатам аналитической работы необходимо было определить инструмент, обеспечивающий полноценную, надежную и качественную реализацию базовых функций SIEM. Такой подход был выбран, поскольку на практике эффективность большинства центров мониторинга определяется работой первой линии, правильно выстроенными процессами и базовыми инструментами. Оценив и сопоставив ряд SIEM-систем, специалисты остановились на решении FortiSIEM. Эксперты «Инфосистемы Джет» пришли к выводу, что данная система выполняет все базовые функции, будь то корреляция, парсинг или отчетность, в полной мере и достаточно качественно.
Ключевыми аргументами в пользу FortiSIEM в качестве главного инструмента центра реагирования на инциденты ИБ Jet CSIRT для экспертов компании «Инфосистемы Джет» стали архитектурные возможности решения. Речь идет о возможности планомерного масштабирования: увеличении числа коллекторов, наращивании производительности супервизора, поддержке виртуализации — и все это без потери данных и необходимости перенастройки компонент. Еще одно преимущество заключается в отсутствии необходимости приобретать лицензии на производительность компонент, за исключением EPS на supervisor. Бесплатные «ноды» (node), режим multitenancy, резервное копирование, интеграция с Remedy и поддержка Rest API — все эти особенности также можно отнести к сильным сторонам FortiSIEM.
Кроме того, стоит отдельно остановиться на реализованной в решении FortiSIEM концепции CMDB — единого каталога активов инфраструктуры. Данная база дает централизованный, автоматически задокументированный срез инфраструктуры в реальном времени и в ретроспективе, предоставляет детальную информацию по производительности, конфигурациям, аппаратной платформе, интерфейсам, пользователям, запущенным сервисам, а также обеспечивает автоматическую категоризацию по типам устройств, приложениям, пользователям и бизнес-сервисам. Помимо этого, с ее помощью можно получить большое количество встроенных полезных отчетов по активам. Все это очень важно для сервис-провайдеров, поскольку погружение в большое число инфраструктур разных заказчиков — довольно затратная задача. Концепция CMDB позволяет, затратив минимальные усилия, получить максимально широкий срез по инфраструктуре клиента в самых различных плоскостях.
И наконец, FortiSIEM обладает удобной базой знаний, где в едином окне отображается вся необходимая информация для формирования правил корреляции. Не останавливаясь на достигнутом: Roadmap Jet CSIRT На сегодняшний день компания «Инфосистемы Джет» собрала команду, реализовала техническую платформу, получила необходимые лицензии и разрешения, в том числе на взаимодействие с ГосСОПКА. В дальнейших планах системного интегратора по развитию Jet CSIRT — углубление компетенций и увеличение числа опций в области продвинутой аналитики (Threat Hunting) и форензики, а также расширение партнерства с Fortinet в части использования фабрики безопасности Fortinet Security Fabric: интеграция в сервисный продукт решений FortiMail, FortiWeb и FortiAnalyzer с целью предоставления их заказчикам по MSSP-модели.
