© 1995-2022 Компания «Инфосистемы Джет»
SOC за четыре недели? А что, так можно было?
Информационная безопасность Информационная безопасность

Что такое «быстро SOC»? Создание базовой конфигурации решения. Кейс «100 дней на SOC с нуля».

Главная>Информационная безопасность>SOC за четыре недели? А что, так можно было?
Информационная безопасность Тема номера

SOC за четыре недели? А что, так можно было?

27.10.2022

Посетителей: 80

Просмотров: 69

Время просмотра: 2.3

Авторы

Автор
Ринат Сагиров Руководитель отдела систем мониторинга ИБ и защиты приложений центра информационной безопасности компании «Инфосистемы Джет»

 

Что такое «быстро SOC»?


Создание базовой конфигурации решения.


Кейс «100 дней на SOC с нуля».

 

На одной из конференций мы озвучили крамольную идею: SOC можно запустить за 30 рабочих дней. Коллеги засомневались, так что нам ничего не остается, кроме как написать статью о нашем опыте!

Для кого мы придумали «быстро SOC»


Сразу скажем, что построить SOC с нуля собственными силами за 30 дней невозможно. Наш концепт предполагает участие сервис-провайдера или использование облачных решений. Также «быстро SOC» подойдет тем, у кого уже выстроены процессы, обучен персонал, но технологическое ядро центра базируется на зарубежном SIEM с истекающей лицензией. За 30 дней можно развернуть тестовую инсталляцию отечественного решения и настроить контент.

За последние пять лет мы реализовали более 100 проектов по внедрению SIEM, поэтому у нас есть неплохой набор заготовок. Мы понимаем, какие источники и правила корреляции можно настроить за 30 дней. Отсюда и родилась концепция «быстро SOC».

Почему появилась эта модель? Time to Market в случае ИБ-решений учитывается редко. Мы привыкли тратить достаточно много времени на формирование целевого видения решения и двигаться по каскадной модели: собираем данные, затем проектируем и внедряем систему, полностью соответствующую ТЗ. В результате только на создание и запуск центральной технологической платформы на базе SIEM уходит как минимум 6–8 месяцев. А компания все еще не получает полноценный работающий SOC. Внедрения SIEM недостаточно, также нужно:

 

  • выделить цели и задачи, которые должен решать SOC;
  • определить участников процесса и разделить зоны ответственности;
  • определить и отладить процедуры мониторинга и реагирования;
  • нанять и обучить персонал.


По нашему опыту, полноценный проект по запуску SOC для крупной компании длится год, а иногда и больше. Но сегодня бизнес в любой момент может попасть под горячую руку злоумышленников, а значит, SOC нужен здесь и сейчас.


В качестве модели построения «быстро SOC» мы рассматриваем гибридный вариант. Заказчик получает компетенции за счет ресурсов сервис-провайдера. Ему не придется тратить время на поиск и обучение персонала (3–6 месяцев), а также на разработку и отладку процессов мониторинга и реагирования на инциденты (4–5 месяцев). Таким образом, для запуска сервисов SOC за 30 рабочих дней достаточно внедрить SIEM-систему и передать ее в эксплуатацию (рис. 1).

Рис. 1. Вариант технической архитектуры SOC при гибридной модели

Что такое «быстро SOC»

«Быстро SOC» — это базовая конфигурация SOC с подключением основных источников (межсетевые экраны, антивирус, корпоративный домен) и настройкой корреляционных правил, основывающихся на событиях от подключенных источников. Это полноценное работающее решение, основа, на которой будет развиваться центр мониторинга и реагирования на инциденты.

Самыми продолжительными этапами внедрения SIEM-системы являются:

 

  • Подключение инфраструктурных элементов — источников ИБ-событий (особенно если на многие из этих элементов отсутствуют готовые парсеры в SIEM).
  • Настройка корреляционного контента. На этом этапе важно отладить контент, иначе в SOC будет поступать большой поток «сработок», которые в большинстве своем являются ложными.

 

За последние пять лет мы реализовали более 100 проектов по внедрению SIEM-систем. Поэтому у нас есть неплохой набор заготовок:

 

  • Скорректированные парсеры «из коробки», в том числе для нетиповых источников (уровень приложений, новые технологии, зарубежные средства защиты и т. п.) для сбора и нормализации ИБ-событий. С их помощью настраивается корреляционный контент. 

 

Источниками могут быть:

 

  1. ключевые инфраструктурные элементы: ОС (Windows, *NIX-like), СУБД, ИТ-сервисы (корпоративный домен, корпоративная почта, телефония и т. п.), сетевое оборудование;
  2. средства защиты, в том числе отечественные.

 

  • Настройки политик журналирования ИБ-событий на инфраструктурных элементах.
  • Правила корреляции, позволяющие выявлять более 70% техник MITRE ATT&CK и исключающие выявление событий, связанных с легитимными процессами в инфраструктурных элементах и в самой инфраструктуре.

 

Учитывая весь наработанный контент, мы отошли от классической каскадной модели и проработали принципиально другую концепцию запуска технологической платформы SOC из двух этапов (рис. 2): 

 

  • Создание базовой конфигурации — 30 рабочих дней.
  • Развитие базовой конфигурации — 90+ рабочих дней.
Рис. 2. Этапность запуска SOC

На первом этапе мы предлагаем настроить контент из разряда «базовая гигиена ИБ».

 

Нужно будет:

 

  • Настроить сбор событий из источников, которые являются must have в проектах по внедрению SIEM и используются всеми компаниями при построении ИБ-ландшафта. Как минимум, это корпоративный домен MS AD, антивирусное ПО и межсетевой экран.
  • Настроить и отладить корреляционный контент, который не требует длительной отладки и реализуется на ИБ-событиях от подключенных источников. Это позволяет выявлять компрометацию учетных записей, злоупотребление административными привилегиями, активность вредоносного ПО на конечных хостах и его признаки в сетевых взаимодействиях.

 

При этом мы активно включаем заказчика в работу. Если сотрудники компании не вовлечены в проект, запустить «быстро SOC» нельзя будет ни за 30 дней, ни за полгода. Поэтому на старте мы выдаем заказчику требования:

 

  • К сетевым взаимодействиям: например, открыть определенные порты на оборудовании.
  • К настраиваемым политикам журналирования: выдаем рекомендации, какие события должны собираться на конкретном источнике.


В результате уже через 30 рабочих дней у заказчика будет запущен SOC с нашими сервисами по мониторингу и реагированию на инциденты. Да, это базовый уровень, но это гораздо лучше, чем ничего. И самое важное: на втором этапе мы продолжаем развивать инсталляцию, постепенно передавая в центр все больше корреляционного контента.

Кейс


100 дней до SOC


Наш заказчик хотел за 100 календарных дней реализовать сервис мониторинга ИБ-инцидентов для своих географически распределенных площадок. Причем у него не было SIEM-системы.


Для реализации проекта мы использовали наработки концепции «быстро SOC». За 40 календарных дней провели полноценный аудит площадок, сформировали перечень источников ИБ-событий, выдали заказчику рекомендации и параллельно развернули у него SIEM. Затем установили на каждой площадке коллекторы для сбора и отправки событий в систему.


Однако за 100 календарных дней качественно запустить сервис на большом скоупе источников нереально, ведь для этого нужно разработать более 100 корреляционных правил. В итоге мы с заказчиком решили, что сервис стартует на одном источнике, который есть на всех площадках. Сейчас мы продолжаем развивать инсталляцию — подключаем к ней новые источники и передаем заказчику разработанные корреляционные правила.

Уже через 30 рабочих дней у заказчика запущен SOC с нашими сервисами по мониторингу и реагированию на инциденты. Да, это базовый уровень, но это гораздо лучше, чем ничего. И самое важное: мы продолжаем развивать инсталляцию, постепенно передавая в центр все больше корреляционного контента.

Уведомления об обновлении тем – в вашей почте

Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ? Как правильно выстроить защиту от DDoS? Кейсы «Инфосистемы Джет».

Анализ защищенности корпоративных автоматизированных систем

При создании информационной инфраструктуры корпоративной автоматизированной системы (АС) на базе современных компьютерных сетей неизбежно возникает вопрос о защищенности этой инфраструктуры от угроз безопасности информации. Насколько ...

Облачный SOC - безопасность в аренду

На текущий момент о задаче управления инцидентами ИБ уже сказано очень много ..

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

«Информационная безопасность банков»: что прогнозируют российские ИБ-специалисты

Появились ли за последние два месяца новые ИБ-угрозы? Из-за чего происходит «окирпичивание» оборудования? Почему текущие проблемы — это только начало?

Mobile Forensics Day 2022: фокус на XDR

Какие факторы негативно влияют на ИБ-расследования? Как выглядит типовое расследование? Зачем нужны и как работают XDR-системы?

Интервью Алексея Комкова, Технического директора компании "Лаборатория Касперского"

Интервью Комкова Алексея, технического директора компании "Лаборатория Касперского" информационному бюллетеню "Jet ...

MaxPatrol 8: универсальное решение может быть индивидуальным

MaxPatrol 8 – выдающийся продукт не только на отечественном рынке, но и на мировом. Это решение, которое успешно ...

Как сотрудники компаний относятся к биометрии: исследование «Инфосистемы Джет»

Отечественный бизнес все чаще использует биометрические данные для идентификации сотрудников. Мы провели исследование и выяснили отношение россиян к этой тенденции.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня