Как обеспечить комплексную защиту от ИБ угроз с помощью Jet CSIRT
Информационная безопасность Информационная безопасность

Эксперт компании «Инфосистемы Джет» Алексей Мальнев поделился проблемами, назревшими на рынке услуг аутсорсинга информационной безопасности.

Главная>Информационная безопасность>Свежий взгляд на аутсорсинг информационной безопасности
Информационная безопасность Тема номера

Свежий взгляд на аутсорсинг информационной безопасности

Дата публикации:
18.09.2019
Посетителей:
920
Просмотров:
879
Время просмотра:
2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет»
Эксперт компании «Инфосистемы Джет» Алексей Мальнев поделился проблемами, назревшими на рынке услуг аутсорсинга информационной безопасности, и раскрыл подробности работы нового сервиса интегратора — центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. 

 

 

Что не так с экспертным аутсорсингом информационной безопасности

 

Безопасность систем заказчиков зачас­тую не обеспечивается под ключ — большинство типовых экспертных сервисов не могут это сделать. Многие услуги ИБ-­аутсорсинга создавались без учета потребнос­тей типовых клиентов и без глубокого анализа рынка. Чаще всего при выводе услуг на рынок сервис-провайдеры следовали двум принципам: «есть угроза — создадим услугу» и «есть продукт — создадим облачный сервис». Это привело к многообразию узконаправленных сервисов, неспособных полностью закрыть все запросы компаний. Как результат, возникало большое количество нареканий по поводу качества услуг и спрос на них снижался.

Сегодня наблюдается дисбаланс процессов ИБ и ИТ. Это вызвано тем, что длительное время основное внимание было сосредоточено на обнаружении сложных таргетированных атак. В течение нескольких лет коммерческие SOC были сосредоточены на мониторинге инцидентов ИБ. Это обусловливалось резким ростом количества направленных атак, произошедшим с начала 2010 года. Тогда стало очевидно, что 5–10% самых опасных угроз невидимы даже для самых эффективных систем защиты. Фокус на детектировании привел к серьезному перекосу в развитии процессов мониторинга и реагирования на инциденты ИБ и, как следствие, к снижению общей эффективности систем безопасности.

Рисунок 1. Структура команды Jet CSIRT и взаимодействие с командами Центра информационной безопасности
Рисунок 2. Схема подключения к инфраструктуре клиента: внешняя экспертиза, собственные ресурсы заказчика

80% заказчиков, по нашему опыту, нуждаются в комплексной поддержке на всех этапах Incident Response. При этом блок IR часто упрощают. Согласно стандарту NIST 800-61r2, глобальный процесс реагирования на инциденты ИБ включает 4 больших блока, в рамках которых реализуются около 20 взаимосвязанных подпроцессов. Это подготовка комплексной системы защиты, детектирование, реагирование и постинцидентный анализ. Для достижения максимального уровня защиты информационных ресурсов очень важно равномерно развивать все перечисленные процессы. Наиболее полно этим требованиям отвечает концепция центра мониторинга и реагирования на инциденты ИБ  — CSIRT (Computer Security Incident Response Team).

 

Лишь единицы из коммерческих SOC реализуют полноценный Threat Hunting, или проактивный поиск угроз, не обнаруживаемых традиционными средствами детектирования. Две неотъемлемые составляющие этого важнейшего процесса  — хорошая координация между командами мониторинга, реагирования и эксплуатации, ИТ-специалистами и владельцами активов, а также глубокое погружение сервис-провайдера в инфраструктуру заказчика. В действительности большинство коммерческих SOC этим пренебрегают и, по сути, ограничиваются лишь предоставлением услуг поверхностного детектирования.

Екатерина Сюртукова

В прошлом – руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет»

Комментарий

Услуги Jet CSIRT по подключению к ГосСОПКА 

 

Сейчас субъекты КИИ, а это все компании, функционирующие в ключевых сферах экономики, озабочены выполнением требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в том числе и вопросом подключения к ГосСОПКА2. Трудностей возникает много. Основные сдерживающие факторы связаны с нехваткой людей и недостатком компетенции, неготовностью инфраструктуры, необходимостью выстраивать организационные и технологические процессы и отсутствием бюджета. Да и в законодательной базе до сих пор много пробелов, часть нормативных актов все еще разрабатываются.

 

Для выполнения требований № 187-ФЗ необходимо: 

1) провести категорирование объектов критической информационной инфраструктуры;

2) реализовать меры по обеспечению безопасности значимых объектов КИИ: провести обследование существующей инфраструктуры, разработать модель угроз и модель нарушителя, спроектировать и внедрить необходимые средства защиты, обеспечить их техническое сопровождение;

3) выстроить процессы мониторинга и реагирования на инциденты ИБ, а также наладить информационный обмен с главным центром ГосСОПКА — НКЦКИ3.

 

Обнаружение инцидентов ИБ, их обработка и отправка в НКЦКИ могут быть реализованы на базе центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. При этом возможны различные варианты взаимодействия. Мониторинг компьютерных инцидентов может осуществляться нашими специалистами как с использованием средств, установленных на площадке заказчика (см. рис. 3), так и путем подключения информационных ресурсов заказчика к техническим средствам Jet CSIRT (см. рис. 4). Подключение происходит по защищенным VPN-каналам с использованием средств защиты класса КС3 в соответствии со всеми требованиями НКЦКИ. Список оказываемых услуг значительно шире, чем просто мониторинг ИБ. 

 

На аутсорсинг в Jet CSIRT могут быть переданы все функции, необходимые для эффективного взаимодействия с ГосСОПКА:

  • инвентаризация информационных ресурсов;
  • эксплуатация средств ГосСОПКА, в том числе установленных на площадке заказчика;
  • систематический анализ угроз безопасности, прогнозирование их развития; 
  • выявление уязвимостей информационных ресурсов, которые могут быть использованы злоумышленниками (в том числе регулярные автоматизированные сканирования хостов сети, внутренние и внешние тестирования на проникновение, экспертный анализ настроек средств защиты);
  • прием сообщений об инцидентах от сотрудников заказчика; 
  • разработка рекомендаций по повышению уровня защищенности информационных ресурсов; 
  • взаимодействие с НКЦКИ (предоставление информации о выявленных инцидентах, о результатах инвентаризации, о защищенности ресурсов, обработка сообщений от НКЦКИ о потенциальных атаках и пр.);
  • разработка и применение мер по противодействию атакам и по ликвидации их последствий; 
  • расследование и установление причин компьютерных инцидентов. 

 

Jet CSIRT удовлетворяет всем требованиям, предъявляемым к корпоративным центрам ГосСОПКА. Развернуты необходимые технические средства (SIEM, IRP, сканер уязвимостей и пр.), есть вся процессная и регламентная база, составлены планы реагирования на инциденты ИБ. Для автоматизации взаимодействия с НКЦКИ наши специалисты используют специализированное программное решение (продукт класса IRP) собственной разработки. Сценарии выявления инцидентов созданы с учетом перечня компьютерных инцидентов, определенных в методических рекомендациях НКЦКИ. 

Рисунок 3. Схема оказания услуг с использованием SIEM на площадке заказчика
Рисунок 4. Схема оказания услуг с использованием технических средств Jet CSIRT

Jet CSIRT:  аутсорсинг полного цикла 

 

В этом году мы запустили специализированный центр мониторинга и реагирования на инциденты информационной безопаснос­ти Jet CSIRT. Работая над новым экспертным сервисом, мы стремились создать комплексный набор услуг по предотвращению, обнаружению и реагированию на угрозы, призванный решать задачи заказчиков под ключ в режиме 24х7. Для этого был проведен тщательный анализ рынка и выявлены главные потребности наших клиентов. В результате мы вывели на рынок услугу, объединившую в себе основные сервисы, которые наша компания предоставляла ранее на протяжении многих лет. 

 

Особенность Jet CSIRT — фокус на реагировании. Мы убеждены, что для обеспечения реальной безопасности недостаточно оперативного обнаружения угроз, важно вовремя их нейтрализовать и обезвредить. Именно поэтому в основе нашего сервиса лежит концепция CSIRT, наиболее полно охватывающая все процессы Incident Response.

 

Ответственность коммерческого CSIRT по сравнению с SOC гораздо ближе к основной бизнес-задаче всей службы ИБ. Она сводится к комплексному обеспечению защиты инфраструктуры и информации. Другими словами, с юридической точки зрения коммерческий CSIRT главным образом отвечает за процесс управления инцидентом и, как следствие, за множество его подпроцессов. Коммерческий SOC — это в большей степени операционный уровень с узкой ответственностью за процесс детектирования, т.е. непосредственно за поддержание качества аналитики. 

 

Как работает Jet CSIRT

 

Jet CSIRT начинается с команды. Ее основу составляют группа мониторинга и группа реагирования. Первая решает задачи сбора, нормализации, хранения событий, корреляции инцидентов, управления уязвимостями и аналитики. Вторая отвечает за ограничение и нейтрализацию угроз, восстановление инфраструктуры, экспертизу ИБ, консультирование, администрирование СЗИ и т.д.

 

На любом этапе к работе Jet CSIRT оперативно подключаются другие эксперты нашего Центра информационной безопасности — около 200 специалистов различного профиля в сфере ИБ. Это позволяет нам предоставлять заказчикам, помимо традиционных услуг мониторинга инцидентов, множество дополнительных опций. Например, когда нужно провести анализ вредоносного кода, на помощь сразу же приходят специалисты Лаборатории практического анализа защищенности. В зависимости от инцидента это также могут быть эксперты по защите от мошенничества, киберкриминалисты, архитекторы или аудиторы информационной безопасности. В нашей практике был случай, когда оперативное вмешательство в расследование инцидента специалиста в области DLP позволило существенно сократить время реакции на атаку и предотвратить более серьезные угрозы. 

 

Мы предусмотрели 2 опции подключения к инфраструктуре заказчика: On-premise и Cloud. В первом случае наши специалисты работают с SIEM-системой и средствами защиты информации заказчика, предоставляют экспертизу и обеспечивают реализацию процессов Incident Response согласно SLA. Подключение к ресурсам клиента происходит по защищенным VPN-туннелям.

 

Вторая модель, помимо внешней аналитики, предполагает также применение инструментария, предоставляемого из виртуального защищенного центра обработки данных нашей компании. 

 

Когда SOC недостаточно. Кейс из нашей практики

 

На второстепенном (некритичном) активе зафиксировано использование потенциально опасного ПО Dropper. С его помощью злоумышленники могут загрузить на атакуемый актив вредоносный код, например программу-троян. 

 

Решение

 

Традиционный коммерческий SOC

1. Аналитик мониторинга проверяет инцидент на ложное срабатывание и получает отрицательный результат.

2. ИБ-команда получает рекомендацию произвести очистку.

3. Проводится ретроспективный анализ в SIEM на предмет реализации таргетированной атаки.

 

Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT

1. Аналитик мониторинга проверяет инцидент на ложное срабатывание и получает отрицательный результат.

2. Чтобы минимизировать риск распространения угрозы, инженер реагирования сразу же приступает к фазе локализации инцидента, блокируя скомпрометированный актив на уровнях сети, процесса и пользователя. 

3. Аналитик по киберкриминалистике детально изучает зараженный актив. Проверив события, которые миновали SIEM-систему, но отобразились на уровне актива, он понимает, что произошла таргетированная атака, и определяет потенциальный вектор ее реализации. По итогам расследования выявлены атакованные активы, приняты меры по локализации и дальнейшему подавлению инцидента. 

4. По факту завершения работ по инциденту результаты документируются, формируется комплекс рекомендаций по корректировке правил (сценариев) выявления инцидентов и политик блокировки.

5. Команда эксплуатации принимает рекомендации к исполнению по указанию CISO / руководителя ИБ-службы.

 

Комплексный подход CSIRT помогает повысить скорость и качество обработки инцидента. Такой эффект достигается за счет реализованного процесса управления инцидентом (весь процесс регистрируется инцидент-менеджером и управляется при помощи специализированного ПО Incident Response Platform) и координации действий аналитиков и инженеров реагирования разных специализаций. В случае типовых коммерческих SOC функция управления инцидентом, как правило, ложится на клиента, и этот процесс зачастую не реализуется.

 

Рисунок 5. Схема подключения к инфраструктуре клиента: внешняя экспертиза, ресурсы Jet CSIRT

Сервисы Jet CSIRT: 

  • мониторинг событий ИБ;
  • подключение источников событий; 
  • расследование инцидентов ИБ;
  • кибераналитика по внешним угрозам; 
  • управление уязвимостями; 
  • разработка уникальных сценариев выявления инцидентов;
  • техническое реагирование, сдерживание и нейтрализация угроз; 
  • проактивный поиск и обнаружение угроз;
  • эксплуатация СЗИ;
  • предоставление СЗИ по подписке;
  • управление жизненным циклом инцидента;
  • изучение вредоносного кода;
  • аналитика по открытым данным (OSINT); 
  • бизнес-ориентированная аналитика;
  • взаимодействие с ГосСОПКА;
  • комплексное ИБ-консультирование;
  • аудит и анализ защищенности;
  • расследование инцидентов ИБ (форензика).

 

ГосСОПКА — одно из ключевых направлений деятельнос­ти Jet CSIRT. Мы помогаем организациям с критической информационной инфраструктурой взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. 

Вывод

 

Сегодня Jet CSIRT уже помогает заказчикам комплексно решать задачу защиты корпоративных ресурсов. В ближайшей перспективе мы планируем расширять и углублять наши возможности в части киберкриминалистики и OSINT-технологий, а также накапливать экспертизу в части взаимодействия с ГосСОПКА. 

Уведомления об обновлении тем – в вашей почте

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

ИТ-сервис: тенденции развития

За прошедшие годы ситуация на ИТ-рынке изменилась, и сегодня оказание услуг стандартной технической поддержки вендоры зачастую стараются оставить в своей компетенции и уходят от схемы привлечения для этих целей своих сервисных партнеров.

Эволюция ИТ-аутсорсинга

Слово «аутсорсинг» стал привычным уже не только для специалистов, но и для обывателей. Но смысл, который тот или иной человек вкладывает в этот термин, подчас оказывается разным.

Собрание аутсорсинговых заблуждений

В спорах о достоинствах и недостатках аутсорсинга, как правило, доминируют три полюса мнений – бизнеса, CIO или ИТ-департамента и поставщика аутсорсинговых услуг

Техническое обслуживание: от гарантии до аутсорсинга

Информационные системы небольшого офиса и транснациональной корпорации могут в десятки и даже сотни раз отличаться друг от друга составом и объемом эксплуатируемого оборудования, используемыми для решения прикладных задач технологиями, ...

Уровень сервиса решает все, или Аутсорсинговый проект от А до Я

На сегодняшний день об ИТ-аутсорсинге сказано и написано достаточно много, и каждый из нас уже не раз составил и переменил свое мнение об этой области непростых взаимоотношений.

Не бойтесь, вас точно взломают

Как сельскохозяйственная отрасль выделяется в вопросах обеспечения ИБ? Почему нельзя на 100% защититься от атак злоумышленников? Какие факторы нужно учитывать, приобретая средства защиты?

Аутсорсинг бизнес-систем: pro без contra

Классический аутсорсинг, подразумевающий передачу ИТ-инфраструктуры компании на внешнее обслуживание, достаточно банален. В свою очередь, выгоды, которые дает подобная схема, очевидны и многократно обсуждались экспертами и СМИ

«Там, где есть сотрудник “Инфосистемы Джет“, нет нашего ИТ-специалиста…»

Слово «аутсорсинг» стал привычным уже не только для специалистов, но и для обывателей. Но смысл, который тот или иной человек вкладывает в этот термин, подчас оказывается разным.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня