Журнал "Information Security/ Информационная безопасность" #5, 2022

Главным вызовом для большинства SOC того времени стала серия серьез- ных громких атак на инфраструктуры компаний по всему миру – они были более масштабные и распределенные во времени. В результате на обработку огромного количества возникающих сра- боток от СЗИ требовались сотни тысяч рутинных операций, затрагивающих раз- личные элементы инфраструктуры. Все это привело к возникновению новых запросов к SOC: необходимости сокра- щения среднего времени принятия реше- ний, систематизации взаимодействий систем и технологий внутри SOC, струк- туризации работы команд, а также авто- матизации ИБ-процессов. Решением этих задач стал новый по тем меркам продукт класса SOAR, основ- ными функциями которого были оркест- рация всего имеющегося арсенала средств, систем и технологий SOC, структурирование шаблонных действий (в том числе без участия человека) и автоматизация работы ИБ-подразде- ления и смежных отделов, участвующих в обработке инцидентов. Таким образом, прошел первый этап эволюции и разви- тия SOC. Процессы современного SOC Компания R-Vision начала развитие SOAR, еще когда заказчики говорили, что кроме ServiceDesk им ничего не нужно, а конкуренты даже и не смотрели в сторону создания подобных техноло- гий. Поэтому R-Vision является перво- открывателем этой технологии на рос- сийском рынке. С момента создания класса SOAR и до осознания заказчиками всей важ- ности, обязательности применения этого продукта в центрах мониторинга и реа- гирования на инциденты прошел дли- тельный период времени, но теперь SOAR безоговорочно считается неотъем- лемой частью SOC, которая повышает его эффективность. В процессе внедрения и эксплуатации SOAR и других наших продуктов у заказ- чиков мы придерживаемся системного и последовательного подхода – погру- жаемся во все процессы, технологии и решения, которые используются в SOC организации. Такой подход позволяет нам увидеть ситуацию "изнутри" и сфор- мировать общий перечень процессов, которые включает в себя (но не ограничи- вается) среднестатистический центр мониторинга и реагирования, а именно: l управление активами и сбор инфор- мации с узлов при помощи агентов; l управление уязвимостями; l сбор событий безопасности и их ана- лиз; l управление инцидентами, реагирова- ние на инциденты, в том числе на хосте при помощи агентов; l процесс выявления аномалий в пове- дении объектов ИТ-инфраструктуры; l процесс работы с данными киберраз- ведки; l процесс создания ложного слоя инфраструктуры. Некоторые из заказчиков дополни- тельно объединяют все это под шапкой процессов менеджмента ИБ, таких как оценка соответствия требованиям, про- цесс оценки рисков, стратегическое и тактическое планирование ИБ. Это позволяет им выйти на новый этап раз- вития и эволюции SOC. Безусловно, каждая компания видит наполнение процессов по-своему, но на собственном практическом опыте мы отмечали тенденции заказчиков к обо- гащению процессов новыми решаемыми задачами. Например, сейчас некоторые заказчики в процессе управления акти- вами автоматизируют построение ресурсно-сервисной модели (далее РСМ), автоматический сбор инвентари- зационной информации и сведений о сетевых ресурсах, аппаратном обору- довании и установленном ПО, а также контроль установленных обновлений. В современном SOC выстроенный про- цесс управления активами позволяет уже гораздо больше: контролировать изменения в ИТ-инфраструктуре, появле- ние новых УЗ, узлов, изменения аппа- ратной и программной частей, а также их конфигурации и многое другое. В сценариях реагирования на инци- денты зачастую задействованы обра- ботка и анализ уязвимостей с учетом их приоритетов, а также контроль задач по устранению уязвимостей. Все чаще про- цесс VM в SOC включает агрегацию данных по уязвимостям, приоритизацию их обработки на основании автоматиче- ски рассчитанного рейтинга, который адаптируется под конкретную организа- цию. Заказчики стали активно использо- вать технологии машинного обучения, которые теперь участвуют в построении процессов сбора, нормализации и хра- нения событий и предоставляют воз- можность для автоматического анализа собранной информации, а в комбинации с методами поведенческой аналитики, сравнительным групповым анализом и другими могут детектировать нарушения в состоянии ИТ- и ИБ-систем, фиксиро- вать подозрительную активность и осу- ществлять динамическую оценку угроз и аномалий. С ростом уровня зрелости организаций и их центров мониторинга и реагирова- ния у команд SOC возникла потребность в работе с данными киберразведки, которые ранее использовались крайне редко. Это позволило управлять зна- ниями об угрозах, искать индикаторы компрометации (IoC) в инфраструктуре, а также обновлять правила блокировки на средствах защиты информации. 18 • СПЕЦПРОЕКТ Эволюция SOC: от SOAR к экосистеме технологий ИБ ольше десяти лет назад, когда тематика построения центров мониторинга и реагирования на инциденты (SOC) только выходила на подиумы ИБ-конференций, все обсуждали базовые компоненты, которые нужны среднестатистическому специалисту по ИБ для решения своих операционных задач. К таким компонентам относились мониторинг периметра и хостов, сбор всех событий безопасности, поиск уязвимостей и др. Многие из них уже были на стадии эксплуатации, а объем ежедневной работы ИБ-отдела увеличивался, дополняясь новым количеством внедряемых технологий. Б Игорь Сметанев, директор по стратегическому развитию R-Vision