Журнал "Information Security/ Информационная безопасность" #6, 2024

Взаимодействие SOC и NGFW – это замкнутый цикл, где каждое событие и каждая угроза становятся частью адаптивной системы, способной учиться на про- исходящем и постоянно совершенствовать методы защиты. Избыточное логирование порождает огромные масси- вы данных, которые создают повышенную нагрузку на NGFW и серверы, замедляя их работу и снижая общую производительность. NGFW – логи – SOC Работа SOC основы- вается на данных логов, которые, по сути, служат главным источником информации о происходящем в инфраструктуре. Без них система теряет возможность отслеживать активность. В этом контексте NGFW – один из основных генераторов логов, фиксирующий подавляющее большинство событий, включая попытки атак и проявления вре- доносной активности. Основываясь на настроенных правилах, NGFW самостоятель- но блокирует известные угрозы и создает подробные записи о своих действиях. Логи об этом поступают в SOC, где тщатель- но исследуются аналитиками и проходят корреляцию с собы- тиями, зафиксированными дру- гими системами. Результатом становится выявление новых, ранее неизвестных атак. После обнаружения новой угрозы SOC анализирует ее характеристики и формулирует артефакты, которые затем используются для обучения NGFW: они превращаются в сиг- натуры, позволяя NGFW в даль- нейшем распознавать и блоки- ровать аналогичные угрозы автоматически. Такое взаимодействие SOC и NGFW – это замкнутый цикл, где каждое событие и каждая угроза становятся частью адап- тивной системы, способной учиться на происходящем и постоянно совершенствовать методы защиты. Такая синер- гия создает не просто "огнен- ную стену" безопасности, но интеллектуальный барьер, который с каждым новым вызовом становится только прочнее. Эффективная работа SOC и NGFW напрямую зависит от качества логов. Мы в RED Security руководствуемся прин- ципом "нет логов – нет NGFW", который подразумевает опти- мизацию логирования для пре- доставления в SOC необходи- мых данных без излишней перегрузки системы. Дело вот в чем. Оптимизация логирования На первый взгляд может показаться, что чем больше логов собирается, тем эффек- тивнее работает система ана- лиза. Однако реальность куда сложнее. Избыточное логиро- вание порождает огромные массивы данных, которые соз- дают повышенную нагрузку на NGFW и серверы, замедляя их работу и снижая общую про- изводительность. К тому же перенасыщенные каналы пере- дачи данных могут стать узким местом в инфраструктуре, осо- бенно если логи отправляются в текстовом формате Syslog, известном своим внушитель- ным объемом. Решение этой проблемы – оптимизация логирования. Один из эффективных под- ходов – использование ком- пактного формата передачи данных, например Netflow, кото- рый существенно уменьшает объемы трафика. Другой метод – агрегирование одно- типных событий: вместо тысячи отдельных записей система создает одно обобщенное сообщение "зарегистрировано событие типа X, количество случаев – 1000". Этот подход похож на работу файлового архиватора, он позволяет суще- ственно снизить нагрузку на инфраструктуру, сохраняя при этом всю необходимую инфор- мацию для анализа и принятия решений. Но оптимизация логов – лишь часть большого пазла, который нужно собрать для эффектив- ной работы SOC. Проблема унификации Несмотря на то, что боль- шинство систем передают логи в текстовом формате, их струк- тура сильно различается у раз- ных производителей. Напри- мер, поля вроде "исходящий адрес" или "входящий порт" могут называться по-своему в разных решениях и иметь разные типы. Чтобы SOC мог анализировать и сопоставлять эти данные, приходится при- водить их к единому формату. Сложность возрастает, если используются SIEM от разных производителей: у каждой системы свои форматы и под- ходы к написанию правил кор- реляции. Тем не менее, в этой обла- сти заметен прогресс: внед- рение стандартов вроде Stix для машиночитаемых фидов и Taxi для их доставки упро- щает интеграцию данных, делая ее более автоматизи- рованной. Свой вклад в стандартизацию вносят системы IPS и IDS, совместимые с популярными форматами, такими как Snort и Suricata. Для них предостав- ляются огромные готовые биб- лиотеки для работы с угрозами, что упрощает настройку и авто- матизацию защиты. 24 • СПЕЦПРОЕКТ Секреты эффективного взаимодействия NGFW и SOC GFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают. N Андрей Ларшин, руководитель направления NGFW, RED Security