Финальная сессия первого дня SOC-Форума была посвящена технологиям реагирования и визуализации, применяемым в работе центров мониторинга.
Анна Олейникова, директор по продуктам Security Vision, рассказала о возможностях и нюансах использования аналитики угроз TI (Threat Intelligence) в качестве одного из источников генерации расследования инцидентов. В рамках TI информацию об угрозах и злоумышленниках в киберпространстве можно разделить на несколько уровней данных.
На нижнем уровне представлены технические индикаторы компрометации: IP, хэш, URL, домен, почтовый адрес – они легко находятся в Интернете в публичных источниках, быстро идентифицируются в активах на хостах, но их зачастую не хватает для расследования. Есть также операционные и тактические данные – это данные по различным поведенческим индикаторам, которые показывают вредоносную активность в динамике. Последний уровень данных – стратегический. Всё это формирует контекст конкретного индикатора и дает возможность расследовать конкретный инцидент ИБ в полном масштабе.
«TI сегодня очень модное направление, многие организации заинтересованные в том, чтобы анализировать собственные угрозы, вкладывают в это много денег. Но часто такие задачи решаются без конкретных целей. Нужны рамки. В TI огромное количество информации. Мы можем просто утонуть в ней, если не будем ее каким-то образом ограничивать», – предупредила спикер.
Ведущий секции, заместитель директора департамента консалтинга Innostage Данияр Исхаков, представил доклад «Централизация принятия решений по ИБ, или как перестать отращивать дополнительные глаза и руки у ИБ специалистов». Он рассказал о концепции продукта своего SOC «Единое окно принятия решений», в котором реализована единая платформа принятия всех решений в области ИБ.
Выступающий так объяснил потребность компании в этом продукте: «Весной этого года увеличилось количество кибератак, и спрос клиентов на услуги внешнего SOC начал возрастать. Мы поняли, что с каждым новым проектом процент работы наших аналитиков, выходящей за пределы мониторинга и реагирования, резко увеличился. Оценивать их эффективность стало проблематично, и главное – последующий рост заказов возможен только при линейном росте количества персонала. Мы решили создать межвендорную экосистему, когда мы работаем над процессами, определяем их взаимосвязи – как работа одного процесса может улучшить и дополнить работу следующего процесса. Мы определяем необходимые для нас интеграции и потоки событий и уже, исходя из этого, вырабатываем некую межсистемную шину, которая позволяет сократить количество ручной обработки данных из одной системы и передачу их в другую систему».
Григорий Ревенко, директор центра экспертизы R-Vision, говорил о полезности экосистемного подхода в реагировании на инциденты – в частности, на примере решения R-Vision EVO. Экосистема – это набор технологий или сервисов одной компании, дополняющих друг друга как единый организм. Важно отличать экосистему от набора продуктов. В последнем случае продукты, даже хорошие по отдельности, не знают о существовании друг друга и не пользуются результатами работы. «В экосистеме же все компоненты так или иначе существуют в синергии с остальными, и работа со всеми данными происходит транспарентно, то есть прозрачно и без необходимости дублировать функционал (то есть без функциональных колодцев)», – объяснил он.
Марина Воронина, руководитель группы систем мониторинга департамента проектирования и внедрения компании «Инфосистемы Джет», представила принципы организации Security Data Lake (SDL). Требования, предъявляемые к SDL, – это высокий уровень сжатия при хранении событий, удобный веб-интерфейс для поиска, возможность преобразования событий перед отправкой в SIEM, быстрый поиск по событиям, компонент сбора, нормализации и фильтрации событий. В существующих SDL часто не хватает одинакового набора полей, автоматизированной интеграции и полноценной поддержки фильтров.
«Чем наше интеграционное решение отличается от остальных SDL на рынке? Мы решили, что нужно заложить одинаковый набор полей событий, таких же, какие есть в SIEM, с которым мы интегрируемся. При этом мы разрабатываем парсеры под все типы событий, поставляем это как экспертизу в рамках нашего решения. Мы делаем одинаковую нормализацию событий, но при этом предоставляем расширенный набор полей для всех типов событий. Мы также добавили расширенную автоматизированную конвертацию фильтров SIEM в фильтры SDL. Как результат – можно собирать максимально расширенный аудит», – отметила спикер.
Автоматическое реагирование на основе знаний стало темой выступления Алексея Шанина, директора компании UDV group. «На мой взгляд, фундаментальная проблема мониторинга ИБ состоит в том, что наш мир в целом не совершенен. Мы работаем с некоторым представлением этого мира и должны учитывать все ограничения, которые имеем в модели. В первую очередь, данные не всегда легко получить – например, при анализе сетевого трафика», – поделился он.
Формула эффективного мониторинга и противодействия атакам, таким образом, состоит в сочетании знаний о нарушителях и угрозах со знаниями о защищаемой системе, и в исключении человеческого фактора с помощью автоматизации.
.jpg)