BIS Journal №2(37)/2020

28 мая, 2020

Эффективный SOC – это сложно. Но недорого

Тинькофф — первый и единственный в России полностью онлайн-банк и финансовая экосистема, обслуживающая свыше 11 миллионов клиентов дистанционно через онлайн-каналы и контакт-центр. Структура экосистемы накладывает высокие требования к уровню информационной безопасности как внутренних ИТ-систем, так и финансовых продуктов, сервисов. В этом контексте ключевые приоритеты для Тинькофф – стабильное бесперебойное функционирование операционных процессов и защита от широкого спектра киберугроз, несущих потенциальные риски для ежедневной работы банка.

На прошедшем в феврале XII Уральском форуме Дмитрий Гадарь и Игорь Кубышко рассказали об уникальном опыте и эффективной работе центра оперативного управления информационной безопасностью Тинькофф. Публикуем их выступление в кратком изложении.

 

КОМПОНЕНТЫ SOC

Большинство Security Operations Center строится сегодня из одинаковых компонентов: системы безопасности, источники событий, SIEM, SOAR. К первым можно смело отнести антивирусы, системы обнаружения вторжений и прочие, источниками же информации могут быть операционные системы, серверы, рабочие станции, прикладные системы.

SIEM (Security Information and Event Management) — система, предназначенная для анализа информации, поступающей от различных других систем, таких как DLP, IDS, антивирусов, различных железок и дальнейшего выявления отклонения от норм по заданным критериям. При выявлении отклонения генерируется инцидент.

 

SIEM включает:

  • транспортировку и нормализацию поступающих данных: в общую архитектуру могут входить коллекторы, коннекторы и дополнительные брокеры данных;
  • хранение и визуализацию данных;
  • правила корреляции, обогащения и алертинг: это правила SIEM, которые позволяют оповещать об атаках, изменениях показателей защищенности инфраструктуры и внутренних процессах в компании, отправлять оповещения в e-mail, мессенджер, тикет системы.

SIEM для эффективного и быстрого реагирования на инциденты не всегда важен, без него можно обойтись, например, заменив обычной системой log management. Важно правильно выстроить процессы, подобрать персонал, который сможет заниматься инцидентами информационной безопасности и быть основой для SOC. То есть SOC возможен без SIEM.

Один из процессов, без которого не может обойтись ни один SOC – Incident response.

Это реагирование на инциденты информационной безопасности, выстраивание правильных процессов и автоматизация реагирования. Есть индикаторы компрометации, по которым мы ищем аномалии в поведении. Среди индикаторов компрометации – IP, домены, хеши файлов, размеры файлов. Здесь есть два подхода: первый — поиск чего-то известного, злодейского в поведении; второй — профилирование поведения системы, пользователя и поиск отклонений от профиля. При этом считаются любые отклонения и выстраивается реагирование на них. Но второй вариант применим лишь для некоторых систем. Ярким примером являются банкоматы, поведение которых хорошо профилируется и любое отклонение от штатного поведения можно считать инцидентом.

Следующий компонент — MISP (Malware Information Sharing Platform) — это платформа для сбора, агрегации, актуализации базы IoC. Система позволяет удобно хранить данные, полученные с помощью поиска информации об атаках и IoC, как из открытых источников – Twitter, Allien Vault, Telegram каналов, так и платных источников.

Playbooks — это не просто бумажка, а техническое описание управляемых процессов. Часть из них может быть автоматизирована. При этом важно поддерживать их в актуальном состоянии: избавляться от старых, создавать новые, релевантные тем угрозам, которые существуют у организации.

Немного отдельно стоят аддоны: threat hunting, machine learning, antifraud, которые хорошо коррелируют со всеми частями SOC.

Threat hunting позволяет осуществлять активный поиск угроз. Здесь могут применяться индикаторы, техники и тактики поведения злоумышленников.

Совместно с ИБ-компаниями Тинькофф проводил «пентест наизнанку»: искали признаки того, что в данный момент банк находится под атакой.  Если бы атака обнаружилась, банк оплатил бы работу.

Так, если рассматривать, что среднее время атаки составляет три месяца, то такая аналитика раз в квартал с большой вероятностью поможет выявить злоумышленника ещё до того, как он нанёс ущерб компании.

Машинное обучение в будущем может заменить безопасность, поскольку ищет как раз отклонения от нормального поведения.

Очень важно при планировании своей архитектуры и в целом информационной безопасности опираться на цели, ради которых вы это делаете, и основываться на тех потребностях, которые есть у вашей организации, конкретно с вашими рисками в той области угроз, в которой вы находитесь.

 

SOC – ГЛАЗА ВСЕЙ БЕЗОПАСНОСТИ

Тинькофф использует как внешний, так и внутренний SOC. Базовые сервисы и всё, что профилируется, стандартизируется, отдано под внешний SOC, а специфические темы или темы, которые вряд ли нужны всему рынку, делаются самостоятельно.

Ключевую роль при построении ИБ в Тинькофф играет персонал, который может поддерживать систему и решать бизнес-задачи. На второй уровень выходят процессы, а уже потом возникают технологии.

При работе с инцидентами есть определённый план действий. На первом этапе Incident Response стоит подготовка к инциденту: различные комплаенс контроли, настройка средств защиты, в том числе написание плейбуков. Далее начинается работа SOC — обнаружение злоумышленников.

SOC не всегда может обнаружить аномалии, потому что информация может прийти и со стороны: от клиентов или сотрудников. После обнаружения необходимо сдержать злоумышленников. И тут опять нужен выработанный план действий в случае обнаружения какой-либо угрозы в инфраструктуре. С помощью внутренней команды Red Team проводятся учения и проверяются актуальность и работоспособность playbook и правил корреляции.

Последний этап – это выводы: где они хорошо сработали, а где плохо, как в дальнейшем сделать так, чтобы атака не повторилась, какие контроли сработали эффективно, а какие нет. После прохождения всех этапов по реагированию процесс повторяется.

 

ОБЗОР

Threat Intelligence. Регулярный и системный сбор информации об угрозах, её улучшение и обогащение, применение этих знаний для защиты, а также возможность делиться ими с теми, кому они могут быть полезны, а также анализ вредоносного ПО собственными силами. Например, Тинькофф регулярно делится с доверенными компаниями информацией об индикаторах компрометации.

Технологии: Open source. В банке есть компетенции, позволяющие дорабатывать тот или иной open source под свои задачи. Политика в данном вопросе такова: мы своими силами оперативно стараемся найти решение, а не покупать его или запрашивать на стороне. Зачем? Для достижения цели наименьшими усилиями. Далеко не все решения, которые предоставлены на рынке, могут оперативно покрыть внутренние специфические задачи, а предлагаемые решения могут содержать не актуальный для наших условий функционал.

Архитектура: Системы безопасности. Используются стандартные антивирусные решения, EDR, различные песочницы и.т.д. Однако в последнее время EDR в плане детектирования злоумышленника выходит на высший уровень. К классическим средствам также добавлены расширенный мониторинг, TI (OSINT), red teaming, интегрированый в оценку реальных рисков, расширенное журналирование и реагирование…

Аналитика. Для аналитика SOC быстро собрать какие-то аномалии внутри той или иной машины, того или иного сервера, EDR решение — это прекрасная вещь. В этот момент даже не нужен SIEM. EDR позволяет не только заблокировать активность, но и предоставить ход заражения (Timeline) сервера или рабочей станции для анализа и эффективного реагирования.

Стандартизация правил. Аналитика берётся извне, например, из сигма-правил, в простом формате эти правила можно транслировать как в Arcsight, так и на стек ELK или другую SIEM систему.

Песочницы. В Тинькофф эшелонная защита из решений нескольких вендоров. Ежегодно пересматривается эффективность каждого эшелона по отношению к актуальным угрозам на рынке.

Отправка и нормализация данных. В этом вопросе тоже классический подход — использование коллекторов. Банк собирает события средств защиты и кладёт на хранение в брокер Kafka, который позволяет 12 часов хранить большой поток данных, не боясь их потерять.

Хранение данных и визуализация. Здесь за основные системы используют Elastic и Arcsight. Дальше уже внутренняя разработка. обвязки, которая позволяет оптимизировать проблематику эластики. Также они используются другие различные системы визуализации. 

Оркестрация и автоматизация управления инцидентами. Тинькофф использует open source, который в большей части переделан под собственные задачи и специфику внутренних процессов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.10.2022
Минцифры предложило ввести персональную ответственность за утечки ПДн
06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных