Скачок в сторону зрелости. Мониторинг ИБ: что изменилось за год и куда движется рынок?

Скачок в сторону зрелости. Мониторинг ИБ: что изменилось за год и куда движется рынок?

SOC Live, прошедший в прошлом декабре, задал очень высокую планку для отечественных онлайн-мероприятий. И всё благодаря удачно найденной комбинации докладов и развлекательной части, вовлеченности участников и дискуссий.

В отличие от львиной доли других онлайн-семинаров и конференций, которые проводились за время самоизоляции, и которые без особых потерь можно было просто посмотреть в записи, пропустить прямой эфир SOC Live было бы большой потерей. Но все-таки оставим в стороне хвалебные дифирамбы и попробуем оценить текущее состояние сегмента центров мониторинга ИБ и реагирования на инциденты, взяв за основу предположение, что на форуме выступали лидеры в этой области. Дополнили эту картину около десяти проектов по проектированию и аудиту SOC, в которых мне довелось принимать участие в ушедшем году.

НЕ ВЫРЫВАЯ ВОЛОС ИЗ ГОЛОВЫ

В целом, я бы охарактеризовал отечественный сегмент SOCов как выросший из детских штанишек, когда все спорят о том, какая SIEM лучше. Заказчики уже готовы рассматривать аутсорсинг центров мониторинга, особенно на первых порах обращения к этой теме, когда нет ни ресурсов, ни квалификации, а задачу решать надо. Но со временем, когда растет и понимание стоящих задач, и есть возможность нанять квалифицированные ресурсы, многие возвращаются к модели «сделай сам» («Do-It-Yourself»), но уже на совершенно другом уровне зрелости. Производители и интеграторы перестали продавать SIEMы, сосредоточившись на новых дорогих игрушках – SOAR, TIP, IRP и т.п. Ну а хакеры живут своей жизнью, не оценивая зрелость своей деятельности, а просто зарабатывая деньги, оптимизируя под это свои процессы и инструменты. При этом стоит помнить, что действительно сложных атак, за которыми стоят иностранные государства, сегодня менее 1% (рис. 1), и поэтому задачу построения корпоративного SOC сегодня можно решить за вполне приемлемые деньги, не вырывая из головы волосы от того, что мы не можем противостоять целому государству.

Рисунок 1. Обзор «Что изменилось за год и куда движется рынок?» в трех колонках

ПРО СКУЧНЫХ РЕГУЛЯТОРОВ

Начать краткий обзор мне хотелось бы с регуляторов, которые так и не нашли времени, чтобы сказать что-нибудь полезное. Да, я не ждал, что они поделятся тем, как они сами мониторят свои собственные инфраструктуры (а это было бы очень интересно). Но один регулятор, ФСТЭК, установила требования к аутсорсинговым центрам мониторинга, а также разработала два национальных стандарта – по мониторингу ИБ и по решениям класса SIEM. Поэтому ее позиция была более чем интересна для всех интересующихся этой темой. Особенно в отношении деятельности SOCов в условиях пандемии. Например, можно ли осуществлять деятельность по мониторингу из дома? А как сочетаются требования ФСТЭК по привязке SOC к физическому адресу, указанному в лицензии, с такой модной современной темой как мобильные или виртуальные SOCи? Наконец, очень интересным представляется вопрос о возможности применения облачных SIEM, особенно зарубежных, в деятельности российских SOCов. Формально, это запрещено как требованиями по лицензированию, так и законодательством по безопасности КИИ, однако у нас есть лицензиаты ФСТЭК, которые не чураются использования таких решений.

От второго регулятора хотелось бы увидеть, спустя три года после выхода закона о безопасности КИИ, давно обещанных рекомендаций по реагированию на инциденты, но увы… Выступление представителя НКЦКИ было достаточно скучным. Вроде бы ГосСОПКА и НКЦКИ существуют уже не первый год, но доклады по-прежнему строятся вокруг «присылайте данные по инцидентам в НКЦКИ и мы обработаем их в нашей TIP». Неужели нет ничего более интересного, что НКЦКИ мог бы рассказать для специалистов? Как работает TIP? Какой жизненный цикл и workflow по получаемым и обрабатываемым данным? Каково распределение по типам инцидентов за время, прошедшее с прошлого SOC Forum? Статистика должна была накопиться уже достойная, и она явно не секретная, чтобы ее утаивать...

Но если не хочется делиться практикой, расскажите про нормативку. Почему на методических рекомендациях по реагированию на инциденты висит "гриф"? Как решать вопрос с передачей данных об инцидентах дочкам иностранных компаний (эта тема уже несколько лет "висит" и НКЦКИ обещал ответить на нее еще в позапрошлом году)? Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ? Да много каких вопросов накопилось к регулятору именно в контексте реагирования на инциденты. Но нет... Жаль...

ПРО АУТСОРСИНГ

Вернемся, однако, к форуму SOC Live. Большую долю докладов составляли рассказы со стороны представителей аутсорсинговых центров мониторинга. Этим отличался этот форум от всех предыдущих, на которых превалировали доклады тех, кто строил SOC для себя. С одной стороны, это говорит о постепенном развитии этого сегмента, когда процессы уже частично выстроены и можно начать предлагать их внешней аудитории, не стесняясь брать за это деньги. А с другой, есть и ряд нюансов, которые должны быть учтены при использовании этой модели. Да, аутсорсинг модель полезная и интересная. И особенно там, где хочется фокусироваться на основных компетенциях, а все непрофильное отдать вовне и уйти от капитальных затрат в сторону операционных. Но есть у этой модели (помимо всего прочего) и такой отрицательный момент, как отсутствие роста внутренних компетенций сотрудников и потеря производительности.

Поэтому, когда в штате есть квалифицированные сотрудники и не хочется терять их квалификацию в связи с переходом в аутсорсинговый SOC, можно посмотреть на альтернативные варианты решения задачи мониторинга ИБ, которых существует несколько. Разумеется, все они применимы в том случае, когда у нас есть персонал, но нет возможности и ресурсов для покупки и развертывания технических платформ SOC, в ядро которых входит система сбора, анализа и корреляции событий (SIEM), платформа автоматизации реагирования на инциденты (SOAR или IRP), платформа анализа угроз (TIP) и платформа для коммуникаций и обмена знаниями. Вот их-то и можно попробовать зааутсорсить, оставив у себя все компетенции и не попадая в полную зависимость от партнера.

Возможных альтернатив построения SOC, а точнее его технологического ядра, я бы назвал еще две, которые встречаются в тех случаях, когда у заказчика есть инструменты, но нет людей, и наоборот, есть люди, но нет инструментов для мониторинга. В этих вариантах можно использовать варианты Managed SIEM (кто-то управляет вашим, когда-то купленным SIEM) и облачные SIEM или SOC-платформа соответственно (рис. 2). Первый из них в России не представлен (хотя на Западе популярен), а вот второй вполне доступен. И хотя большинство игроков облачных SIEM/SOC-платформ тоже зарубежные, в России представлено, как минимум, два из них – Cisco и Microsoft.

Рисунок 2. Варианты альтернатив построения SOC

КУДА НЕ СПЕШАТ АУТСОРСЕРЫ?

На форуме я заметил и еще одну, не очень хорошую тенденцию. Аутсорсеры не всегда желают делиться своим опытом. Они готовы рассказывать о том, почему заказчики обращаются к теме SOC и какие ошибки последние допускают, в расследовании каких серьезных инцидентах они участвовали, какие лицензии у них есть и как они их получали и т.п. Но вот поделиться более приземленной, но гораздо более интересной именно для практического использования информацией об индикаторах компрометации, об извлеченных уроках, об используемых инструментах и т.п., почему-то аутсорсеры не спешат.

Но, конечно, есть и исключения. Например, такой процесс как гитхабизация ИБ дошел и до России, и отечественные специалисты стали участвовать на общественных началах не только в подготовке и экспертизе нормативных актов регуляторов, но и в обмене опытом и разработке практических рекомендаций по мониторингу и реагированию на инциденты. Например, в рамках международной инициативы OSCD (Open Security Collaborative Development) существует ряд проектов, в которых участвуют российские специалисты, а именно в совместной разработке правил Sigma для обнаружения угроз, которые можно использовать в рамках тестов Atomic Red Team, обнаружения инцидентов в The Hive и Cortex, в сценариях RE&CT и т.п. 

АНАЛИТИКИ ТОЖЕ УСТАЮТ

Другим интересным изменением стало обращение к теме усталости аналитиков SOC. Я в свое время на SOC Forum делал доклад о психофизиологических особенностях работы аналитиков центров мониторинга ИБ, о психологической слепоте, о пропусках из-за этого атак, и о том, как решить эту задачу. На SOC Live эту тему, которая становится заглавной и на международных конференциях по SOCам, также не обошли вниманием, что говорит о том, что время, когда SOCостроители фокусировались только на технических вопросах построения центров мониторинга постепенно проходят и они уже задумываются о том, как сделать свою работу эффективнее.

ПРО ОЦЕНКУ ЭФФЕКТИВНОСТИ SOC

К этому же направлению можно отнести и тему проверки способности SOC выполнять свои задачи. Да, до нормальной оценки эффективности и применения метрик ИБ дело еще не дошло, но качественная оценка того, насколько эффективен SOC и его аналитики, уже начинает проводиться более активно, чем раньше. В первую очередь речь идет о киберучениях, которые позволяют выявить слабые места как в процессе обнаружения инцидентов и реагирования на них, так и в коммуникациях между различными специалистами и командами SOC.

Вообще, я бы сказал, что 2020-й год прошел под знаком киберучений и киберполигонов, которые устраивали и проводили многие компании. Думаю, эта тема продолжится и в 2021-м году и первым крупным мероприятием, где будут проведено сразу несколько разноплановых и разноформатных киберучений по ИБ, станет форум «Кибербезопасность – Наши дни», который пройдет под Магнитогорском во второй половине февраля.

ПРИЯТНО ВСПОМНИТЬ, ПОЛЕЗНО СРАВНИТЬ

Прошлогодний SOC Live коренным образом отличался от того, что происходило на первом SOC Forum в 2015-м году. Тогда я даже написал, что это был не SOC Forum, а SIEM Forum или даже Arcsight Forum, так как очень уж много говорилось о конкретных технических решениях. Сегодня SOC Forum стал гораздо более зрелым в этом вопросе, позволяя всем специалистам найти для себя что-то интересное (рис. 3).

Рисунок 3. Эволюция сегмента SOC за пять лет

И те, кто только начинает задумываться о своем SOC, и те, кто уже работает в этой сфере не один год, и заказчики, и поставщики услуг… Все уходят с форума с новыми идеями и знаниями, которые и являются залогом развития сегмента центров мониторинга ИБ и реагирования на инциденты, которые за последние пять лет сделал качественный скачок и стал более зрелым.