Берите крылышко! SOC под предводительством ИИ
Небольшой дисклеймер: это не научная статья, и тем, у кого уже есть SOC, многое из сказанного покажется очевидным. Для тех, кто только задумывается, а целиться ли в ту сторону вообще, сначала поговорим о том, зачем в принципе нужен SOC и уже потом – что из его функций есть смысл брать сразу с added value в лице технологий искусственного интеллекта.
Далеко не всем нужна ИБ как стратегическая функция, далеко не у всех есть риски, которые нужно парировать с помощью сложносочинённого набора дорогих и непростых в использовании инструментов. Кому-то достаточно антивируса и межсетевого экрана, кто-то только-только подошёл к установке SIEM. Это всё хорошо и правильно. Хотя – не хочется пугать, но тем, кто в ИБ давно, уже очевидно: ИБ-угрозы, актуальные раньше только для крупных организаций, всёчаще рикошетом бьют по братьям их меньшим. Атаки на цепочки поставщиков ПО (например, когда вредоносный код внедряется в программное обеспечение в процессе его разработки или обновления), фишинг, шифровальщики – со всеми ними всё чаще сталкиваются компании среднего и даже малого бизнеса.
Шифровальщики – это вообще бич последних лет: волна возникла в США, затем перекинулась в Старый Свет и затем дошла до России. Информации об этих атаках сравнительно немного, но все мы понимаем почему: словить шифровальщик — это, простите, как подхватить неприличную болезнь. Занимаемся до упора втихаря самолечением, и только когда ситуация начинает печально напоминать народный фольклор, идём сдаваться врачам. И то страшно: а вдруг узнают.
Собственно, это и ответ на вопрос, зачем нужен SOC. Если для вас репутация – актив, если нарушение непрерывности процессов – это ЧП, которое не должно происходить ни при каких условиях, если вы развиваетесь и растёте и если вам нужен свой домашний доктор, который в случае чего справится самостоятельно, стадия «принятие» (рис. 1) наступит неизбежно.
Рисунок 1. Пять стадий проекта. Стадия «принятия» наступит неизбежно.
И здесь большой вопрос – когда вы будете искать этого доктора? Как и с любым персоналом, здесь два варианта: когда уже рвануло (хватаем первого вроде подходящего втридорога) или заранее, воспитывая и выращивая его под себя за те же деньги, но растянуто по времени, планируемо и попутно нагружая его дополнительными функциями. Как мы уже сказали, SOC включает в себя процессы от мониторинга до парирования усложняющихся угроз, а также обучение, пентест, проверки соответствия и т. д. То есть ключевая характеристика инструментов, входящих в набор SOC, — способность к оперативной адаптации и обучению. Виды средств защиты информации (СЗИ), которыми он комплектуется, в каждом конкретном случае зависят от отраслевого профиля и размера организации, однако все они решают одни и те же задачи (рис. 2).
Рисунок 2. Виды средств защиты информации (СЗИ) в каждом конкретном случае зависят от отраслевого профиля и размера организации, однако все они решают одни и те же задачи.
Как мы видим, набор вполне себе взрослый, и не сказать, что простая функциональность – особенно если нужно подступиться к его внедрению единомоментно, когда уже «рвануло».
Кстати, про «никогда не было, и вот опять». SOC отлично себя проявили в пандемию. Поскольку в предыдущие годы под чутким руководством регуляторов вырос уровень информационной безопасности организаций, представляющих наибольший интерес для киберпреступников (КИИ, финсектор), — в ответ повысился и уровень сложности атак. В дополнение к этому в результате перехода организаций на гибридный режим работы и как минимум удвоения подключённых к их ИТ-инфраструктуре пользовательских устройств, нагрузка на ИБ возросла, и лучше всех подготовленными к этому оказались наиболее технически оборудованные организации. Их SOC приобрели опыт, как практический, так и в части комплаенс, обеспечения соответствия стандартам и требованиям регуляторов. Приятный бонус.
И да — ИИ уже является неотъемлемой частью наиболее современных центров реагирования. Конечно, очень не хотелось всё так усложнять, но парировать современные киберугрозы просто невозможно без использования в их узловых системах (SIEM и SOAR) алгоритмов выявления генерации вредоносных доменов, анализа аномалий, поведенческой аналитики пользователей и защиты конечных точек от сложных угроз. Это не мы начали, честно.
ИНЬ И ЯНЬ. РИСКИ
Принципиальный момент: ИИ можно разделить на две основные категории — консультирующий», функция которого – агрегировать, анализировать информацию и резюмировать выводы, которые используются человеком для принятия решений, и принимающий их самостоятельно. Самостоятельные системы сами выявляют, анализируют и главное – реагируют на угрозы, консультирующие – поставляют аналитикам информацию для грамотного принятия решений по реагированию.
Системы, принимающие решения, в безопасности сейчас практически не используются. Во-первых, не разработан хороший механизм защиты целостности данных. Иными словами, если система самообучаемая, то есть риск того, что лица, заинтересованные в искажении объективных результатов их работы, будут намеренно их дезинформировать. Во-вторых, совершенно не урегулированы вопросы юридической и финансовой ответственности за принятые ИИ решения. В-третьих, злоумышленники используют те же технологии, что и безопасники. Они крайне редко ведут собственные фундаментальные разработки, предпочитая не изобретать нужную технологию, а украсть её или купить. Представьте себе полностью автоматизированный SOC с ИИ, который борется с атакующим ИИ от киберпреступников. Победит более технологичный (и не связанный законом и правилами регуляторов). Так что мы бы пока доверяли решениям, включающим человеческий фактор – в данном случае он будет позитивным элементом. При этом, конечно, необходимо помнить, что человеческий фактор подвержен своим ошибкам.
ЗАЧЕМ? А ЗАТЕМ!
Лучше всего ИИ справляется с анализом массивов данных и прогнозированием комплексных рисков. Отсюда делаем вывод, кому это нужно.
ИИ жизненно необходим SOCам холдинговых структур и компаний с распределённой филиальной сетью, а также экосистем. Если на головные структуры, как правило, в силу их значимости, распространяются законодательство о КИИ и требования ЦБ РФ, то в нижестоящих организациях уровень защиты информации на порядок ниже. Однако мы все помним, что киберустойчивость этих самых нижестоящих напрямую влияет на устойчивость системы в целом: филиал или поставщик услуг может являться источником такого же риска, как крупные партнёры.
Соответственно, объём данных будет таким, что «вручную» или полуавтоматически их обрабатывать будет экономически невыгодно, и как раз здесь ИИ может найти своё применение: в системах предиктивной аналитики, поведенческой аналитики, для анализа отклонений транзакционного потока. Модели, основанные на ИИ, качественнее определяют подозрительное поведение, чем статические правила, при этом их использование повышает скорость реагирования на инциденты и снижает нагрузку на человеческих аналитиков.
Искусственный интеллект может применяться также для прогнозирования и реагирования на функциональные сбои, то есть для обеспечения бесперебойного функционирования и операционной надёжности информационных систем и производственных процессов. Исторический анализ функционирования событий и выявление закономерностей позволит с высокой вероятностью сказать, что в точке, характеризуемой соблюдением определённых условий, будет сбой. Соответственно, чем раньше система заметит отклонения, ведущие к схождению условий в одной точке, тем проще вовремя среагировать и предотвратить инцидент. Целевые интересанты этой функции – банки, медицинские организации, фармацевтические компании, атомная промышленность и любое другое производство, для которого остановка смерти подобна.
ИМПОРТОЗАМЕЩЕНИЕ
SOC — это не просто несколько систем и пара инструкций. SOC — это большая структура, обладающая широким набором настроенных решений, полноценно оркестрируемыми процессами и слаженной профессиональной командой. Это выстраивается годами. И если для выполнения требований 187-ФЗ ядро SOCа — SIEM/SOAR/TIP и другие системы придётся менять, эта замена должна будет пройти плавно, не повлияв негативно на уровень защищённости. Такой процесс будет сопряжён с выбором и внедрением новых систем, изменением процессов, переучиванием команды, что занимает далеко не 1–2 месяца. И стоит как самолёт. Поэтому — не корысти ради, но, на наш взгляд, очевидно, что если вы только подходите к созданию SOC, то лучше сразу выбирать российские решения с ИИ (если они не находятся под санкциями). Берите крылышко.
.jpg)
.jpg)
(1).png)