Недавні дослідження показують, що більше половини всіх існуючих центрів реагування на інциденти кібербезпеки, на думку їх власників, неефективні. Організаціям не вистачає досвіду для того, щоб правильно побудувати SOC або проаналізувати поточні надбання і внести корективи відповідно до цілей.
MITRE розробила практичний посібник з 11 стратегій, який являє собою стратегічну раму побудови SOC та стане у нагоді як досвідченим операторам для аналізу діяльності та структуризації знань, так і всім, хто тільки замислився про створення центру кібербезпеки, як роадмап для його правильної реалізації.
MITRE дає зріз як по типових технологіях SOC, політиках та процедурах, так і по питаннях загальної організації, управління персоналом тощо.
Тут ми лише надамо загальні висновки з 11 стратегій але дуже рекомендуємо (особливо якщо ви будуєте або плануєте побудувати SOC) прочитати повну версію документа.
Стратегія 1: Зрозумійте що ви захищаєте та навіщо.
Функція кібербезпеки існує для того, щоб підтримувати місію організації. Саме вона визначає відповідь на питання “Що ми маємо захищати”. В свою чергу з аналізу внутрішнього (технічні засобі та користувачі) та зовнішнього (загрози) середовища спливає відповідь на питання “Що ми маємо робити, щоб цей захист забезпечити”.
Перше питання, яке ми в Octava Defence задаємо замовникові – які активи потрібно захищати? А перший документ, який стає результатам співпраці описує найбільш критичні сервіси та сервіси, які мають вихід в мережу Інтернет.
Стратегія 2: Дайте команді SOC можливість виконувати свою роботу.
Для цього потрібні: формальне закріплення повноважень та визначення субординації, які підтримуються політиками та інформуванням на всіх рівнях організації.
З досвіду Octava Defence добре зарекомендував себе підхід, при якому стратегічне управління напрямами кібербезпеки та ІТ централізовано, а операційне – розділяється за зонами відповідальності. Для роботи в SOC важливо мати виділених спеціалістів. Не варто намагатися доповнити функціонал системного адміністратора задачами кібераналітика. Компроміс, при якому моніторинг виконуватиметься за залишковим принципом (маю час – дивлюся на показники, не маю – не дивлюся), може зіграти з вами злую шутку, адже кіберзлочинці не обмежені в часі.
Стратегія 3: Створіть структуру SOC відповідно до ваших організаційних потреб.
Найголовніше на що звертає увагу MITRE – структура SOC багато в чому залежить від розміру організації, якою він опікується. При цьому, навіть, якщо це малий бізнес, який не має центру кібербезпеки як виділеної організаційної одиниці, компанія мусить сама для себе дати відповідь на питання хто зовні може виконати цю функції в разі настання небезпеки або як ця функція розподілена всередині організації. Організаційна структура також має відображати ваші вимоги до режиму роботу SOC: 8*5, 24*7 тощо.
В будь-якому випадку залучення оператора послуг SOC дозволяє значно скоротити витрати на формування та утримання команди завдяки аутсорсингу.
Стратегія 4: Опікуйтесь професіоналізмом команди SOC.
Подбайте про те, щоб навички та досвід кібераналітиків відповідали масштабам та критичності ваших задач. Якість кадрів має вирішальне значення для якості реалізації функції. Без людей, здатних працювати зі складними технологіями та інтерпретувати дані, технічні засоби захисту будуть “чемоданом без ручки”, а інвестиції в них “чорною прірвою”.
З огляду на брак кваліфікованого персоналу, організуйте процес розвитку на робочому місці.
Стратегія 5: Пріоритезуйте питання реагування на інциденти.
Найчастіше саме швидкість та якість реагування – є ключовими показниками ефективності SOC.
Щоб забезпечити їх належний рівень:
1. Визначте пріоритетність та категорії інцидентів, кроки реагування та шляхи ескалації, кодифікувавши їх у стандартні операційні процедури та плейбуки.
2. Розподіліть ресурси для реагування.
3. Надайте команді достатньо повноважень, щоб забезпечити відповідність очікуванням, таким як послідовність, своєчасність і усунення аналітичної упередженості, а також свободу діяти на основі своєї інтуїції та досвіду.
Стратегія 6: Будьте проактивними завдяки Threat Intelligence
Аналіз супротивника потрібен, щоб мати можливість передбачувати його дії, прогнозувати вірогідність настання події, шляхи реалізації та, врешті решт, планувати захист.
MITRE рекомендує використовувати їх довідник ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), який описує та класифікує поведінку зловмисників на основі реальних спостережень.
При цьому в організації наголошують, що процес Threat Intelligence має бути адаптований до потреб конкретної організації на основі аналізу взаємозв’язку між інформацією про дії противника, релевантністю цих даних для організації, можливостями технічного середовища замовника.
В проєктах Octava Defence ми бачимо, що ефективний процес Thread Intelligence неможливо створити за умов відсутності достовірних даних для аналізу зі специфічних технологій (наприклад, систем класу EDR), та навичок їхньої інтерпретації. У разі використання послуг оператора SOC, Threat Intelligence може надаватися як додаткова послуга. При цьому, ваша інфраструктура збагатиться специфічними технічними рішеннями, а система кібербезпеки – отримує необхідну додаткову інформацію, яка значно підвищить якість захисту.
Стратегія 7: Обирайте та збирайте правильні (Right) дані.
SOC має збирати дані звідусюди, наприклад з локальних центрів обробки даних, хмарного середовища, мобільної інфраструктури або IoT-пристроїв. Проте потрібно знайти компроміс між занадто малою кількістю даних (а, отже, відсутністю відповідної інформації) і занадто великою кількістю даних (коли інструменти та аналітики перевантажуються).
Для цього обирайте для збору дані, враховуючи їх цінність. Наприклад, дані та інструменти з кінцевих точок зазвичай вважаються більш інформативними та забезпечують більшу ясність, ніж дані мережевого трафіку.
В практиці Octava Defence ми класифікуємо дані відповідно їх критичності та до етапів (1) забезпечення спостережуваності та (2) розслідування та реагування.
Перший тип даних характеризується достатністю для виявлення інцидентів, тобто для формування контролів та детектування відхилень (сповіщення та інциденти). Другий – для проведення розслідування та реагування.
Зрозуміло, що для проведення розслідування потрібна додаткова інформація, яка черпається з додаткових джерел, що має бути врахованим при проєктуванні технологічного ландшафту SOC.
Ми в Octava Defence розділяємо технології за 4 рівнями:
З технологічною моделлю SOC Octava Defence можна ознайомитися тут.
Стратегія 8: Використовуйте засоби автоматизації для підтримки процесів.
Кожен SOC використовує свій набір технологій для підсилення роботи аналітиків. Автоматизація надає багато переваг але, як і усі інструменти, має особливості впровадження та використання.
Про наш досвід автоматизації процесів за допомогою системи класу SOAR, який дозволяє нам опрацьовувати 5000+ сповіщень на день, можна познайомитися тут.
Стратегія 9: Комунікуйте, співпрацюйте, ділиться досвідом.
В MITRE наголошують на необхідності побудови взаємодії з різними колами впливу: між персоналом в рамках самого SOC, всередині організації в цілому, а також з ширшою кіберспільнотою. Чим більше компанія, тим ширшим має бути взаємодія для розуміння загального контексту, обміну досвідом та можливості робити внесок у екосистему кібербезпеки взагалі.
Для збільшення ефективності співпраці всередині команди SOC та із замовниками, ми в Octava Defence використовуємо проєктний підхід, організаційні заходи, такі як регулярні онлайн-зустрічі, а також звітність, побудовану за показниками SLA. Регулярність форматів дозволяє забезпечити необхідну взаємодію, адаптацію до підходів замовника та, врешті решт, ефективність надання послуг.
Стратегія 10: Аналізуйте та покращуйте ефективність роботи.
Визначте якісні та кількісні показники, щоб мати можливість аналізувати, що працює добре, а що потрібно покращити.
Пов’яжіть показники SOC з бізнес-цілями та побудуйте прозору систему, репрезентація якої дає уявлення про вплив даних SOC на бізнес через прийняття рішень.
MITRE рекомендує будувати культуру прозорості та сформувати три групи показників:
Процес співпраці Octava Defence із замовниками починається з погодження переліку ключових показників оцінки якості роботи. В подальшому ці показники моніторяться в межах процесу аналізу якості послуг та надаються на регулярній основі в звітах.
Стратегія 11: Безперервно розширюйте функціональність SOC
Досягнення високої якості та швидкості реагування на інциденти не має стати для вас ознакою того, що можна спочивати на лаврах. Кіберзловмисники розвиваються, технології змінюються, а ви маєте йти в ногу з цими змінами.
Зосередьте увагу на тому, щоб побудувати проактивну систему, яка дозволяє виявляти та захищатися від досвідчених зловмисників. Наприклад, за допомогою інструментів threat hunting та threat deception. Перевіряйте вашу здатність виявляти супротивника за допомогою симуляцій та вправ.
Складність полягає в тому, що технології розвиваються постійно, а традиційний інтеграторський підхід впровадження не дає замовникові розкрити їх потенціал повною мірою (докладніше про це ми писали тут). Саме тому Octava Defence пропонує нашим замовникам операційний підхід з підтримкою та постійним вдосконаленням, адже кібербезпека – це процес.
Висновки зі звіту MITRE
Захист сучасного цифрового підприємства від складних кіберзагроз вимагає стратегії, своєчасного аналізу, інформування та цілодобової пильності. Важливо розуміти, що будь-яка організація не має залишатися сам на сам з цією задачею. Співпраця для захисту має вирішальне значення як на рівні забезпечення національної безпеки або захисту критичної інфраструктури, так і для підтримки стабільності бізнесу.
Ми в Octava Defence працюємо над тим, щоб озброїти замовників сучасними рішеннями за допомогою керованих послуг на базі нашого Security Operations Center. Без значних капітальних витрат ви отримуєте набір технологій захисту, доступ до досвідчених кібераналітиків та процеси, необхідні для їхньої роботи.
Отримайте переваги постійного моніторингу, розслідування та оперативного реагування на кіберзагрози – спробуйте Security Operations Center як послугу.