Отвечать за кибербезопасность группы, в которой львиную долю активов составляет ИТ-бизнес, это все равно что получить «прокачанный» персонаж на старте в компьютерной игре: уже решены базовые вопросы и есть все ресурсы для достижения стратегических целей.
В случае с группой «Октава» наличие ключевых систем, сильная команда ИТ-специалистов, отвечающих за поддержку ИТ-инфраструктуры, R&D и инженерная экспертиза, доступная внутри группы, безусловно, сформировали отличный плацдарм для того, чтобы функция кибербезопасности выполнялась качественно.
О том, почему при всем этом возник вопрос повышения киберустойчивости и куда привела Александра Атаманенко, CISO группы «Октава», кривая централизации функции, – в нашем специальном материале.
Полигон для информационных технологий
Крупный бизнес, особенно в конкурентных отраслях, отличается высокой технологической зрелостью. Здесь ИТ обуславливают и текущую стабильную работу, и будущее развитие одновременно, что стимулирует менеджмент внедрять современные решения. Группа «Октава» – не исключение, а в силу исторически сложившейся ИТ-специализации вообще является полигоном для информационных технологий. Это означает, что с точки зрения наличия ключевых технических средств защиты в таких компаниях вопросов, как правило, нет.
«Такое состояние заказчика мы условно называем “слепая” система кибербезопасности. Компания проинвестировала в технические средства защиты. Умеет защитить себя от стандартных угроз. Имеет специалистов по настройке и администрированию ИТ-систем. Но вследствие того, что уведомления о событиях, которые отправляют технические средства защиты, нигде не аккумулируются и не анализируются, истинное состояние дел в инфраструктуре остается неизвестным».
Алексей Севонькин, BDM Octava Defence
В фокусе CISO
Ключевые аспекты, требующие внимания CISO в крупном бизнесе, – это люди и процессы. В моей ситуации необходимость централизации функции, подстегиваемая, с одной стороны, ростом рисков киберугроз, а с другой – рассогласованностью действий отдельных бизнесов в противостоянии им, привела меня к пониманию того, что нужно пересобрать функцию заново.
Конечно, был проведен аудит систем, анализ рисков, разработаны политики, распространяющиеся на группу в целом, но также было принято решение отдать на аутсорсинг задачи мониторинга инфраструктуры, расследования и реагирования. Благо, в структуре группы есть оператор Octava Defence, предоставляющий Security Operations Center в формате управляемой услуги (SOC as a Service).
SOC как услуга
Сама по себе задача мониторинга – достаточно рутинная и относительно низкоквалифицированная задача, которая упрощенно представляет собой постоянный анализ диалоговых окон различных систем на предмет появления негативных событий – уведомлений о событиях в сети, выходящих за рамки нормального процесса функционирования. Далее эти негативные события могут быть квалифицированы либо как инциденты, требующие расследования, либо как ложные срабатывания, требующие тюнинга ИТ-систем или фильтрации такого типа событий.
А вот анализ инцидентов проводят кибераналитики – гуру киберкриминалистики, имеющие специфический опыт работы с ИТ-системами и умеющие распознать атаку в запутанном наборе событий.
«Для многих компаний создание системы уровня SOC (построение специфических процессов, формирование команды кибербезопасности) является непрофильной а, в ряде случаев неоправданно дорогостоящей задачей. Найм и удержание квалифицированного персонала, необходимость глубокого погружения в узкоспециализированные области противодействия киберугрозам и расследования причин их возникновения – лишь некоторые из барьеров, стоящих на пути.
Octava Defence как оператор услуг имеет возможность предлагать наиболее соответствующие уровню зрелости заказчика технологии и решения в виде технологических бандлов, сопровождая их внедрение и дальнейшую эксплуатацию работами инженеров и кибераналитиков надлежащей квалификации. Таким образом, заказчик получает именно тот уровень сервиса, который ему необходим, в том числе исходя из оценки рисков».
Алексей Севонькин, BDM Octava Defence
Казалось бы, в нашем случае, имея необходимые технические средства, которые собирают информацию о состоянии корпоративной сети, и квалифицированных инженеров, можно было все делать своими силами, а не платить ежемесячную абонплату подрядчику.
Однако не все так просто. Отдавая на аутсорсинг задачи мониторинга, расследования и реагирования, я исходил из следующих предпосылок:
Функции ИТ и кибербезопасности не могут реализовываться качественно одной и той же командой.
Никому не приходит в голову объединять в одном лице «инновации» и «финансовый контроль». Так же и здесь. ИТ стремится к тому, чтобы сделать жизнь пользователя проще и удобнее. Кибербезопасность, наоборот, ограничивает пользователя, добиваясь необходимого уровня безопасности на основании требований бизнеса и согласованных политик. Нужно обладать недюжинным уровнем зрелости, чтобы в операционной рутине работы с информационными системами переключать фокус внимания с одного аспекта на другой. Крайне редко можно найти специалиста такого уровня в должности системного администратора.
Проверять нужно всех.
Концепция Zero Trust, о которой многие уже наслышаны, предполагает, что проверять нужно всех, в том числе самих системных администраторов. Реализация риска внутренних действий (умышленных и неумышленных), который и без того относят к одному из важнейших в кибербезопасности, в случае пользователей с правами администратора может иметь катастрофические последствия для бизнеса.
По квалификации и задача.
Что происходит, когда дорогому инженеру ставится задача мониторинга? Правильно, специалист пытается балансировать, выполняя и одну, и вторую задачу последовательно. Это значит, что в отдельные промежутки времени за системами вообще никто не следит. Вытекающие последствия понятны.
Что происходит, когда дорогой инженер должен выполнять задачу кибераналитика? Правильно, инженер – не равно кибераналитик, а значит, нет гарантии, что функция будет выполняться качественно.
Отдать на аутсорсинг дешевле, чем сформировать собственную команду мониторинга и реагирования.
Крупный бизнес вовсе не означает безлимитный ресурс. Как правило, у администраторов в таких компаниях огромный список задач. Как мы помним, с одной стороны, это довольно дорогие специалисты, чью квалификацию не хочется расходовать на мониторинг, а лучше применять для более сложных профильных работ. С другой стороны, увеличение бюджета, создание подразделения по кибербезопасности и организационные затраты на найм, адаптацию, обучение, повышение квалификации, удержание и пр. – также не вариант.
Использование SOC как услуги хорошо тем, что можно быстро получить независимую крутую команду специалистов по кибербезопасности и задействовать их в достаточном для организации объеме.
Как начать использовать SOC в формате управляемой услуги.
Помимо появления функции мониторинга в явном виде (что профессионалы называют достижением наблюдаемости), а также повышения качества расследования и реагирования, для меня было важно объединить информацию от различных систем в рамках единого окна. Обычно с этой целью используют системы класса SIEM.
У меня было несколько вариантов развертывания платформы SIEM. По совокупности факторов, в том числе базируясь на анализе критериев «цена – функциональность», остановились на более функциональной коммерческой платформе.
Специалисты Octava Defence полностью взяли на себя процесс внедрения, и для моей команды все прошло практически незаметно.
Параллельно специалисты Octava Defence выдали нам рекомендованный список контролей, провели консультацию в отношении существующих международных политик и стандартов, помогли разобраться с оценкой рисков и приоритетами.
Далее мы проанализировали существующую инфраструктуру на предмет того, достаточно ли нам имеющихся технических средств защиты, чтобы отслеживать состояние сети и прикрыть уязвимости в соответствии с нашими приоритетами.
«Мы порекомендовали Александру дополнить инфраструктуру двумя решениями. Первое – End Point Detection & Response (EDR). Оно позволяет обеспечить расширенный контроль состояния конечных точек и проводить расследование и реагирование на возможные инциденты. А второе – Cyber Deception, позволяющее реализовать стратегию защиты с использованием технологии ложных целей».
Алексей Севонькин, BDM Octava Defence
На следующем этапе мы занимались оптимизацией контролей, то есть делали анализ сработок, устранение false-positive, выходили на нормальное состояние системы (baseline) и устраняли отклонения в работе ИТ-систем. Таким образом мы обеспечивали правильные входные данные для SIEM-системы, добиваясь минимального количества ложных событий.
А уже через два месяца состоялась первая рабочая итерация: заработал SIEM, а кибераналитики Octava Defence стали отслеживать работу наших систем.
В течение полугода мы периодически собирались для обсуждения промежуточных результатов работы, уточняли детали, подключали дополнительные источники, планировали доработки, прежде чем зафиксировали услугу окончательно.
«Что следует принять во внимание тем CISO, которые рассматривают для себя возможность использования SOC как услуги? В “Октаве Капитал” мы столкнулись с тем (и это не редкость), что, несмотря на высокую заинтересованность руководителя функции, рядовой персонал не был готов к изменениям автоматически. ИТ-специалисты (впрочем, не только они) не любят, когда их контролируют. Изменение восприятия “мы контролируем вас” на “мы помогаем вам и разгружаем вас” заняло достаточно много времени. Мы провели несколько консультаций, объясняя, чем SOC будет полезен лично каждому члену команды, прежде чем проект стартовал».
Алексей Севонькин, BDM Octava Defence
Результат
Помимо реализации тех явных целей, для которых предназначался запуск SOC, а именно:
Я получил очень положительный, а главное – неожиданный эффект в течение первых шести месяцев использования.
Анализ журналов событий, которые теперь стали системно собираться и анализироваться, позволил выявить недоработки в настройках самой ИТ-инфраструктуры.
Например, мы обнаружили в сети ряд событий «Clear text notification» (аутентификация открытым текстом) – передачу паролей внутри корпоративной сети открытым способом. Оказалось, что десятки лет назад в конфигурации сети кто-то прописал пароли открытым текстом. Об этом забыли, частично не знали, потому что менялись люди, а сеть разрасталась. Настройки мы изменили и вовремя предупредили риск доступа к конфигурациям сети, например, через бекап.
Еще один случай связан с развернутой в группе фермой SharePoint. Анализ событий позволил выявить проблемы в настройках одного из серверов, которые провоцировали сбои в авторизации обращений к серверу. В результате снижалась скорость взаимодействия пользователя с порталом. Только благодаря тому, что система кибербезопасности расценивала неуспешные авторизации как попытки взлома, мы идентифицировали проблему и устранили ее причины.
Конечно же, нельзя обойти стороной полученный прямой эффект – значительное повышение киберустойчивости.
Расскажу о двух случаях из вереницы событий, когда нам удавалось на ранней стадии выявить проблему и предупредить ее развитие. Первый – взлом внешнего веб-сайта. Через него преступники попытались проникнуть далее в инфраструктуру. Благодаря ловушкам, расставленным с помощью решений класса Cyber Deception, мы зафиксировали попытку движения в глубь сети. Корректно настроенные контроли платформы SIEM просигнализировали о потенциальной угрозе, а кибераналитики Octava Defence и наши администраторы купировали атаку.
Второй случай – из разряда инсайдерских действий. Сотрудник группы был пойман за тем, что пристально исследовал сеть. Факт был зафиксирован, и с ним состоялся разговор. Человек сумел оправдаться, но попал под наблюдение. К сожалению, как показал дальнейший ход событий, его действия не были случайными или благонамеренными, поэтому после того, как он в следующий раз предпринял попытку изучить профили системных администраторов, нам пришлось с ним расстаться.
Оба случая могли бы остаться незамеченными и перерасти в серьезную проблему, если бы не сотрудники из Octava Defence и сервис SOCaaS.
Что дальше?
Конечно, с учетом стремительного развития киберкриминальной экономики, появления новых угроз мы регулярно пересматриваем контроли на предмет адекватности. Политики кибербезопасности должны динамично изменяться, а периодический пересмотр статуса-кво – стать регулярной практикой.
«Мы рекомендуем всем своим клиентам присмотреться к услугам класса Threat Hunting как к следующему этапу реализации кибербезопасности. В его рамках происходит анализ индикаторов компрометации, более глубокая аналитика текущих угроз, ретроспективный анализ с целью реализации политики упреждающих действий».
Алексей Севонькин, BDM Octava Defence
Чек-лист: запуск SOC как услуги