27 minute read

Александр Подобных

Платформа SICP для отслеживания подозрительных транзакций и обеспечения безопасности блокчейнов

Александр Подобных, независимый эксперт по ИБ в SICP.ueba.su

Advertisement

22

и ю л я 2 0 2 0 г . Г о с у д а р с т в е н н а я Д у м а п р и н я л а в т р е т ь е м ч т е н и и з а к о н “ О ц и ф р о в ы х ф и н а н с о в ы х а к т и в а х ” , н о в ы е п р а в и ла в с т у п я т в с и л у с 1 я н в а р я 2 0 2 1 г . К к о н ц у 2 0 2 0 г . ож и д а е т с я р а с с м о т р е н и е з а к о н а “ О ц и ф р о в о й в а л ю т е ” , в 2 0 1 9 г . б ы л и п р и н я т ы з а к о н “ О ц и ф р о в ы х п р а в а х ” и з а к о н “ О п р и в л еч е н и и и н в е с т и ц и й с и с п о л ь з о в а н и е м и н в е с т и ц и о н н ы х п л а т ф о р м” . Т а к и м о б р а з о м , с н а ч а л а 2 0 2 1 г . в Р о с с и и б у д е т о с у щ е с т в л я т ь с я и д е н т и ф и к а ц и я в л а д е л ь ц е в ц и ф р о в ы х а к т и в о в , в н е д р я т ь с я с к о р и н г т р а н з а к ц и й и р е а л и з о в ыв а т ь с я м о н и т о р и н г к р и п т о в а л ю т н ы х т р а н з а к ц и й .

Сфера криптовалют технически более сложна, чем традиционные финансы, заметно более децентрализована и менее контролируема. Поэтому требуются инструменты, помогающие использованию криптовалют в законном ключе и для законных целей. Уже и классические финансы тяготеют к сфере электронных и цифровых валют, о чем свидетельствуют совсем недавно принятые закон "О национальной платежной системе" и положение Банка России 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Традиционная задача UEBA заключается в своевременном обнаружении целевых атак и инсайдерских угроз. Классические решения UEBA обрабатывают большой объем данных из различных источников, определяют нормальные модели поведения для каждого пользователя и объекта и уведомляют ИБ-специалистов, если замечают отклонения от этих моделей.

Основой платформы можно считать возможность

оценки криптовалютных кошельков и транзакций с помощью динамического скоринга.

Но сфера криптовалют технически более сложна, чем традиционные финансы, заметно более децентрализована и менее контролируема. Поэтому требуются инструменты, помогающие использованию криптовалют в законном ключе и для законных целей.

SICP

Платформа SICP1

уже более двух лет разрабатывается и совершенствуется группой экспертов из различных отраслей –экономической безопасности, информационной безопасности, форензики, финтеха, рисков и аудита. В настоящее время эта работа происходит на базе отдела специальных разработок Технопарка Санкт-Петербурга, созданного для взаимодействия по модели государственно-частного партнерства.

Изначально платформа SICP создавалась как реализация технологии UEBA (User and Entity Behavior Analitics) и основывалась на выявлении киберугроз криптокошелькам с учетом поведения пользователей, устройств, приложений и объектов в информационной системе.

Однако очень быстро проект перерос в разработку собственных методов и методик анализа транзакций и оценки криптовалютных кошельков.

Основой платформы можно считать возможность оценки криптовалютных кошельков и транзакций с помощью динамического скоринга. Всего в системе определены пять уровней риска, от низкого до критического, они соотнесены с CIS Controls 7.1. и визуализируются в SICP подсветкой от зеленого до красного цветов.

Политика безопасности платформы SICP учитывает положительный опыт CIS в сфере управления активами, передовых методов защиты от кибератак и повышения эффективности программы кибербезопасности. Сервисы в составе SICP

На платформе SICP доступны четыре сервиса: СмартЭхо, КриптоСонар, МетаСфера и КриптоЦЕРТ. 1. Сервис СмартЭхо предназначен для оценки рисков криптокошелька или транзакции в блокчейне и позволяет получить сведения об объемах средств в различные временные периоды. Пользовательские отметки являются важной частью сервиса, они учитываются при скоринге наряду с основными факторами риска. 2. Сервис КриптоСонар предназначен для визуального исследования транзакций, а также для отображения анализируемых кошельков и других известных субъектов. 3. Сервис МетаСфера предназначен для анализа пула криптовалютных кошельков по внутренним тегам, включая количество транзакций, объем отправленных и полученных средств в различных валютах. Могут использоваться как общие внутренние теги, так и скрытые, специальные, доступ к которым имеют только исследователи, эксперты или ограниченные рабочие группы.

В сервисе МетаСфера ведутся черные и белые списки, статистика по использованию средств, учитываются вопросы различных юрисдикций, визуализируются профили подозрительных адресов. 4. О сервисе КриптоЦЕРТ (CryptoCERT) расскажем более подробно.

КриптоЦЕРТ

В конце июля 2020 г. командой SICP был анонсирован запуск КриптоЦЕРТ, первого российского коммерческого центра мониторинга криптовалютных транзакций, решающего задачи выявления рисков криптокошельков и реагирования на инциденты в сфере оборота криптовалют. Это первый подобный сервис, работающий в России и странах СНГ. Любой гражданин или организация могут направить в КриптоЦЕРТ сведения о мошенничестве, связанном с криптовалютами, а также о другой угрозе или риске. На общедоступной интерактивной карте отображаются отпрофилированные криптокошельки в разрезе по странам.

Платформа КриптоЦЕРТ не только позволяет вести мониторинг финансовых операций в блокчейн-системах и проводить исследование сущностей, но и предоставляет обширный функционал мониторинга нод блокчейнов, автоматизированного аудита субъектов, анализа защищенности веб-сервисов и аудита смарт-контрактов.

Непрерывно ведутся работы по совершенствованию авторских алгоритмов динамического скоринга (настраиваемая поверхность скоринга), выявлению мошенников, усиливается интеграция с модулями машинного обучения, а также искусственного интеллекта, ведутся тестирования и исследования в данной области. Более того, платформа SICP поддерживает различные модели скоринга с возможностью их быстрой загрузки для использования в различных юрисдикциях с учетом требований локальных регуляторов.

КриптоЦЕРТ осуществляет неформальное взаимодействие с ФинЦЕРТ Центробанка России. Это сотрудничество планируется продолжить, несмотря на структурные изменения в Центробанке, и даже расширить за счет документального, а затем и законодательного закрепления процедур взаимодействия.

В настоящее время ведутся переговоры с регуляторами по обучению и применению платформы КриптоЦЕРТ в рамках работы в сфере оборота виртуальных активов и цифровых финансовых активов, проводятся консультации по вопросам налогообложения.

Взаимодействие с федеральными органами исполнительной власти осуществляется посредством заключения соглашений о взаимодействии и соглашений о неразглашении. По запросу федеральных органов исполнительной власти и ассоциации судебных экспертов командой SICP прорабатывается вопрос хранения во внутреннем блокчейне доказательств с контрольными суммами для возможности верификации юридически значимых доказательств из любой точки мира.

На настоящий момент налажено неформальное взаимодействие КриптоЦЕРТ с другими аналогичными платформами и антифрод-системами в Европе, Южной Корее, США.

Мы отмечаем заинтересованность в КриптоЦЕРТ со стороны банков, страховых компаний, инвестиционных фондов, криптовалютных бирж, платежных шлюзов, силовых ведомств, нотариусов и оценщиков.

Правовой фон работы SICP

Не секрет, что основная системная проблема, связанная с использованием криптовалют, заключается в возможности их применения для проведения незаконных операций, в частности для легализации криминальных доходов, а также для финансирования запрещенных видов деятельности.

Наиболее значимым в России законом в части противодействия отмыванию преступных доходов является 115-ФЗ "О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма".

В 2018 г. Советом ЕС была принята директива, регулирующая европейские правила по предотвращению отмывания денег и финансирования терроризма. Эти правила являются пятым по счету и последним обновлением Европейской "антиотмывочной" директивы, за что и получили условное название The Fifth Anti-Money Laundering Directive, или 5AMLD. В свете этой директивы уже с начала 2020 г. у субъектов должны быть внедрены процедуры KYC (Know Your Customer) и AML/CFT (AntiMoney Laundering, Counter-Terrorist Financing), и многие компании в Европе уже используют эти инструменты с 2019 г.

Практически все ведущие криптобиржи и процессинговые сервисы внедрили стандарты ISO/IEC 27001, равно как и GDPR, KYC-политики или сторонние решения, AML/CFT-сервисы и процедуры. Тяготеющие к американским финансовым рынкам компании также прошли аудит SOC2 (Service and Organization Controls 2).

Угрозы и защита

Защита должна быть направлена на все компоненты цифрового актива – информационный, экономический, стоимостный, правовой. Стоит выделить следующие основные риски цифровых финансовых и виртуальных активов: доступность блокчейнов, целостность смартконтрактов, конфиденциальность ключевой информации.

Существуют и дополнительные угрозы и риски, касающиеся цифровых активов: l увеличение поверхности угроз, влияющих на все отрасли экономики; l лавинообразный рост мошенничества из-за неосведомленности граждан; l доступность для противоправных действий и высокотехнологичных преступлений; l бесконтрольный транзит средств между юрисдикциями; l отсутствие унифицированного подхода к регулированию и налогообложению; l проблемы идентификации и аудируемости сайдчейнов, анонимных криптовалют, приватных смарт-контрактов; l излишняя централизация или избыточная децентрализация, санкции.

SICP обеспечивает операционную, транзакционную безопасность и реализацию следующих процедур: l идентификация/верификация (KYC); l дью-дилидженс пользователей и компаний (DD); l ответственное должностное лицо (CCO); l мониторинг транзакций (KYT);

l оценка рисков AML/CFT;

l учет страновых рисков.

И несомненно, стоит отметить тот факт, что сегодня к квалификационным требованиям к ИБспециалистам финансовой сферы добавляется обязательное наличие навыков анализа больших данных и оптимизации алгоритмов машинного обучения. l

Ваше мнение и вопросы присылайте по адресу is@groteck.ru

Основная системная проблема, связанная с использованием криптовалют, заключается в возможности

их применения для проведения незаконных операций, в частности для легализации криминальных доходов, а также для финансирования запрещенных видов деятельности.

Практически все ведущие криптобиржи и процессинговые сервисы внедрили стандарты ISO/IEC 27001, равно как и GDPR, KYCполитики или сторонние решения, AML/CFT-сервисы и процедуры.

Сегодня к квалификационным требованиям к ИБ-специалистам финансовой сферы добавляется обязательное наличие навыков анализа больших

данных и оптимизации алгоритмов машинного обучения.

Про SOC Круглый стол заказчиков, вендоров и интеграторов

Сергей Рысин, эксперт по ИБ

Участники: Роман Ванерке, технический директор АО “ДиалогНаука” Тимур Зиннятуллин, директор Центра киберустойчивости ACRC группы компаний Angara Илья Кондратьев, заместитель директора департамента ИБ АМТ-ГРУП Виктор Куратов, руководитель отдела поддержки продаж компании ESET Иван Лопатин, технический эксперт АО “ДиалогНаука” Максим Павлунин, руководитель центра мониторинга Angara Professional Assistance Руслан Рахметов, генеральный директор Security Vision Всеслав Соленик, директор Центра экспертизы R-Vision Ксения Темникова, к.э.н., доцент кафедры “Информационная безопасность” Московского политехнического университета, эксперт ООО “Профконсалт ИСМ”, консультант в области систем менеджмента информационной безопасности; систем менеджмента непрерывности бизнеса, Thomas International (РРА) Никита Цыганков, руководитель направления внедрения средств защиты информации АО “ДиалогНаука” Алексей Юдин, Д и р е к т о р ц е н т р а м о н и т о р и н г а I S O C , I n f o s e c u r i t y a S o f t line company

Первые заказчики всегда имеют приоритет

Маркетинговые материалы, рекламирующие то или иное решение, всегда выглядят красиво, но после внедрения заказчик начинает сталкиваться с реальностью. Основное достоинство любого ИБ-сервиса –это качество услуг, оказываемых заказчику как раз после внедрения.

Главное, что требуется заказчику, –это быстрое решение проблем, существующих в данный конкретный момент. Часто возможностей SOC для этого не хватает. И выходит, что заказчик приобретает не решение с конкретным функционалом, а сервис донастройки используемого решения.

У команды, предоставляющей этот сервис, на начальном этапе могут быть очень качественные маркетологи и сырое реше-

ние, не приспособленное ко всему спектру реальных задач. Но именно работа команды, действующей после маркетологов и продаж, фактически формирует продукт, которым пользуется конечный потребитель. И конечный потребитель формирует продукт под себя, подчас независимо от того, что продавали маркетологи. Первые заказчики всегда имеют приоритет в реализации своего видения функциональности SOC. Комментарии экспертов

Алексей Юдин, Infosecurity a Softline company: Первые заказчики формируют основы сервиса, но не всегда имеют приоритет в реализации своих идей. Видение сервиса фиксируется в договоре между участниками, все дальнейшие доработки идут с учетом дорожной карты сервиса и взаимоотношений с заказчиком. Причем неважно, первый это заказчик или десятый, сервис может изменяться со временем в зависимости от потребностей любого заказчика. Мы, например, ко всем заказчикам относимся одинаково.

Никита Цыганков, АО "ДиалогНаука": Безусловно, первые заказчики обладают определенными привилегиями, ведь благодаря их вере и поддержке возможно дальнейшее развитие предоставляемой услуги, ее качества. Тем не менее каждый заказчик имеет свой собственный набор процессов и решений, функционирующих в его инфраструктуре. Все это формирует уникальность среды реализации SOC, и тут дело даже не в сырости и универсальности решения. Формирование SOC – это всегда процесс, а не конечная задача. Именно поэтому крайне важны процессы адаптации и донастройки после внедрения.

Илья Кондратьев, АМТ-ГРУП: Тезисы автора справедливы и могут относиться к ситуации, когда заказчик рассчитывает на универсальное решение, которое подходит

всем, – это все равно что купить обувь, отталкиваясь от обещаний маркетологов, и рассчитывать, что она будет "как раз". В реальности при подключении нового клиента к сервису еще до заключения контракта целесообразно проводить сбор информации о его инфраструктуре и процессах и форвсего, быстро покинет бизнес. Вместе с тем продукты и услуги

мировать предлагаемый пакет услуг с учетом этих ограничений. Ведь каждая инфраструктура уникальна, и даже зрелый коммерческий SOС с большим количеством клиентов не может быть заранее готов ко всем на свете особенностям.

Всеслав Соленик, R-Vision: Я бы сказал так: первые заказчики формируют стандартные подходы к решению задач. У сильного вендора в команде есть хороший менеджер продукта, который определяет логику развития решения с учетом обратной связи от заказчиков, но все же исходя из лучших практик, опыта экспертов и универсальных механизмов. Он понимает, что любая функциональность или сервис в целом но и коммуникации с заказчиком). Командам важно иметь

должны быть полезны не одному заказчику, а всем. Поэтому важно оценивать не только функциональность универсального решения, но и наличие высококвалифицированной команды, способной его настроить и внедрить.

Виктор Куратов, ESET: Зачастую маркетологи стараются донести до заказчика ту информацию о решении, которую он хочет услышать, даже когда предлагаемое решение не обладает указанным функционалом. Поэтому процесс выбора решения так и со стороны вендора, включать демонстрации, тестирования, пилотный проект. Все это позволит добиться понимания реальных возможностей сервиса и усваиваемости решения инфраструктурой организации.

Руслан Рахметов, Security Vision: Сейчас на рынке ИБ мало компаний, которые выигрывают только за счет усилий маркетологов и продавцов. Тот, кто не оказывает качественные услуги и не создает работающий, функциональный продукт, скорее естественным образом адаптируются под требования заказчиков, особенно крупных. Но важно иметь гибкую архитектуру и конструкторский подход в предлагаемом продукте, чтобы не отклоняться от долгосрочных целей и при этом дать заказчику возможность реализовать свои задумки и уникальные для него алгоритмы работы, а не просто быть потребителем купленных продуктов.

Ксения Темникова, Московский политех: В фокусе внимания – команда, которая профессионально знает специфику ИБ-сервиса, конкретный функционал, способы донастройки используемого решения (не только техническую часть, должен быть правильно проработан как со стороны заказчика,

Комментарии экспертов системные знания об ожиданиях потребителя, мониторинге и измерении удовлетворенности потребителя. Для этого можно применять итерационный подход к доработке продукта, опираться на рекомендации ISO 10004:2018.

Важен личный контакт с командой SOC

Если мы используем собственный SOC, наша задача – сформировать команду.

А если используется коммерческий SOC, то мы обязаны быть на одной волне с тем коллективом, время которого мы приобретаем. В SOC критически важно взаимодействие команд сервиса и заказчика. Только в этом случае получится симбиоз, который позволит и SOC расти вместе с нами, и нам решить задачи с помощью этого инструмента.

Мы используем тот SOC, который используем, только потому, что у нас получилось наладить личный контакт с его сотрудниками за счет их правильных Soft Skills, и это дорогого стоит.

Вы можете быть техническим гением и построить коммерческий SOC с суперфункциональностью. Но ваш сервис получит только тех потребителей, с кем удастся наладить взаимопонимание и личный контакт, потому что, помимо профессиональных качеств, нужно уметь наилучшим образом модифицировать SOC под клиента.

Например, часто возникает необходимость нормализации нового класса событий. SOC может пойти по пути "это не входит в спектр решаемых задач". А можно пойти навстречу, сохранить клиента и заодно усовершенствовать свой SOC.

Илья Кондратьев, АМТ-ГРУП: Важно сбалансированно сочетать технические компетенции и коммуникативные навыки членов команды SOC. Что касается сервиса модификации под клиента, то это действительно очень важно, особенно в части Но стоит задуматься о целесообразности подобного подхода:

адаптации средств автоматизации работы аналитиков SOС, что, в свою очередь, повышает скорость и качество их работы, и, как следствие, растет удовлетворенность заказчика.

Никита Цыганков, АО "ДиалогНаука": Конечный результат любого проекта всегда зависит не только от качества предоставляемой услуги и скорости реализации, но и от способности слышать заказчика. Только при работе сообща возможно достижение всех целей и задач построения SOC. смотреть через призму необходимости такой доработки и ее пользы прежде всего для самого заказчика.

Алексей Юдин, Infosecurity a Softline company: Конечно, важно слышать друг друга и говорить на одном языке, чтобы быстро решать конкретные задачи, важно получать обратную связь и настроиться с командой на одну волну.

Виктор Куратов, ESET: Поддержу, что Soft Skills важны, но нужно не впадать в крайности и уметь соблюдать баланс.

В сегменте SOC нужен индивидуальный подход к нуждам заказчика и профессиональная команда, которая сможет предоставить лучшее решение.

Руслан Рахметов, Security Vision: Безусловно, гибкость при решении задач и готовность подстроиться под ожидания и потребности клиентов являются очевидными преимуществами. Однако на потребности по той или иной доработке необходимо

инвестиции должны рано или поздно окупаться. Что действительно критически важно – это умение наладить конструктивные и доверительные отношения со всеми сотрудниками, принимающими участие в работе SOC, как со стороны исполнителя, так и со стороны клиента.

Ксения Темникова, Московский политех: Для коммерческих SOC вопрос о взаимодействии команд сервиса и заказчика является критически важным. Целесообразно проводить обучение и учения по согласованным программам с учетом требований серии стандартов ISO 270XX, стандарта ISO 22301. Это позволит командам быть на одной волне, в том числе в понимании актуальных технических и социально-психологических аспектов информационной безопасности, модифицировать и усовершенствовать функциональность SOC под клиента.

Зачем вам SOC

Когда я говорю, что у нас есть SOC, часто в ответ слышу: а зачем он тебе нужен? Мол, это просто выброшенные деньги.

Но ведь у вас в компании установлена круглосуточная система охраны? На машине стоит сигнализация? А почему информация, с которой вы работаете, не нуждается в таком же мониторинге?

Часто топ-менеджеры не думают об информационной безопасности до тех пор, пока не потеряют деньги. Деньги можно потерять, просто заплатив мошенникам выкуп за пароль в случае шифрования инфраструктуры. Но даже если удастся получить пароль, вряд ли получится восстановить все данные, а это уже чревато остановкой части бизнеспроцессов и большими косвенными потерями.

Лоскутная информационная безопасность является большой проблемой, причем именно в России, где, к сожалению, есть грустная тенденция совершенствования механизмов обхода требований законодательства.

Есть и проблема "бумажной" безопасности. Например, бывшие военные могут хорошо наладить ИБ-делопроизводство, но зачастую не сумеют построить качественную архитектуру информационной безопасности. Для этого необходимо знание инструментария и понимание, какие классы инструментов перекрывают те или иные риски.

Кто-то просто готов отдать функциональность SOC подрядчику, желая вывести ответственность за пределы компании. Такой заказчик не хочет разбираться в происходящем внутри вверенных ему ИТ-систем и планирует просто откупиться от проблемы. А в случае возникновения инцидента начинается мучительное выяснение, кто виноват.

Руслан Рахметов, Security Vision: На мой взгляд, создавать собственный SOC целесообразно в случае, если поток боевых инцидентов диктует необходимость их обработки в непрерывном режиме силами выделенного подразделения. И при условии, что в компании уже создана зрелая система Комментарии экспертов

управления кибербезопасностью и отлажены ИБ-процессы, менеджмента информационной безопасности (ISO/IEC ные технологии.

которые станут надежной основой эффективно работающего SOC. А аутсорсинг услуг SOC может пользоваться спросом в SMB-сегменте или при осознанной потребности в разделении части киберрисков в соответствии с договорными обязательствами.

Алексей Юдин, Infosecurity a Softline company: Проводя параллель с физической безопасностью, отмечу, что каждый заказчик сам выбирает, строить ли собственную систему физической безопасности, нанимать и обучать людей или отдать сервис в ЧОП. Ровно так же обстоят дела и с сервисом SOC.

направление в ИБ по сравнению с другими решениями. Еще несколько лет назад, приходя на SOC-форум, я видел работу команд маркетологов без каких-либо реальных Use Case и Best Practice. Сегодня уже видно развитие данного направления и то, что все больше и больше компаний смотрит в эту сторону.

Илья Кондратьев, АМТ-ГРУП: Отмечу опасность заблуждения о выводе ответственности за пределы компании

в случае подключения к коммерческому SOC. Например, ответственность за инциденты ИБ сохраняется как за субъектом КИИ, так и за оператором ПДн. Просто переложить ответственность на подрядчика, оказывающего услугу SOС, не получится.

Ксения Темникова, Московский политех: Остановка части бизнес-процессов, потеря доступа к информационной системе может привести к потере бизнеса. Чтобы информационная безопасность не была "лоскутной", деятельность SOC может развиваться на основе системы 27001:2013) и системы менеджмента непрерывности бизнеса (ISO 22301:2019). Процессы мониторинга и реагирования на киберугрозы входят в топ-3 глобальных рисков для бизнеса, важно соответствовать требованиям международных стандартов. При аудите SOC могут применяться иммерсивВиктор Куратов, ESET: SOC – достаточно молодое

Всеслав Соленик, R-Vision: На мой взгляд, SOC в широком смысле нужен в качестве инструмента достижения основной цели информационной безопасности – снижения рисков и ущерба от инцидентов. Есть целый ряд процессов и систем по предотвращению инцидентов, но они все равно рано или поздно происходят и приводят к последствиям самого разного масштаба. Как раз для выявления таких ситуаций и управления ими, включая снижение последствий, и нужен SOC.

SOC как вершина пирамиды

SOC – это надстройка над всей информационной безопасностью, которая, как спрут, собирает данные со всей инфраструктуры, анализирует и выдает в конеч38

ном итоге уже готовые знания. Это пограничник, который ходит по периметру компании, подходит к каждому узлу, выясняет ситуацию и выдает консолидированный отчет главе безопасности.

SOC может стоять только над зрелой информационной системой, где и ИТ-, и ИБ-ландшафты соединены в единое целое.

В небольших системах SOC точно не нужен. Когда количество элементов ИТ- и ИБ-инфраструктуры не превышает 20 единиц, можно обойтись системой лог-менеджмента.

Когда система становится более зрелой, когда серверов становится больше, количество обрабатываемых в системе данных стремительно растет. В этом случае необходимо думать не только о логировании событий, но и об их корреляции.

А с некоторого момента этого роста – там, где над данными нужно думать, – ответить на вопросы о том, что происходит, сможет только SOC.

SOC – это вершина ИБ-пирамиды.

Всеслав Соленик, R-Vision: Это популярное мнение, но важно, что именно мы называем SOC. По факту даже отдел из трех человек, вручную обрабатывающих инциденты – это уже Security Operations Center. Но если под SOC подразумевать (корреляция). SOC – это не только SIEM, но и множество других

выделенное ИБ-подразделение с процессами высокого уровня зрелости и автоматизацией, то, конечно, такое решение требует и затрат, и компетенций, а значит целесообразно только при больших масштабах инфраструктуры. При этом зрелость процессов является не показателем потребности в SOC, а скорее критерием его качества.

Алексей Юдин, Infosecurity a Softline company: SOC нельзя считать вершиной ИБ, но он является важной частью процессов ИБ, сильно зависящей от смежных процессов. Замечу также, что даже для небольшой, но высококритичной решения ограниченного числа задач в малых масштабах тического контроля и роботизации ИБ и ИТ.

инфраструктуры в 20 серверов обычного логирования может оказаться недостаточно.

Тимур Зиннятуллин, группа компаний Angara: На практике SOC может начаться и с трех инженеров, защищающих небольшую инфраструктуру, но предоставляющих оценку актуальных угроз и рисков, информацию о злоумышленниках и их активностях, позволяющую самим защитникам и их организации снизить возможный ущерб благодаря более корректному принятию решений. А в теории – с пяти понятных, но непростых шагов: выбора "свой или outsource", набора услуг и задач, полномочий, ситуационной осведомленности, PDCA по всем направлениям деятельности.

задумываться о создании SOC следует, только достигнув определенного уровня зрелости компании в выстраивании процессов управления и реагирования на инциденты, повышении компетентности персонала и пр.

Илья Кондратьев, АМТ-ГРУП: Соглашусь, что с ростом обслуживаемой инфраструктуры эффект от SOС становится все более ощутимым. При этом становится целесообразным

Комментарии экспертов

применение средств автоматизации процессов, за счет чего появляется возможность концентрации аналитиков на узкоспециальных задачах.

Роман Ванерке, АО "ДиалогНаука": На мой взгляд, автор немного запутался. С одной стороны, корректен вывод о том, что если инфраструктура невелика, то корреляция не нужна, а скорее нужен грамотный ИБ-специалист, который сможет закрыть большую часть вопросов. С другой стороны, у автора прослеживается некорректная мысль, что SOC = SIEM подсистем информационной безопасности, каждая из которых выполняет свою задачу в рамках реализованных в SOC процессов (киберразведка, аналитика, расследование и т.д.).

Руслан Рахметов, Security Vision: Не будем забывать, что SOC – это люди, процессы и технологии. Безусловно, для подойдет и система лог-менеджмента, и SIEM. Но по достижении определенного уровня сложности процессов ИБ в SOC, в частности при обработке киберинцидентов, нужны будут уже IRP/SOAR-решения. Можно сказать, что показателем зрелости центра SOC будет осознанная потребность в таких продуктах, позволяющих существенно ускорить обработку инцидентов и упростить решение рутинных задач ИБ. У нас есть авторская точка зрения на развитие систем автоматизации информационной безопасности, где SIEM – это начальная точка зрелости и впереди большой путь развития, вплоть до автомаНикита Цыганков, АО "ДиалогНаука": Несомненно,

Ксения Темникова, Московский политех: Команда SOC выдает готовые знания, этими знаниями необходимо управлять. То есть в системе финансовой и нефинансовой мотивации команды SOC важно предусмотреть участие каждого члена этой команды в формировании системы управления знаниями. Это критически важно как для удержания тех, кто сейчас работает в SOC, так и для формирования кадрового резерва.

SOC и ситуационные центры

Есть такая проблема: поскольку мы работаем над информационной безопасностью, мы не видим очередь событий из систем физической безопасности –видеокамер, входных турникетов, периметровой защиты и т.д.

Например, событие прохода человека в офис по чужой карточке не отразится в SOC. А ведь эта информация крайне важна для целей информационной безопасности. Именно эту брешь используют системы физического пентеста.

Еще один пример. Нынешняя эпидемиологическая ситуация подталкивает к тому, что необходимо централизованно мониторить температуру у персонала. На сегодняшний день температура измеряется градусниками или бесконтактными термометрами, но это отнимает время и предполагает прямой контакт с людьми. Эту же задачу можно было бы решить с помощью тепловизоров с последующей передачей результатов в SOC, дополняя информацией о ношении человеком маски.

Вендорам и маркетологам, которые продвигают только информационную безопасность, нужно выйти из зоны комфорта и переквалифицировать базовую систему, добавив в SOC элементы классического ситуационного центра.

В свое время ситуационный кризисцентр, созданный министерством атомной энергии, умел решать весь спектр задач, и в части информационной, и в части ситуационной, физической безопасности.

Алексей Юдин, Infosecurity a Softline company: Я считаю, что сравнивать подобные вещи некорректно, так как ситуационные центры не заменяют собой полноценный сервис SOC. Ситуационный центр решает больше задачи физической безопасности и только отчасти затрагивает вопросы ИТ и ИБ.

Никита Цыганков, АО "ДиалогНаука": К сожалению, многие специалисты ИБ упускают физическую безопасность из вида. Как следствие, угрозы, стоящие на стыке физической и информационной безопасности, остаются невыявленными, которые по отдельности не будут являться инцидентами, после корреляции от различных типов источников уже будут ими являться. Классический пример инцидента: событие аутентификации с учетной записью сотрудника на АРМ (события домена) при отсутствии самого сотрудника в здании офиса (информация от СКУД).

Ксения Темникова, Московский политех: Добавить в SOC элементы классического ситуационного центра 24 х 7 заставят конкуренция и требования зарубежных деловых партнеров.

Комментарии экспертов

Илья Кондратьев, АМТ-ГРУП: Современная SIEMсистема, являющаяся ядром SOС, уже сейчас позволяет подключать самые разнообразные источники данных. И в этом направлении важно сохранить баланс, дабы не перегрузить SOС информацией о событиях, с которыми специалисты по ИБ все равно не смогут ничего сделать: например, информация о температуре у сотрудника слабо коррелирует с его действиями что ведет к возможным инцидентам. Одни и те же события,

как пользователя ИТ-системы. Скорее, необходимо обеспечить агрегацию информации из SOС и отправку ее в том виде, который позволит ситуационному центру более эффективно выполнять свои функции.

Руслан Рахметов, Security Vision: Заведение в SOC разнородных событий от всего спектра источников в масштабной гетерогенной среде решается техническими средствами, которые получают и обрабатывают машиночитаемую информацию, будь то температура сотрудника или факт его прохода и присутствия на территории офиса. Современные SIEM/SGRCрешения интегрируются с системами СКУД, видеонаблюдения,

Комментарии экспертов специализированными системами телеметрии, выдавая информацию для аналитики в программное ядро SOC. IRP/SOARрешения полноценно и автоматически отрабатывают сценарии реагирования.

Кадры для SOC

Многое упирается в подготовку кадров. Специалистов много, а работать некому, поэтому для того, чтобы найти человека на вакантную позицию, приходится провести собеседование больше чем с сотней человек! Иной раз знаний не хватает, другой раз эго кандидата не вмещается в условия работы.

Образовательной системе в части ИБ не хватает гибкости. Преподаватели зачастую рассказывают просто о классах систем, и то не обо всех. В результате выпускники толком не умеют работать ни в одной системе и не понимают, как и какие задачи эти системы решают.

В этом видна недоработка и самих SOC: они не идут в вузы готовить кадры для своих систем.

Всеслав Соленик, R-Vision: Личностные качества развиваются сложнее, чем компетенции. Знания можно нарастить, но человек редко меняется с точки зрения Soft Skills и отношения к работе. Опыт показывает, что готовых специалистов практически не бывает, их нужно выращивать, но это в итоге оказывается даже выгоднее. Ведь всегда есть определенная специфика организации, инфраструктуры, подходов и процессов. Нужно не бояться обучать людей, дотягивать до нужного уровня, брать на вырост и давать им задачи чуть позволяют специалистам высвобождать время для развития и

выше текущей квалификации, стимулируя таким образом их развитие.

Максим Павлунин, Angara Professional Assistance: Действительно, ситуация с подготовкой кадров для подразделений SOC достаточно сложная. Вузы, как правило, не имеют в штате преподавателей с большим опытом работы в ИБ и, в частности, в подразделениях SOC, из-за чего не могут давать студентам актуальные знания по данному направлению. При этом технологии развиваются, информации. Разрыв между фактическими знаниями выпускников и требованиями работодателей растет. Устранение данного разрыва невозможно без участия самих SOC. Для обеспечения потребностей в кадрах необходимо как сотрудничество с вузами для обмена практическим опытом, так и выстраивание внутренних программ обучения молодых специалистов.

Илья Кондратьев, АМТ-ГРУП: Согласен, кадровый голод в ИБ наблюдается уже давно, но тем не менее проблему надо решать. У нас, к примеру, есть многолетний опыт

сотрудничества с вузами в части организации практики для студентов. И это дает свои плоды – многие практиканты приходят потом на работу: сначала на полставки, потом на полный день, и к моменту выпуска уже становятся способными выполнять "боевые" задачи, конечно, с обязательным наставничеством со стороны более опытных коллег. Кто-то из ребят трудится в проектных подразделениях, а кто-то в смене TAС и в SOC.

Руслан Рахметов, Security Vision: На помощь приходят технологии: оркестровка и автоматизация рутинных операций появляются новые угрозы, усложняются системы защиты

решения стратегических вопросов ИБ. Однако фундаментальные знания и практические навыки специалистам по-прежнему необходимы. В помощь подготовке кадров мы разработали авторский курс и лабораторные работы по дисциплине "Автоматизация процессов управления информационной безопасностью". Наши эксперты читают его в крупнейших профильных вузах.

Ксения Темникова, Московский политех: Подготовка кадров для SOC – это прежде всего целенаправленная работа с вузами, в которых развита проектная деятельность с первого курса. Наряду с этим большие возможности имеются в формировании программ дополнительного профессионального образования. Разработаны программы ДПО "Система менеджмента непрерывности бизнеса в соответствии с требованиями ISO 22301:2019 в условиях цифровизации", которая учитывает специфику SOC (объем 16 часов, 40 часов, 72 часа). Кроме того, создана специальная магистерская программа для обучения команд SOC в течение двух лет.

Редтиминг и ретроспективный анализ

Хороший SOC обязан проверять свою готовность и квалификацию редтимингом. Приведу случай из практики: в этом году мы проводили пентест информационной системы. SOC не был предупрежден о планируемом мероприятии и, обнаружив атаку, начал оперативно информировать нас о действиях пентестеров в информационной системе, вплоть до информации о создаваемых подключениях и движении пакетов.

После завершения пентеста собрались мы, пентестеры, специалисты SOC и провели ретроспективный анализ, сравнив действия и тайминг каждой из сторон. Такое взаимодействие должно быть поставлено на регулярную основу, ведь это позволяет SOC профессионально расти, а информационным системам оставаться защищенными.

Алексей Юдин, Infosecurity a Softline company: Мы согласны с тезисом о регулярности тестировании работы SOC, особенно когда тестирование проводится сторонними компаниями. Но следует учитывать, что SOC не всегда контролирует всю инфраструктуру организации, что в итоге может сыграть против него самого. Реальный анализ результатов такого тестирования показывает пробелы не только в сервисах SOC, но и в инфраструктуре заказчика и используемых мерах защиты.

Иван Лопатин, АО "ДиалогНаука": Как сказал один из наших заказчиков, "найм Red Team в штат – это лучшая покупка". "Пурпурные команды" повышают уровень любого SOC. Но следует учитывать, что необходимо использовать современные методы атак и эксплуатации уязвимостей, так как в Blue Team всегда несколько запаздывает развитие собственного контента и выявление угроз, и Red Team должны выступать важным катализатором развития SOC.

Илья Кондратьев, АМТ-ГРУП: Добавлю, что при регулярных мероприятиях подобного рода стоит приглашать различные команды пентестеров, чтобы реализовать большее

Комментарии экспертов

разнообразие используемых технических и тактических приемов.

Ксения Темникова, Московский политех: Существуют методики проведения учений команды SOC и заинтересованных сторон с учетом требований ISO/IEC 27001:2013, 22301:2019, рекомендаций ISO 10004:2018 и лучших практик. Применение таких методик позволит отработать взаимодействие участников, команде SOC – профессионально расти, превращаясь в сплоченный, подготовленный и мотивированный коллектив, информационным системам – оставаться защищенными.

Руслан Рахметов, Security Vision: Без сомнения, киберучения, работа команд Red и Blue Team, анализ выученных уроков и последующее внесение изменений в процедуры реагирования на инциденты важны, как и любые тренировки. Не менее важно осознавать, что масштабные утечки и кибератаки происходят порой из-за простого несоблюдения базовых правил кибербезопасности. Поэтому не следует забывать о непрерывном совершенствовании системы управления ИБ, включая банальный патч-менеджмент, минимизацию полномочий, сегментирование сети и обучение сотрудников.

This article is from: