Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Современный SOC

  • Печать
Обновлено 03.06.2025 06:04

Краткие теоретические сведения

SOC (Security Operation Center) - центр операций по безопасности. Его цель — непрерывный контроль защищенности и своевременное реагирование на инциденты. Платформа Сбер, как экосистема, представляет сервисы практически во всех сферах жизни, имеет большую территориально распределенную инфраструктуру и сотни тысяч сотрудников. Это требует непрерывного контроля защищенности, своевременного реагирования с учетом совершенствования тактик и техник атак на организации, появления новых вариантов вредоносных программ и мошеннических схем.

Для решения данных задач был построен SOC. 

Предпосылки возникновения:

1. Непрерывность и оперативность. Высокая скорость развития цифровой трансформации позволяет быстро выпускать новые приложения и сервисы. Но в то же время порождает киберугрозы. Целью киберпреступников стали данные.

В 2021 г. за дешифровку данных компания Colonial Pipeline заплатила 4,5 миллиона долларов. В результате в ряде штатов США часть АЗС были закрыты ввиду остановок поставок топлива, а цены на бензин резко выросли. Это привело к тому, что авиакомпании American Airlines пришлось отменить рейсы.

2. Проактивность в написании правил детектирования атак. Актуализация средств защиты и их сигнатур является одним из требований безопасности. Данный процесс (настройка обновлений, тестирование) занимает время. В этот период мы остаемся уязвимыми перед атакующим. Злоумышленникам удалось ускориться. Выход эксплойтов занимает считанные часы с момента публикации информации об уязвимости. Это связано с обилием доступного инструментария, постоянно идущих сканирований и наличия специфических поисковых сервисов типа Shodan или PunkSPIDER.

3. Технологичность. При наличии высоких требований к доступности и работоспособности бизнес-процессов компании задачи по своевременному обнаружению и ликвидации инцидента становятся невыполнимы без средств автоматизации.

4. Процессы. Необходимость в них появляется, когда:

событий, угроз на средствах защиты много;

требуется формализация взаимодействия между командами.

Нет компаний, которые невозможно взломать. Современные реалии вынуждают писать правила детектирования атак до того, как организация будет атакована.

Выполнение задач по обеспечению защищенности невозможно без современных технологий и процессов.

Работа SOC на примере реального инцидента

Информационное агентство подверглось хакерской атаке с использованием шифровальщика Bad Rabbit. Главный сайт агентства стал недоступен, другие домены компании отображали непонятную информацию.

Сценарий атаки:

1. Злоумышленник взламывает интернет-ресурс и размещает вредоносную нагрузку.

2. Сотрудник компании посещает взломанный ресурс, получая вредоносную нагрузку.

3. Вирус попадает на хост жертвы, заражает АРМ и распространяется по инфраструктуре.

4. Осуществляется шифрование хостов. Может быть реализован другой сценарий. После того, как ВПО заражает хост пользователя, система начинает взаимодействовать со скомпрометированным ресурсом и попадает под контроль злоумышленника. Это позволяет ему проникнуть в структуру компании и продвинуться по сети. SOC — синергия людей, процессов и технологий, обеспечивающая оперативное реагирование на инциденты, проактивное выявление киберугроз, релевантных для организации, и защиту от них. Данное определение через процессы создает связь между людьми, реализующими функции SOC, и техническими средствами, посредством которых они решают задачи предотвращения инцидентов. По локализации функций SOC делится:

1) на внутренний - отдельное подразделение, занимающееся мониторингом реагирования на инциденты и сопровождением технологического стека кибербезопасности. Он интегрирован в процессы организации и ориентирован на ее особенности. Это делает его наиболее эффективным при реагировании на угрозу.

К минусам можно отнести дорогостоящее содержание и время на построение;

2) внешний - компания обслуживается внешним SOC. Его внедрение занимает от нескольких месяцев, компания полагается на специалистов внешнего SOC. Внешний SOC не будет заточен под особенности компании и обнаружение специфичных угроз. Скорость реакции на инциденты также будет страдать из-за необходимости взаимодействия между организациями;

3) гибридный — часть функций делегируется внешнему SOC. Внутренний SOC могут позволить средние и крупные бизнесы. Маленьким компаниям рекомендуется использовать внешнюю или гибридную модель. Сама по себе функция кибербезопасности в отрыве от бизнеса компании не может аргументировать необходимость затрат на найм персонала, закупку средств защиты и продемонстрировать свою нужность компании, а руководство, без демонстрации выгоды, не готово выделять финансирование. Между ними образуется разрыв.

Данную проблему решает переход к управлению кибербезопасностью как к бизнес-функции (ITSM, ITIL). С точки зрения ITSM кибербезопасность совмещается с сервисным подходом, так как ее цель - отсутствие инцидентов, негативно влияющих на защищаемую организацию. ITSM — подход к управлению и организации IT-услуг, направленный на удовлетворение потребностей бизнеса.

Управление IT-услугами реализуется поставщиками данных услуг путем использования оптимального сочетания людей, процессов, технологий.

ITIL - процессы, применяемые в разрезе кибербезопасности:

1. Управление инцидентами. Отвечает за обеспечение оперативного устранения инцидентов.

2. Создание диспетчерской службы Service Desk. По сути является аналогом первых трёх линий SOC.

3. Управление проблемами. Направлен на уменьшение количества инцидентов.

4. Управление конфигурациями. Предназначен для поддержания в актуальном состоянии логической модели инфраструктуры. Отвечает за контроль неизменности настроек конфигурации.

5. Управление изменениями - внесение изменений за счет меньшего влияния на изменяемый процесс системы.

6. Управление уровнем сервиса - выявление и контроль обеспечения установленного уровня сервиса.

В сфере КБ на текущий момент нет общепризнанного стандарта по построению SOC. Однако существуют различные книжки и гайды от различных организаций, так или иначе связанных с КБ, в частности Cisco, MITRE, SANS, NIST и другие. Для реализации принципов ITSM существует сборник документов ITIL. Модель Cyber Kill Chain является подходом к реагированию на инциденты. Данная модель определяет, что необходимо сделать злоумышленнику для проведения успешной атаки. Блокировка хакера на любом из этапов разрывает всю цепочку атаки.

Этапы Cyber Kill Chain:

1. Разведка - выявление особенностей организации, изучение активности компании в соцсетях через рассылки с целью выбора метода атаки.

2. Вооружение - подготовка инструментария для реализации атаки (ВПО, эксплойты, фишинговые страницы).

3. Доставка - отправка вредоносной нагрузки на хост внутри инфраструктуры. После доставки на компьютер происходит запуск вредоносного кода.

4. Эксплуатация уязвимости системы.

5. Установка ВПО. Используется для развития атаки.

6. Контроль над системой — получение удаленного доступа с целью дальнейшего заражения системы.

7. Выполнение действий — хакер отправляет собранные данные или выводит из строя IT-активы.

Kill Chain необходим для моделирования угроз. Этапы цепочки нужно наполнять возможными действиями злоумышленников. Для систематизации информации о методах атак, используемых злоумышленниками, помогает матрица Mitre. Она описывает техники, используемые злоумышленниками в атаках на корпоративную инфраструктуру.

Для выявления атак существует сценарный подход к реагированию — Use Case.

Он включает:

1. Описание дизайна кибератаки - формулировка угрозы, описание действий злоумышленника, конкретизация, что и как мы детектируем.

2. Правила детектирования. Используются для получения детектора в Ticketing-системе.

3. PlayBook - алгоритм действий по реагированию.

Функции и процессы SOC

Функции SOC:

1. Реагирование на инциденты кибербезопасности:

мониторинг событий;

управление инцидентами.

Сопровождает инцидент на протяжении всего жизненного цикла, решает такие задачи, как регистрация, назначение приоритета, необходимость эскалации и хранение информации об инцидентах.

2. Киберразведка (CTI):

обеспечение ситуационной осведомленности;

разработка и внедрение Use Case;

поиск киберугроз и оценка их применимости к организации;

реагирование на киберугрозы на основе аналитики. Необходима для формирования у руководства понимания о текущем состоянии защищенности, предоставлении прогнозов изменения ландшафта угроз. Информация используется при определении действий по реагированию на киберугрозы.

3. Инжиниринг:

управление средствами защиты;

эксплуатация средств защиты;

поддержка технологического стека SOC. Обусловлена необходимостью постоянно развивать и улучшать технологическую структуру.

4. Управление:

мотивация и обучение команды SOC;

организация взаимодействия между командами;

ведение операционной документации;

улучшение SOC.

Выполнение описанных функций невозможно без отлаженных процессов.

Процессная модель SOC делится на четыре группы:

1. Реагирование на инциденты:

управление проблемами, описывает действия для уменьшения возникновения подозрений на инциденты;

постанализ инцидента отвечает за повышение качества реагирования на инциденты в будущем.

2. Киберразведка:

анализ новой информации;

поиск угроз и их приоритизация.

3. Инжиниринг:

управление источниками событий кибербезопасности, их мониторинг и валидация;

управление сбоями SIEM, описываются шаги по максимально быстрому восстановлению данных систем.

4. Управление:

знанием;

процедурами;

операционной документацией;

рисками;

• процессом постоянного улучшения.

В SOC экосистемы Сбера функционирует 29 процессов, которые описаны в нормативном документе Runbook. Каждый сотрудник может ознакомиться как с процессами, в которых он непосредственно участвует, так и со смежными.

В SOC экосистемы Сбера за реагирование отвечает несколько команд: дежурная смена, отдел реагирования на киберугрозы, сервисный центр информационной безопасности.

Схема реагирования на инциденты. В экосистеме Сбера выделяют шесть уровней приоритета инцидента, который определяется по таблице реализации. На каждый установлен SLA.

Например, для решения инцидента с низким приоритетом отводится 120 часов, а для устранения широкомасштабного инцидента — 2 часа.

Приоритет инцидента зависит от потенциальных последствий: масштаб, финансовый ущерб, влияние на информационные системы, утечка информации, регуляторные риски.

Ущерб от реагирования не должен превысить ущерба от атаки. В связи с этим в экосистеме Сбера используется методика уровня принятия управленческих решений по реагированию на инциденты (Мандат на действия).

Выделяется три команды принятия решений:

CSIRT - команда реагирования на инциденты;

EMT - emergency management team;

орган кризисного управления.

PlayBook - алгоритм действий по реагированию в конкретной ситуации, который включает:

описание сценария;

справочную информацию по вносимым изменениям;

критерии принятия решений;

описания действий по реагированию.

PlayBook может быть написан как на конкретные правила, так и на общую ситуацию (подозрение на вирусное заражение, комплектацию учетной записи). Для 1-й и 2-й линий действий по PlayBook описание сценария и справочная информация по вносимым изменениям являются обязательными, для 3-й несут рекомендательный характер.

Технологии SOC

Основным элементом SOC является SIEM - система сбора и анализа информации, событий безопасности. Данной системой производится сбор, нормализация и хранение логов, а также корреляция событий по разработанным сценариям, формирование событий с подозрением на инцидент. В SIEM события поступают от различных источников (логи инфраструктуры, средства защиты, DNS).

События позволяют понимать, что происходит в организации, писать правила корреляции, строить аналитические отчеты. На основании правил корреляции SIEM заводит заявку по подозрению на инцидент и отправляет ее в Ticketing-систему.

Ticketing-система — второй по важности элемент. Может быть реализована как на базе SIEM, так и в виде отдельного решения. SOAR позволяет автоматизировать рабочие процессы SOC за счет интеграции со средствами защиты и внутренними системами организации. Выполняет действия для своевременной локализации и уничтожения угроз.

При разборе инцидента аналитик SOC плотно взаимодействует с TIP-системой, которая предназначена для понимания ландшафта угроз на основе контекста информации из внешних и внутренних источников. BI-система - средство для аналитики, визуализации и построения дашбордов. Ее цель - контроль анализа текущей деятельности SOC и оценка эффективности его работы.

Система Behaviour analytics (поведенческая аналитика). Позволяет в режиме реального времени отслеживать аномалии поступающих событий на основе алгоритмов машинного обучения и искусственного интеллекта. Для отклонений существуют системы поведения хостов или пользователей.

Порядок внедрения SOC зависит от уровня его зрелости.

Этап 1. SOC состоит из базовых составляющих - SIEM, Ticketing, системы инжиниринга.

Этап 2. По мере развития SOC обрастает BI и системами IRP (автоматизация реагирования). Системы данного класса расширяют возможности Ticketing, обеспечивая аналитиков SOC средствами автоматизации типовых операций.

Этап 3. Добавляется система TIP. IRP перерастает в SOAR решения, также появляются системы Behaviour analytics.

Далее добавляются системы, выполняющие данные функции с помощью алгоритмов машинного обучения и искусственного интеллекта.

Команда SOC

Команда SOC - единый организм, обеспечивающий защиту организации в киберпространстве.

По функциональной составляющей команду SOC экосистему Сбера можно разделить на 4 направления:

реагирование на инциденты;

инжиниринг;

аналитика киберугроз;

управление.

За реагирование на инциденты отвечает дежурная смена, состоящая из 1-й, 2-й, 3-й линий. В данное направление входит отдел реагирования, сервисные центры и центр компетенций.

Центр компетенций представлен по направлениям:

защита периметра сети;

защита эндпоинтов;

защита бизнес-приложений;

защита конфиденциальной информации;

защита внутренней сети и инфраструктуры.

Сервисные центры распределены территориально с целью оперативного реагирования на инцидент в зависимости от часового пояса.

В группу инжиниринга входит два отдела:

средств защиты - обеспечивает функционирование сетевых служб;

средств мониторинга - отвечает за сопровождение систем SOC.

Отдел аналитики киберугроз занимается киберразведкой, анализом появляющихся угроз и их оценкой с точки зрения применимости к экосистеме Сбера, пишет сценарии обнаружения атак. Управление реализуется отделами реагирования и развития. С SOC взаимодействуют отделы:

Red Team - проводит пентесты систем и контроль функционального состояния SOC; Forensic - привлекается в случае подозрения на внутренний фрод, необходимости взаимодействия с МВД.

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.