Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 20 декабря 2019 г.

SOC для безопасности инфраструктуры и бизнес-процессов

Во вторник 17.12.2019 я выступал на конференции "Ведомостей" с докладом на тему "Технологии настоящего и будущего в центрах мониторинга ИБ (SOC)". В отличие от многих других моих выступлений, здесь необходимо было сфокусироваться не на технической стороне вопроса, а на взаимосвязи информационной безопасности с бизнесом. При этом, конечно, донести возможность технической реализации того или иного действия. 
Выступление условно можно было поделить на 3 части: 
  1. Вводная.
  2. Реализация контролей безопасности бизнес-процессов с помощью SOC.
  3. Измерение эффективности SOC.
Поскольку регламент давал на все не более 10 минут, пришлось постараться вложить информацию в минимум слайдов и слов. Поэтому осталось и для блога. Опишу 1 и 2 части.

У многих сложилось мнение, что область применения SOC - исключительно инфраструктура, и что-то, полезнее антивируса либо событий операционной системы, мониторить не получится. Отчасти это правда, поскольку SIEM - технологическое ядро SOC - имеет готовые интеграционные модули (коннекторы, коллекторы и т. п. вендорспецифичные термины) в основном для сбора информации с операционных систем, сетевых сервисов и средств защиты информации. И это объяснимо. Приведу в качестве примера слайд из своей презентации.


Если обратить внимание на рисунок и попытаться подсчитать разнообразие возможных источников на каждом слое, то можно заметить, что на уровне приложений их количество резко возрастет.
А на одном приложении может базироваться большое количество бизнес-процессов. Выполнять интеграцию "из коробки" для всего существующего ПО в корпоративном сегменте производителю будет проблематично, поэтому готовятся интеграционные модули по принципу "TOP-XX", либо по запросу клиента из "TOP-YY". Остальное придется выполнять заказчику, MSSP-провайдеру либо интегратору под нужды внедрения.
Интегрировать ПО с SIEM не сложно, если оно дает логи разумной полноты и синтаксиса на каждый тип событий, который можно использовать для определения признака инцидента ИБ. Генерируемые на каждом уровне события необходимо:
  • собирать
  • хранить
  • обрабатывать
Обработка событий представляет из себя разнообразные действия, от фильтрации и парсинга до применения метрик и алгоритмов корреляции. При этом метрики могут по сложности варьироваться от банального подсчета интенсивности генерируемых событий до выведения интегральных показателей уровня защищенности компании. Алгоритмы также разнообразны, в зависимости от задач и используемых технологий: начиная с grep pattern и заканчивая ретроспективным анализом, предиктивной аналитикой и т. п. 
Результаты применения метрик и алгоритмов к собираемым данным формируют показатели либо инциденты ИБ, которые дают специалистам и руководству основания для принятия решений: от анализа на предмет ложного срабатывания и до стратегии развития SOC

Контроль безопасности бизнес-процессов с помощью SOC
Любой бизнес-процесс, который реализован в одной или более информационной системе, условно, имеет такие показатели, как:
  • данные на вход
  • последовательность действий и этапов
  • результат
Терминология может отличаться от общепринятой при описании и анализе бизнес-процессов, но для SOC этого достаточно. Самое главное: действия должны отображаться в логе, и каждое из них должно быть однозначно идентифицируемым. 
Соответственно, правильная последовательность может обрабатываться метриками времени, количества и т.п., в то время как отклонения от нормы приравниваются к инцидентам ИБ разной степени критичности.
Схематически взаимосвязь нормы и отклонений изображена ниже. Есть единственный верный путь - зеленое поле. Отклонения в сторону красных полей генерируют инцидент ИБ.


В качестве примера возьмем процесс предоставления доступа к информационной системе сотруднику либо клиенту. Этапы:

  1. Вход: осознана потребность.
  2. Определен необходимый уровень доступа.
  3. Оформление заявки.
  4. Согласование заявки.
  5. Исполнение заявки.
  6. Результат: доступ получен. 
  7. Использование информационной системы.

Примеры аномалий процесса предоставления доступа в информационную систему, которые можно рассматривать как инциденты ИБ: 
  • Получение доступа без оформленной заявки. 
  • Назначение уровня доступа, не соответствующего запрошенному.

Этап использования информационной системы порождает дальнейшее участие сотрудника либо клиента в других бизнес-процессах, у которых свои риски, этапы и их контроли.

Также необходимо помнить об ограничениях использования SOC для контроля безопасности бизнес-процессов:
  • Контроль силами SOC возможен только тех этапов бизнес-процессов, которые отражаются в информационных системах и генерируют логи достаточной полноты и интерпретируемости.
  • Для реализации контроля бизнес-процесса в SOC необходимо описать для аналитиков SOC все особенности процесса, признаки нормы и аномалий. 
  • Если отсутствует описание событий ИБ для бизнес-процесса - необходимо будет сгенерировать тестовые шаги нормы и аномалий, которые рассматриваются как инциденты ИБ.
  • Очень сложно качественно контролировать в SOC безопасность бизнес-процесса, в который заложена логическая уязвимость, не зависящая от реализации контроля в информационных системах.
  • Очень сложно с высокой точностью определять, что является инцидентом ИБ бизнес-процесса в SOC, если не все информационные системы, задействованные в процессе, логируют действия на необходимом уровне.
Вывод. Если есть необходимость контролировать тот или иной бизнес-процесс - SOC с высокой вероятностью сможет это сделать, если предоставить аналитикам:

  • описание процесса
  • его реализацию в информационных системах 
  • требования к генерации инцидентов ИБ
  • соответствующие логи

Комментариев нет:

Отправить комментарий