Дмитрий Шулинин, UserGate: Выиграли те, кто полагался на SIEM собственной разработки

Security Operations Center как услуга (SOC-as-a-Service)

CNews: Первый вводный вопрос — что такое SOC?

Дмитрий Шулинин: Центр мониторинга информационной безопасности (SOC) — это многомерная структура, которая занимается мониторингом и реагированием на инциденты информационной безопасности. SOC включает в себя систему мониторинга и распознавания угроз, аппаратную ИТ-инфраструктуру, и что важнее всего — команду опытных аналитиков, разработчиков и инженеров.

Провайдеры SOC в России, — и UserGate в том числе, — предлагают услуги SOC по облачной модели SOC-as-a-Service. Это наиболее современная модель: заказчику не надо тратиться на серверы и хранилища данных, делать другие капитальные вложения, достаточно просто оплачивать подписку по модели операционных расходов. Мы также готовы помочь построить SOC on-premise, т.е. собственный центр киберзащиты на территории заказчика.

Если говорить о сервисах, то в первую очередь это сбор логов, телеметрии с ИТ-инфраструктуры заказчика, отслеживание аномальной активности в его локальной сети и на хостах. Кроме того, это сканирование на уязвимости, работа с TI (Threat Intelligence, киберразведка), то есть сбор основанной на фактах информации о кибератаках, которую анализируют эксперты по кибербезопасности, в том числе партнеры. Сюда включаются идентификаторы атак из различных коммерческих и бесплатных источников.

В сфере кибербезопасности присутствуют разные уровни этих идентификаторов, и мы стараемся развивать нашу экспертизу на уровне техник и тактик. В контексте кибербезопасности это описания методов и стратегий, которые используют киберпреступники для достижения своих целей. Естественно, мы также контролируем как открытые, так и непубличные пространства, чтобы собирать информацию о методах работы злоумышленников и повышать качество предоставляемого сервиса.

Резюмируя — услуга SOC предоставляет заказчикам возможность доверить мониторинг и обработку событий безопасности специализированной внешней команде профессионалов.

CNews: Следующий вопрос — про развитие мониторинга ИБ в компании

Дмитрий Шулинин: Давайте начнем с объяснения, что в основе любого центра кибербезопасности лежит система SIEM (Security Information and Event Management). Это основа центра кибербезопасности, задача которой — обеспечить целостное представление о картине угроз за счет агрегации, корреляции и анализа данных из различных источников в ИТ-инфраструктуре, включая сетевые устройства, серверы, контроллеры домена.

SIEM выдает так называемые алерты, то есть предупреждения о событиях, которые выглядят подозрительными. Затем в дело вступают аналитики: как живые люди, так и ИИ-ассистенты. Они должны убедиться, что угроза информационной безопасности действительно существует, и выдать персоналу заказчика рекомендации по ее нейтрализации.

Система SIEM может быть усилена за счет системы EDR (Endpoint Detection and Response), которая работает не с серверами, а с клиентскими устройствами, такими как настольные компьютеры, ноутбуки и мобильные устройства.

Собственно говоря, SOC свою задачу этим и ограничивает — обнаружить угрозу и дать персоналу заказчика рекомендации, что с этой угрозой делать. Поэтому услуги SOC рассчитаны на более-менее зрелые организации, в которых уже есть выделенный специалист по информационной безопасности.

CNews: Теперь вопрос про эталонный SOC — как он выглядит с точки зрения вас как провайдера и как для заказчика?

Дмитрий Шулинин: Для заказчика эталонный облачный SOC выглядит как незаметная структура, которая никак не проявляет себя до инцидента. То есть SOC должен быть удобен для заказчика тем, что не перегружает трафиком сеть, не требует для себя затраты на ИТ инфраструктуру, не мешает операционной деятельности компании и не нарушает непрерывность бизнеса в виде череды ложных предупреждений. Иначе говоря, SOC должен быть таким полезным и невидимым часовым, который появляется на сцене только в ситуации инцидента или атаки.

Для провайдера эталонный SOC — это гораздо более сложная структура с двумя основными качествами: приносить прибыль и улучшать бизнес-имидж провайдера за счет четкой и надежной работы. Если все бизнес-процессы и технические аспекты отстроены, то SOC функционирует идеально. В этом случае появляются положительные референсы от заказчиков, рынок это видит, и, соответственно, растет число обслуживаемых организаций. Это, в свою очередь, дает возможность провайдеру привлекать в команду SOC лучших специалистов, платить им достойное вознаграждение. Ситуация win-win для всех сторон.

CNews: Как вы оцениваете ситуацию на рынке облачных SOC в России и какое место на нем вы видите для UserGate?

Дмитрий Шулинин: Рынок SOC в России достаточно плотный. На нем присутствует с десяток крупных игроков в лице отечественных компаний, которые уже имеют выстроенные отношения с сформированной базой клиентов. Но сейчас происходят изменения, связанные с тем, что многие ранее полагались на западное ПО, такое как IBM QRadar или Fortinet FortiSIEM, которое практически одномоментно стало недоступным для обновления. И это имеет критически важное значение, так как в сфере кибербезопасности постоянные обновления информации об угрозах являются ключевым элементом защиты.

Соответственно, в выигрыше оказались провайдеры SOC, кто полагался на системы SIEM собственной разработки. Соответственно, мы видим для себя открывшуюся рыночную нишу в лице компаний уровня среднего бизнеса, которые в своем развитии переросли антивирусы и подошли к пониманию необходимости построения комплексной информационной защиты.

Мы ориентируемся в первую очередь на компании из ритейла, а также компании из сферы финансовых, страховых, логистических и иных услуг, работающие как на федеральном, так и на региональном уровнях, и имеющие хороший потенциал роста.

Поскольку услуги нашего облачного SOC предполагают минимальные затраты на этапе первоначального подключения и далее оплату услуги по модели подписки, это совпадает с моделью бизнеса вышеназванных типов компаний в виде операционной прибыли.

Для клиентов также важно соотношение цены/функциональности облачного SOC в совокупности с персонализацией сервиса. Гибкость под клиента и персонализация сервиса сегодня очень ценятся, всем надоели типовые договоры от топов рынка, которые выглядят как «Нет, здесь нельзя ничего редактировать, можно только вот тут подписать». И мы как раз видим в этом сочетании персонализированного сервиса, цены и функциональности защиты свое УТП (Уникальное торговое предложение), которое позволяет привлекать новых клиентов на обслуживание в UserGate.

Как работает SOC-as-a-Service

CNews: Что входит в состав SOC UserGate? Какие технические компоненты?

Дмитрий Шулинин: Давайте я сначала дам несколько определений, которые чуть ниже помогут понять, как работает SOC. Начну со строгого определения, что такое инцидент ИБ — это возникновение одного или нескольких событий ИБ, с которыми связана вероятность компрометации бизнес-операций и создания угрозы ИБ, злонамеренной активностью или нарушением внутренних политик безопасности.

Инциденты могут быть классифицированы по типам — например атаки на периметр сети, атаки на ИТ-инфраструктуру, нарушения правил безопасности, типовые инциденты, связанные с загружаемыми или исполняемыми приложениями.

Теперь поговорим о технических и организационных компонентах. На площадке клиента разворачивается лог-коллектор от нас как поставщика SOC. Это, образно говоря, наш технический представитель на площадке заказчика, на который стекается вся телеметрия и журналы событий и на нем же первично обрабатывается. Далее информация поступает по защищенному каналу уже на площадку UserGate для «разбора полетов».

Центр кибербезопасности по модели SOC-as-a-Service включает в себя ряд программных компонентов, которые обеспечивают мониторинг, анализ и реагирование на киберугрозы. Эти программные компоненты работают вместе для обеспечения непрерывного мониторинга безопасности, обнаружения угроз и реагирования на них в реальном времени в рамках услуги SOC-as-a-Service:

1. SIEM (Security Information and Event Management): SIEM-система собирает и анализирует журналы событий сетевых устройств, приложений и инфраструктуры клиентов для обнаружения аномалий и потенциальных угроз.
2. Системы детектирования вторжений (IDS/IPS): Используются для обнаружения и блокирования попыток несанкционированного доступа и вредоносного трафика в сети клиента.
3. Аналитические исследовательские инструменты: Это, в основном, инструменты нашей собственной разработки для проведения детального анализа обнаруженных угроз, выявления связей и паттернов в атаках.
4. Технологии машинного обучения и искусственного интеллекта: Очень полезный инструментарий, который применяется для автоматического обнаружения и классификации угроз, а также для анализа больших объемов данных с целью выявления аномалий.
5. Инструменты для реагирования на инциденты: Это средства автоматизации реагирования на угрозы, помогающие аналитикам в быстром реагировании на инциденты с целью выработки рекомендаций для заказчиков по нейтрализации угрозы и минимизации ущерба.
6. Средства визуализации данных для наших аналитиков и клиентов: Предоставляют интуитивно понятные отчеты, графики и дашборды для наглядного представления информации о состоянии безопасности инфраструктуры заказчика.

Средства визуализации будут доступны клиентам через сервис Личного кабинета, чтобы специалисты заказчика могли в реальном времени видеть картину работы киберзащиты.

CNews: Предположим, угроза обнаружена, как дальше действуют специалисты SOС UserGate?

Дмитрий Шулинин: Я хочу вначале пояснить, что существует несколько вариантов обслуживания клиентов. Первый уровень предполагает, что осуществляется мониторинг, оповещения и консультации клиента в части реагирования, то есть мы подскажем специалистам клиента, что следует предпринять для защиты инфраструктуры. Эта информация оперативно доводится до них по согласованным каналам деловой коммуникации. Поскольку мы ориентируемся на средний бизнес, в этих компаниях уже в каком-то виде отстроены процессы информационной безопасности и наши рекомендации есть кому исполнить.

Следующий уровень сервиса, который мы планируем запустить, это будет уже Managed Detection and Response. То есть наша команда поддержки не просто выдаст рекомендации по устранению угрозы, а совместно со специалистом заказчика занимается ее нейтрализацией. Возможно, со временем мы будем предоставлять и аутстаффинг специалистов по кибербезопасности для заказчиков, чтобы им не заниматься наймом сотрудников с такими узкими компетенциями.

Теперь давайте откроем, как происходит аналитика и информирование заказчика об инциденте. В нашем SOC работают три группы аналитиков, которые соответственно, представляют три линии компетенций. Первая линия у нас работает с потоком событий, которые производит система SIEM, они отсматривают предупреждения на потоке событий и принимают по ним первичные решения о реагировании. То есть по стандартной процедуре отсылают сообщение заказчику об инциденте и прикрепляют к сообщению рекомендации, которые им предлагает наша база знаний. Или добавляют фильтр в правило, чтобы не отправлять заказчику ложноположительные срабатывания.

Если происходит какой-то сложный инцидент, требующий более высокого уровня анализа, тикет эскалируется на аналитиков второй линий. На второй линии работают уже ребята, способные провести инцидент от начала и до конца по всему процессу анализа и реагирования. Другие задачи, которые выполняет вторая линия, это как раз разработка и сопровождение правил для системы SIEM, обновление плейбуков по реагированию на инциденты.

Третья линия также может быть привлечена к реагированию на инциденты, но она больше занимается расследованием и форензикой ("cyber forensics", также называемой "digital forensics"). В результате форензического анализа удается выявить детали атаки, включая методы проникновения, действия злоумышленников и последствия для организации. Эта информация помогает улучшить методы защиты и предотвращения подобных инцидентов в будущем. Кроме того, форензика обеспечивает необходимые доказательства для правоохранительных органов или внутренних расследований. Плюс ко всему, 3-я линия у нас также занимается проактивным поиском угроз в инфраструктуре заказчика.

CNews: Как происходит подключение клиента к SOС UserGate, сколько времени это занимает, можно ли бесплатно протестировать сервис?

Дмитрий Шулинин: Заказчик должен понимать, что SOC — это не группа экстрасенсов, и нам для работы потребуется доступ к их инфраструктуре. Если это понимание достигнуто и скреплено документально, то на объект выдвигается наша инженерная группа. которая устанавливает лог-коллектор и проверяет, что вся необходимая информация по сетевому туннелю поступает к нам в SOC.

Обычное время подключения заказчика для проведения пилотного проекта колеблется от двух недель до месяца. Этот срок зависит от размера организации заказчика, числа физических и виртуальных серверов, рабочих станций, наличия у них территориально разделенных подразделений, и от того, насколько четко прописаны процедуры у заказчика, как сотрудничают с нами админы и сетевые инженеры.

Далее, когда все подключено, мы проводим свои тесты и говорим «Все Ок», — тогда и начинается пилотный период. Мы даем заказчику до двух месяцев бесплатного сервиса, чтобы в рамках пилота они смогли понять, что такое SOC и как они будут с нами взаимодействовать.

Мы даже рекомендуем заказчику смоделировать какую-то атаку в течение пилота, пригласив для этого специалистов по аудиту информационной безопасности. Это будет интересное испытание и тренинг для персонала заказчика, да и нам интересно проверить свои системы.

В идеальном сценарии, когда заказчика не атакуют, нас должно быть не видно и не слышно, но при этом мы должны все контролировать. Поэтому пилотный запуск на полтора — два месяца считаем оптимальным для того, чтобы успеть развернуться и протестировать работу специалистов заказчика с нашей командой.

CNews: Что вы посоветуете клиентам, которые хотят больше узнать про SOC UserGate, прежде чем соглашаться на пилотный проект?

Дмитрий Шулинин: Чтобы узнать больше, что такое SOC и об организации эффективной системы по защите предприятия от кибер-угроз, я советую принять участие в нашей 5-й ежегодной конференции. Она состоится 25 апреля 2024 года в Москве.

На этой конференции UserGate традиционно собирает гостей, чтобы обсудить широкий круг актуальных вопросов, касающихся ИБ: от нового международного ландшафта киберугроз до создания комплексной экосистемы на основе технологически независимых продуктов и сервисов.

Для тех коллег, кто не сможет посетить конференцию лично, будет вестись онлайн-трансляция докладов.

Чтобы принять участие, приглашаем вас зарегистрироваться на нашем сайте. Участие в конференции бесплатное.

Короткая ссылка на материал: //cnews.ru/link/a20702