Штаб цифровой крепости. Как устроен центр информационной безопасности
Организация центра информационной безопасности — достаточно сложный процесс, который требует учета сотни факторов. Рассказываем об основных принципах того, как выстроить надежный штаб управления защитой цифровых сетей
Обычный пользователь может оградить себя от опасностей в интернете с помощью антивирусов и фаерволов. Серьезным и крупным организациям этого недостаточно - им необходимо создавать центры "цифровой охраны". Такие "цифровые штабы" стоят на страже информационной безопасности компаний и учреждений, координируя действия специалистов по кибербезопасности.
В романе Дэна Брауна "Цифровая крепость" подобный центр информационной безопасности показан чрезмерно упрощенно. Автор бестселлеров сводит все к нехитрым загадкам и несложным кодам, в результате "взломать" систему удается даже непрофессионалу. На самом деле, "цифровые штабы" (CSOC, от английского Cyber Security Operations Centre) - центры управления информационной безопасностью - это сердце и мозг защиты информационных систем организации. В этой статье мы рассказываем об их устройстве доступно для неспециалистов.
Сама информационная безопасность - это не столько продукт, сколько процесс
Упрощая, CSOC - это штаб команды информационной безопасности. Его штат и инфраструктура подобраны так, чтобы постоянно отслеживать и анализировать киберугрозы - как «оперативную обстановку» в стране и мире, так и, фактически, постоянные фоновые атаки - а также автоматические рутинные действия системы защиты по их отражению, состояние самой защиты, говорит Владимир Кург, R&D-директор компании "ИТ-Интегратор". На основе полученной информации команда CSOC блокирует кибератаки на организацию, реагирует на различные инциденты в сети, расследует, почему они возникли, а затем разрабатывает действия, которые предотвратят такие случаи в дальнейшем.
Более того, сама информационная безопасность - это не столько продукт, сколько процесс, подчеркивает специалист. По его словам, без грамотной организации процессов и оперативного реагирования на инциденты, киберзащита никогда не будет достаточно эффективной. "Эти процессы опираются на практику и международные стандарты, на которые в Украине очень редко обращают внимание, зачастую, к сожалению, пытаясь «придумать велосипед», что сказывается на эффективности", - указывает на распространенную проблему отечественных компаний и госучерждений Владимир Кург.
Данные же в CSOC поступают из множества источников. Так, регулярно "отчитываются" о своем состоянии операционные системы серверов, рабочие станции, сетевое оборудование, базы данных и другие устройства и программы. Идет постоянный поток внешней информации о новых методах атак и угрозах, выявленных уязвимостях в оборудовании и ПО, уровне активности хакерских групп и других важных процессах в цифровых системах.
Комплекс из множества элементов
Уже по определению понятно, что CSOC - критически важная для серьезной организации система. Сразу вспоминаются нашумевшие в последнее время инциденты с атаками на сети распределения электроэнергии в Прикарпатье, в Киеве, вирусные эпидемии мая-июня 2017 года. Может, если обязать все компании и учреждения иметь свои CSOC, то всё станет хорошо? К сожалению, не всё красиво написанное на бумаге, гладко в действительности.
Мониторинг информационной безопасности - чрезвычайно трудоемкая задача, и без средств автоматизации, берущих на себя рутинную работу, «фильтрующих» поток событий и выявляющих в нем закономерности и следы атакующих, не обойтись. Эти системы - SIEM (Security Incident Management Systems) сейчас являются неотъемлемым компонентом CSOC’ов. Не стоит пугаться сложных слов - за ними стоит анализ в реальном времени "тревожных сигналов" безопасности от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для фиксации данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Но CSOC - это не просто "датчики", которые следят за безопасностью, и администраторы, которые глядя в монитор ждут тревожных сигналов. Это мнение в корне ошибочно, говорит Владимир Кург и подчеркивает, что такие люди "не только смотрят, но и анализируют увиденное и, главное, действуют". Никто не отрицает, что SIEM был и пока остается важнейшим компонентом Центра управления информационной безопасностью. Но CSOC - это прежде всего комплекс программно-технических средств, квалифицированного персонала и круглосуточной дежурной смены с выверенными процессами взаимодействия, с точно выписанными параметрами обслуживания, говорят эксперты.
Ни одной из составляющих этого сложного комплекса нельзя пренебречь или чрезмерно усилить какой-то из элементов, добавляет он. При построении Центра управления информационной безопасностью, рассказывает эксперт, следует помнить и о других, не менее важных целях. Речь идет о таких задачах, как администрирование средств обеспечения информационной безопасности, постоянный контроль за уязвимостями периметра и в подконтрольных системах внутри сети, контроль привилегированных пользователей и многих других.
CSOC - не "коробочный продукт"
Центр информационной безопасности - это прежде всего команда, где каждый играет на общий результат по строго определенным правилам, утверждает колумнист авторитетного издания Security Affairs Пьерлуиджи Паганини. "Нужны лидеры и лидерство, но не стоит забывать и о значимости инженеров, аналитиков и операционных работников".
Первичными функциями такого центра он считает анализ на основе текущего мониторинга событий безопасности. Затем идет обнаружение тревог, ответ на инциденты безопасности и, в конце концов, исправление последствий каждого отслеженного события. Краеугольными ценностями работы команды Паганини называет сотрудничество, современность и эффективность.
Специалисты отмечают, что работа "машины" CSOC неизбежно сопряжена со стрессом, ведь она должна исправно функционировать 24 часа в сутки, 7 дней в неделю. Но сложность появляется "не из-за режима 24х7, а из-за необходимости при инцидентах действовать быстро и правильно в условиях нехватки информации", - отмечает Кург. "И здесь уже вопрос готовых аварийных регламентов, квалификации людей по которым действует персонал CSOC’а . И навыков действий в таких условиях. Такие навыки необходимо отдельно вырабатывать и оттачивать во время специальных тренингов и симуляций", - уточняет он.
Подбор команды и правильное распределение ролей в ней - одна из важнейших задач для гарантий дальнейшей успешной работы
Поэтому эксперты по информационной безопасности настаивают, что подбор команды и правильное распределение ролей в ней - одна из важнейших задач для гарантий дальнейшей успешной работы Центра. Например, советуют подобрать правильное количество сотрудников: не слишком мало, чтобы избежать чрезмерной нагрузки, но и не слишком много, чтобы не распылять ответственность и задания. Одним из вариантов решения такой проблемы предлагают комбинацию собственных ресурсов и аутсорсинга.
Если в качественных программно-технических средствах на рынке недостатка нет (были бы деньги), отмечают знатоки рынка, то специалистов с глубокой профильной экспертизой найти уже сложно. Все это ставит под вопрос экономическую целесообразность подхода «CSOC в каждую организацию», ведь это нелегкая задача даже для крупного, по меркам Украины, бизнеса, считают аналитики.
И, наконец, одна из задач CSOC’ов - обучение и информирование пользователей - от привития им культуры кибербезопасности до оперативного информирования о возникающих угрозах и планах действий во время атак. Без такой работы с пользователями киберзащита организации попросту не будет достаточно эффективной.
Тем не менее, эту задачу все равно необходимо решать. Особо ее реализация необходима для критически важных элементов инфраструктуры, таких как крупные предприятия и органы госуправления. Уже есть примеры создания подобных центров - организовывается Центр киберзащиты при Госспецсвязи, строится CERT в НБУ, строится центр с функциями CSOC в "Укрэнерго".
При этом, скорее всего, целесообразно создавать не множество отдельных «частных» центров, а выстраивать отраслевые CSOC-и. Например в финансовой сфере, в области транспортировки и распределения электроэнергии, в транспорте и других отраслях.
Конфуций и безопасность цифровых сетей
В компании Cisco полушутя поясняют свое отношение к организации информационной безопасности словами китайского философа Конфуция, который как-то сказал: “Скажи мне - и я забуду, покажи мне - и я запомню, дай мне сделать – и я пойму”. Поэтому там делают акцент на обучении персонала и постоянном повышении опыта.
"Технологии технологиями, но все-таки в триаде "Люди - Процессы - Технологии" они находятся на последнем месте, отдавая пальму первенства человеку. В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT - 103… Есть такая поговорка: "Если пытаться автоматизировать хаос, то получится автоматизированный хаос", - отмечает представитель Сisco, эксперт по информационной безопасности Алексей Лукацкий.
Он рассказывает, что для правильного внедрения современных технологий и достижения нужного эффекта нужны квалифицированные люди. "Без людей сегодня многие технологии могут превратиться в дорогостоящие игрушки", - настаивает Лукацкий и приводит опыт Cisco, одного из лидеров мирового рынка информационной безопасности по оборотам и по количеству установленных средств защиты. Центр CSOC фирмы, отмечает он, не пытается внедрять все, что появляется на рынке - значительная часть ресурсов уходит на работу с людьми, выстраивание процессов, установление взаимодействия с ИТ, оперативное реагирование на инциденты и регулярное повышение осведомленности.
Специалистов, отмечают эксперты рынка, можно брать и на аутсорсинге. В Украине, как и в мире, постепенно начинает расти рынок коммерческих CSOC. Провайдеры таких услуг, для которых эксплуатация CSOC - основной бизнес, за приемлемую стоимость предоставляют его услуги и переводят информационную безопасность клиентов на качественно новый уровень.
Украина только начинает двигаться в этом направлении. Насколько будет близким этот путь, покажет время, говорят эксперты.
Текст доступен на условиях лицензии Creative Commons Attribution-ShareAlike. При написании материала были использованы комментарии специалистов компании IT-Integrator.
