Штаб цифрової фортеці. Як влаштовано центр інформаційної безпеки

21 листопада 2017, 12:00
Спецпроект

Організація центру інформаційної безпеки — досить складний процес, який потребує врахування сотні факторів. Розповідаємо про основні принципи того, як вибудувати надійний штаб управління захистом цифрових мереж

Звичайний користувач може захистити себе від небезпек в інтернеті за допомогою антивірусів і фаєрволів. Серйозним і великим організаціям цього недостатньо - їм необхідно створювати центри "цифрової охорони". Такі "цифрові штаби" стоять на варті інформаційної безпеки компаній і установ, координуючи дії фахівців з кібербезпеки.

Відео дня

У романі Дена Брауна "Цифрова фортеця" подібний центр інформаційної безпеки показано надміру спрощено. Автор бестселерів зводить все до нехитрих загадок і нескладних кодів, у результаті "зламати" систему вдається навіть непрофесіоналові. Насправді, "цифрові штаби" (CSOC, від англійського Cyber Security Operations Centre) - центри управління інформаційною безпекою - це серце і мозок захисту інформаційних систем організації. У цій статті ми розповідаємо про їх пристрої доступно для неспеціалістів.

Сама інформаційна безпека - це не стільки продукт, скільки процесс

Спрощуючи, CSOC - це штаб команди інформаційної безпеки. Його штат і інфраструктура підібрані так, щоб постійно відстежувати й аналізувати кіберзагрози - як «оперативну обстановку» в країні та світі, так і фактично постійні фонові атаки - а також автоматичні рутинні дії системи захисту за їх відображенням, стан самого захисту, каже Володимир Кург, R&D-директор компанії "ІТ-Інтегратор". На основі отриманої інформації команда CSOC блокує кібератаки на організацію, реагує на різні інциденти в мережі, розслідує, чому вони виникли, а потім розробляє дії, які допоможуть запобігти таким випадкам надалі.


Більш того, сама інформаційна безпека - це не стільки продукт, скільки процес, наголошує фахівець. За його словами, без грамотної організації процесів і оперативного реагування на інциденти, кіберзахист ніколи не буде достатньо ефективним. "Ці процеси спираються на практику та міжнародні стандарти, на які в Україні дуже рідко звертають увагу, часто, на жаль, намагаючись «придумати велосипед», що позначається на ефективності", - вказує на поширену проблему вітчизняних компаній і держустанов Володимир Кург.

Дані ж в CSOC надходять з багатьох джерел. Так, регулярно "звітують" про свій стан операційні системи серверів, робочі станції, мережеве обладнання, бази даних та інші пристрої та програми. Триває постійний потік зовнішньої інформації про нові методи атак і загрози, виявлені вразливості в обладнанні та ПО, рівні активності хакерських груп та інші важливі процеси в цифрових системах.

Комплекс з безлічі елементів

Уже з визначення зрозуміло, що CSOC - критично важлива для серйозної організації система. Відразу пригадуються гучні останнім часом інциденти з атаками на мережі розподілу електроенергії в Прикарпатті, в Києві, вірусні епідемії травня-червня 2017 року. Може, якщо зобов'язати всі компанії та установи мати свої CSOC, то все стане добре? На жаль, не все красиво написане на папері, добре насправді.

Моніторинг інформаційної безпеки — надзвичайно трудомістке завдання і без засобів автоматизації, що беруть на себе рутинну роботу, «фільтруючи» потік подій і виявляючи в ньому закономірності й сліди атакувальників, не обійтися. Ці системи — SIEM (Security Incident Management Systems) зараз є невід'ємним компонентом CSOC'ів. Не слід лякатися складних слів — за ними стоїть аналіз у реальному часі "тривожних сигналів" безпеки від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для фіксації даних і генерації звітів з метою сумісності з іншими бізнес-даними.

Але CSOC - це не просто "датчики", які стежать за безпекою, і адміністратори, які, дивлячись на монітор чекають тривожних сигналів. Ця думка абсолютно невірна, каже Володимир Кург і наголошує, що такі люди "не тільки дивляться, але й аналізують побачене і, головне, діють". Ніхто не заперечує, що SIEM був і поки залишається найважливішим компонентом Центру управління інформаційною безпекою. Але CSOC - це перш за все комплекс програмно-технічних засобів, кваліфікованого персоналу та цілодобової чергової зміни з вивіреними процесами взаємодії, з точно виписаними параметрами обслуговування, кажуть експерти.

Жодною зі складових цього складного комплексу не можна знехтувати або надмірно посилити якийсь із елементів, додає він. При побудові Центру управління інформаційною безпекою, розповідає експерт, слід пам'ятати і про інші, не менш важливі цілі. Йдеться про такі завдання, як адміністрування засобів забезпечення інформаційної безпеки, постійний контроль за вразливостями периметра і в підконтрольних системах всередині мережі, контроль привілейованих користувачів і багато інших.

CSOC - не "коробковий продукт"

Центр інформаційної безпеки - це перш за все команда, де кожен грає на загальний результат за суворо визначеними правилами, стверджує колумніст авторитетного видання Security Affairs П'єрлуїджі Паганіні. "Потрібні лідери та лідерство, але не варто забувати і про значимість інженерів, аналітиків і операційних працівників".

Первинними функціями такого центру він вважає аналіз на основі поточного моніторингу подій безпеки. Потім йде виявлення тривог, відповідь на інциденти безпеки і, врешті-решт, виправлення наслідків кожної відстежуваної події. Наріжними цінностями роботи команди Паганіні називає співпрацю, сучасність і ефективність.

Фахівці відзначають, що робота "машини" CSOC неминуче пов'язана зі стресом, адже вона повинна справно функціонувати 24 години на добу, 7 днів на тиждень. Але складність з'являється "не через режим 24х7, а через необхідність при інцидентах діяти швидко і правильно в умовах браку інформації", — зазначає Кург. "І тут вже питання готових аварійних регламентів, кваліфікації людей за якими діє персонал CSOC'у. І навичок дій у таких умовах. Такі навички необхідно окремо виробляти та відточувати під час спеціальних тренінгів та симуляцій", — уточнює він.

Підбір команди і правильний розподіл ролей в ній — одне з найважливіших завдань для гарантій подальшої успішної роботи

Тому експерти з інформаційної безпеки наполягають, що підбір команди та правильний розподіл ролей в ній - одне з найважливіших завдань для гарантій подальшої успішної роботи Центру. Наприклад, радять підібрати правильну кількість працівників: не надто мало, щоб уникнути надмірного навантаження, але й не занадто багато, щоб не розпорошувати відповідальність і завдання. Одним з варіантів вирішення такої проблеми пропонують комбінацію власних ресурсів і аутсорсингу.

Якщо якісних програмно-технічних засобів на ринку не бракує (були б гроші), відзначають знавці ринку, то фахівців з глибокою профільною експертизою знайти вже складно. Все це ставить під питання економічну доцільність підходу «CSOC в кожну організацію», адже це нелегке завдання навіть для великого, за мірками України, бізнесу, вважають аналітики.

І, нарешті, одне із завдань CSOC'ів - навчання та інформування користувачів — від прищеплення їм культури кібербезпеки до оперативного інформування про загрози, що виникають, і плани дій під час атак. Без такої роботи з користувачами кіберзахист організації просто не буде достатньо ефективним.

Проте це завдання все одно необхідно вирішувати. Особливо його реалізація необхідна для критично важливих елементів інфраструктури, таких як великі підприємства і органи держуправління. Вже є приклади створення подібних центрів — організовується Центр кіберзахисту при Держспецзв'язку, будується CERT в НБУ, будується центр з функціями CSOC в "Укренерго".

При цьому, швидше за все, доцільно створювати не безліч окремих «приватних» центрів, а вибудовувати галузеві CSOC-и. Наприклад у фінансовій сфері, в галузі транспортування і розподілу електроенергії, в транспорті та інших галузях.

Конфуцій і безпека цифрових мереж

У компанії Cisco напівжартома пояснюють своє ставлення до організації інформаційної безпеки словами китайського філософа Конфуція, який якось сказав: "Скажи мені - і я забуду, покажи мені - і я запам'ятаю, дай мені зробити - і я зрозумію". Тому там роблять акцент на навчанні персоналу та постійному підвищенні досвіду.

"Технології технологіями, але все-таки в тріаді "Люди - Процеси - Технології" вони перебувають на останньому місці, віддаючи пальму першості людині. В Microsoft Cyber Defense Operations Center працює 50 осіб, в Cisco CSIRT - 103... Є така приказка: "Якщо намагатися автоматизувати хаос, то вийде автоматизований хаос", - відзначає представник Сisco, експерт з інформаційної безпеки Олексій Лукацький.

Він розповідає, що для правильного впровадження сучасних технологій і досягнення необхідного ефекту потрібні кваліфіковані люди. "Без людей сьогодні багато технологій можуть перетворитися на дорогі іграшки", - наполягає Лукацький і наводить досвід Cisco, одного з лідерів світового ринку інформаційної безпеки за оборотами і за кількістю встановлених засобів захисту. Центр CSOC фірми, зазначає він, не намагається впроваджувати все, що з'являється на ринку - значна частина ресурсів йде на роботу з людьми, вибудовування процесів, встановлення взаємодії з ІТ, оперативне реагування на інциденти та регулярне підвищення обізнаності.

Фахівців, відзначають експерти ринку, можна брати і на аутсорсингу. В Україні, як і в світі, поступово починає рости ринок комерційних CSOC. Провайдери таких послуг, для яких експлуатація CSOC -основний бізнес, за прийнятну вартість надають його послуги і переводять інформаційну безпеку клієнтів на якісно новий рівень.

Україна тільки починає рухатися в цьому напрямі. Наскільки буде близьким цей шлях, покаже час, кажуть експерти.

Текст доступний на умовах ліцензії Creative Commons Attribution-ShareAlike. При написанні матеріалу були використані коментарі спеціалістів компанії IT-Integrator.

Показати ще новини
Радіо НВ
X