ТЕНДЕНЦИИ РАЗВИТИЯ СИСТЕМ БЕЗОПАСНОСТИ И СЕТЕВОЙ ОТРАСЛИ
Границы распределенных сетей быстро размываются, и организации вынуждены решать сложные задачи по сбору данных и управлению ими от множества устройств, по их контролю, обработке и хранению в любой точке планеты, а также по масштабированию и перераспределению ресурсов для удовлетворения новых потребностей. Распространение устройств Интернета вещей, облачных вычислений, мобильных потребителей и онлайн-приложений только ускоряет эти изменения. По мере дальнейшего расширения и стирания границ сети наблюдается увеличение числа и разнообразия потенциальных источников угроз, которые возникают чаще, становятся все более распространенными и приобретают комплексный характер.
В результате потенциал прорыва системы безопасности сегодня высок как никогда. К сожалению, унаследованные методы, технологии и процедуры управления угрозами и реагирования на нарушения системы безопасности не позволяют реализовать устойчивые и жизнеспособные стратегии защиты в современных динамичных и распределенных сетевых средах. Несмотря на беспрецедентные инвестиции в устройства защиты, бреши продолжают встречаться повсеместно, в том числе и там, где формально обеспечивается «соответствие» стандартам. Все это приводит к выводу о том, что для эффективного функционирования современных сетей необходимы новые руководители, новое мышление, новые инструменты и новые процессы.
Для одних организаций это станет побудительным стимулом к созданию корпоративного центра управления информационной безопасностью (Security Operations Center, SOC) или расширению его возможностей, другие предпочтут обратиться к поставщикам услуг аутсорсинга безопасности и управляемых сервисов (Managed Service Provider, MSP).
SOC КАК СТРАТЕГИЯ
Противодействие современным угрозам невозможно без адаптивного контроля, а также сбора и сопоставления локальной и глобальной информации, что позволяет прогнозировать возникновение как уже существующих, так и будущих угроз. Не менее важная роль отводится глубокому контекстно-зависимому анализу, который обеспечивает более быстрое выявление угроз и своевременное реагирование на них.
Если организация создает SOC впервые, нужно четко понимать вызовы, с которыми ей предстоит столкнуться и влияние которых желательно минимизировать:
- Количество и сложность угроз растут. Мониторинг среды очень быстро ведет к информационной перегрузке специалистов по безопасности: тревожных сигналов слишком много, и нет простых способов их ранжировать.
- Эффективно защитить всё без исключения невозможно.
- Распределение ответственности между ИТ-группами, динамическое изменение сетей и раздробленная инфраструктура безопасности ограничивают возможности контроля критически важных активов и процессов компании.
- Многие SOC развивались естественным образом, при этом процессы, инструменты и методологии разрабатывались по мере необходимости, причем чаще всего вручную. Недостаточная автоматизация снижает возможности быстрого реагирования на угрозы с целью предотвращения компрометации сети.
- Неполное представление о противниках в сфере безопасности не позволяет принять адекватные решения.
- Растущий разрыв в уровне квалификации специалистов затрудняет управление средой и повышает уязвимость сетей.
ЦЕНТР УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Де-факто SOC состоит из трех взаимосвязанных стандартных компонентов: людей, процессов и технологий.
Люди. В вашем распоряжении могут быть самые новые технологии и процессы, но этого недостаточно — нужны грамотные специалисты, которые могли бы эффективно управлять SOC. Они должны не только обладать техническими навыками, но и уметь взаимодействовать с руководством и обладать навыками общения. Для удержания квалифицированных сотрудников нужно организовывать обучение и создавать условия, позволяющие им реализовать свои карьерные устремления. Необходимо работать со всеми, кто имеет доступ к сети, — с персоналом компании, клиентами и поставщиками.
Процессы. Правильно определенные процессы важны не меньше, чем люди. Хорошие процессы — это база для достижения желаемой производительности и эффективности. Они должны регулярно подвергаться анализу и подкрепляться грамотным управлением, технологиями, операционными стандартами и контролем ключевых показателей эффективности.
Технологии. Важная роль отводится и технологиям, применяемым в SOC. Для эффективного обнаружения угроз необходимо определить, какие понадобятся продукты, типы данных о событиях, инструменты корреляции и дополнительные ситуативные источники информации.
Остановимся на каждом из этих компонентов более подробно.
ЛЮДИ
Прежде всего следует поговорить о директорате и акционерах, поскольку именно они должны быть вовлечены в общую программу укрепления безопасности и повышения ее эффективности в контексте реализации стратегических инициатив. Именно им придется принимать решения о том, что важно для них, для бизнеса, для сотрудников и клиентов. Эти люди могут стать основными союзниками в деле повышения эффективности SOC, поэтому важно, чтобы они были вовлечены в процесс непрерывной модернизации.
В зависимости от размеров SOC членам команды отводятся разные роли. В крупных центрах на каждой позиции нужны специалисты, понимающие, кто и как классифицирует инциденты. В небольших SOC каждый участник выполняет сразу несколько функций. Четкое распределение задач должно гарантировать, что ни один аспект управления SOC не будет забыт.
Нужно учесть, что к персоналу SOC предъявляются очень высокие требования, многие сотрудники быстро устают и теряют энтузиазм. Регулярное повышение квалификации и обучение нескольким специальностям имеют существенное значение для поддержания мотивации. Кроме того, каждый член команды должен четко понимать, какой может быть его карьера.
В таблице приводится пример распределения различных ролей и позиций в типичном SOC. Конкретный набор должностей может меняться, роли зачастую объединяются, но она дает представление о том, с чем придется иметь дело.
ПРОЦЕССЫ
SOC требует специальных процессов для бизнеса, технологий, операций и аналитики.
Бизнес-процессы. Они определяют общее направление деятельности SOC. На этом этапе формулируются цели и задачи, а также задаются приоритеты и функции. Обычно все это делается еще до начала создания центра. К критически важным бизнес-процессам относятся следующие:
Спонсор проекта. Главная задача спонсора заключается в том, чтобы убедить в необходимости создания SOC директоров компании и руководителей отдельных подразделений в ходе образовательных семинаров, тренингов и т. д. Без поддержки руководства вероятность успешного построения SOC невелика. Важное значение в ходе обоснования имеет определение целей и причин создания SOC.
Миссия и ориентиры. Сюда относится определение зон ответственности, конкретных задач и заказчиков. Формулировка, к примеру, может звучать так: «Предоставление 24 часа в сутки и 7 дней в неделю услуг, направленных на повышение уровня безопасности всей организации на основе непрерывного мониторинга, по результатам которого будут осуществляться выявление инцидентов и противодействие им в целях снижения рисков и последствий воздействия потенциальных киберугроз. В число этих функций входит управление всеми сетевыми устройствами и средствами безопасности, включая рабочие станции, мобильные устройства и системы».
Цели и задачи. Цели и задачи SOC могут включать, например, обнаружение киберинцидентов и нарушений системы безопасности, профилактику инцидентов, доклад руководству о текущей ситуации, а также непрерывное улучшение безопасности на основе почерпнутых уроков.
Функции. Функции SOC обеспечивают выполнение миссии и достижение бизнес-целей. В качестве примера можно привести регистрацию инцидентов, контроль за соблюдением нормативных требований, управление конфигурацией (скажем, при изменении правил межсетевого экрана и системы предотвращения вторжений), а также обновление уязвимых систем.
Мероприятия и зоны ответственности. Здесь описывается повседневная деятельность в рамках каждой функции и определяются роли персонала SOC. Так, контроль за соблюдением нормативных требований может предусматривать создание и мониторинг соответствующих инструментальных панелей SIEM, формирование и просмотр отчетов о соблюдении необходимых норм, а также обеспечение правильной конфигурации ресурсов.
Проконтролировать и защитить все компоненты среды практически невозможно. Поэтому придется определять приоритеты для ключевых бизнес-процессов, выделять для них необходимые ресурсы и конкретизировать важные или подпадающие под требования регулятора данные.
Cубъекты, от которых исходит угроза. Выяснив, какие данные циркулируют в вашей среде, вы сможете понять, какие субъекты заинтересованы в их похищении. Кто они? В чем их интерес? Какими возможностями они обладают и какова их тактика?
К субъектам, от которых исходит угроза, относятся государственные и отраслевые кибершпионы, организованная преступность, хактивисты, деструктивные инсайдеры, беспринципные хакеры, вандалы, взломщики-дилетанты. Сюда же можно отнести ошибки пользователей.
Метрики. Чтобы определить эффективность SOC, вам придется описать показатели производительности и рисков. Метрики должны быть конкретными, измеримыми, доступными, актуальными и своевременными. К высокоуровневым задачам для их создания относятся определение ключевых показателей эффективности (KPI), идентификация основных узлов для сбора данных, описание нормального функционирования сети, а также установление целевых диапазонов, порядка расчета KPI и периодичности отчетов.
Технологические процессы. Многие продукты устанавливаются и управляются некорректно, поэтому вы не получаете полноценной отдачи от своих технологических инвестиций. Организация технологических процессов обеспечивает эффективное конфигурирование, администрирование технологии и управление ею на протяжении всего ее жизненного цикла.
Проектирование сети и сегментация. Понимание того, как спроектирована сеть, особенно в части подключения устройств, распределения потоков и местонахождения данных, все более усложняется из-за роста облачных сетей, виртуализации данных, наличия удаленных узлов, мобильных работников и портативных устройств, подключений бизнес-партнеров и теневых ИТ.
Составление карты сети и потоков данных помогает выявить возможные пути атаки и позволяет создать основу для развертывания датчиков, точек сбора данных, инструментов управления и анализа. Кроме того, наличие такой карты позволяет с большей эффективностью осуществить сегментирование сети и выделить логические зоны безопасности и прохождения трафика.
Вот простой пример сегментации сети (см. рис. 1):
- Незащищенная зона. Содержит неизвестные и неконтролируемые системы, например устройства в Интернете.
- Демилитаризованная зона. Защищаемая область, доступная для неизвестных и неконтролируемых устройств, которые запрашивают доступ к ресурсам сети. Здесь важно фильтровать и отслеживать входящий и исходящий трафик.
- Доверенная зона. Внутренняя область для корпоративных систем, где находятся почтовая система, файловые серверы и корпоративные сетевые устройства.
- Зона с ограниченным доступом. Здесь располагаются системы, доступ к которым ограничен в силу важности и конфиденциальности данных. Зачастую на такие области распространяются требования регулирующих органов. Серверы, установленные в этой зоне, не должны иметь доступа к Интернету.
- Подзоны. Внутри зоны с ограничениями доступа можно создать дополнительные зоны, при этом необходимо обеспечить должное управление ими и их мониторинг.
Рис. 1. Сегментация сети |
Управление конфигурацией. Многие сетевые бреши возникают из-за неправильно сконфигурированных устройств. Изначально конфигурации устройств могут быть безопасными, но после очередных изменений в них появляются уязвимые места. Вот почему необходимо управлять процессом конфигурации и контролировать изменения, которые должны вноситься только авторизованными пользователями и соответствовать корпоративной политике.
Контроль за изменениями предусматривает выполнение четко определенных задач: документирование текущих конфигураций сетевых устройств, детализацию любых вносимых изменений с обоснованием цели, поддержку архива прежних конфигураций (позволяет вернуть устройства в известное безопасное состояние), определение политик управления темпами изменений и регистрацию лиц, обладающих необходимыми полномочиями для внесения изменений и возврата в предыдущие состояния.
Операционные процессы. Атаки совершаются быстро, а вредоносные программы обычно запускаются автоматически, поэтому SOC должен оперативно распознавать угрозы и реагировать на них. Внедрение операционных процессов и процедур помогает стандартизировать повседневные операции, повышая эффективность SOC. Там, где это возможно, для выполнения повторяющихся задач нужно использовать технологии автоматизации.
Процедуры для контроля сменяемости персонала. Независимо от того, имеется ли в вашем SOC несколько категорий аналитиков или же все немногочисленные аналитики имеют один и тот же статус, важно обеспечить контроль за работой персонала. Сюда относятся процедуры пересменки (ведение журналов и выполнение обновлений), составление расписания смен с указанием конкретных сотрудников, определение процедур регистрации посетителей. Некоторые из этих процедур, например системы фиксации инцидентов, должны поддерживаться технологиями поставщиков.
Планы реагирования на инциденты. Процедуры реагирования на инциденты (Incident Response, IR) обеспечивают выбор правильного решения, документирование и отчетность по всем принимаемым мерам и дополнительным расследованиям инцидентов, связанных с безопасностью. Здесь требуются правильная идентификация, точное документирование и сбор доказательств.
Планы распределения ресурсов. Планирование ресурсов позволяет выделять такое количество персонала, которого оказалось бы достаточно для борьбы с определенным объемом угроз. Выбор и внедрение соответствующих технологий помогут решить вопросы, связанные с ресурсами и бюджетом, а ранжирование инцидентов будет способствовать повышению эффективности процессов и минимизации численности персонала, поддерживающего SOC.
Физический доступ. SOC является критически важным ресурсом, поэтому физический доступ необходимо тщательно контролировать при помощи карт доступа, цифровых замков и биометрических параметров. Инструменты контроля физического доступа должны регистрировать моменты входа и выхода персонала SOC в журналах аудита.
Аналитические процессы. Очень важно минимизировать число дорогостоящих ошибок и промахов, связанных с идентификацией и разрешением инцидентов в области безопасности. Для решения этой задачи в большинстве организаций предусматриваются формальные документированные процессы, которых должны придерживаться аналитики. Среди прочего в них указываются порядок и сроки информирования руководства об обнаруженных инцидентах. К аналитическим процессам относятся формирование отчетов, организация управления, а также анализ вторжения и вредоносных программ.
Формирование отчетов. Это один из самых важных сервисов SOC, который обеспечивает постоянный контроль за ситуацией и выявление высокоприоритетных рисков и угроз. Для решения этой задачи отчеты необходимо создавать как для персонала, так и для руководства. Большинство из них должны генерироваться автоматически, ориентироваться на конкретную аудиторию и содержать анализ тенденций, помогающий обнаруживать аномалии, которые в общем случае не видны.
Анализ вредоносных программ. Для понимания контекста инцидента аналитикам SOC нужны инструменты и навыки, которые помогали бы анализировать вредоносные программы и выявлять правонарушения. Уровень финансирования и квалификации сотрудников зачастую недостаточен для создания полноценной лаборатории анализа вредоносных программ. В качестве компенсации используется технология «песочницы», позволяющая автоматизировать процесс анализа вредоносного кода, и устанавливаются дополнительные средства обнаружения на межсетевых экранах, оконечных узлах и в почтовых системах. В идеале команда SOC должна обладать необходимыми навыками и использовать новейшую технологию «песочницы».
Интегрированные решения управления безопасностью
Создание SOC начинается с понимания особенностей вашего бизнеса, для чего необходимо ответить на ряд важных вопросов. Какие инициативы выдвигает сегодня ваша компания? Насколько критична каждая из них для развития бизнеса? Что нужно отслеживать и контролировать? Каковы целевые показатели повышения производительности? Какие из возможных проектов нуждаются в рассмотрении и реализации? Какими существующими и будущими рисками нужно управлять? Какой уровень риска считается приемлемым для достижения успеха?
Мы начали с создания целостной системы безопасности Fortinet Security Fabric. Она базируется на общей операционной системе и интегрированных решениях, поэтому ее можно динамически адаптировать к изменяющимся потребностям ИТ-инфраструктуры и защищаться от быстро развивающихся и непредсказуемых атак. Fabric помогает грамотно и прозрачно делить сеть на сегменты и микросегменты и глубоко интегрировать в распределенную среду передовые средства защиты против сложных угроз.
Поскольку инструментарий Fortinet и ее партнеров основан на общем наборе открытых стандартов, каждый элемент системы безопасности способен взаимодействовать со всеми остальными элементами, что позволяет обмениваться политиками, принудительно применять их, интегрировать сведения об угрозах, понимать информацию потока приложений и автоматически синхронизировать скоординированный ответ на обнаруженные угрозы.
К ключевым компонентам Fortinet Security Operations относятся FortiAnalyzer, FortiManager, FortiGuard Threat Intelligence и FortiSIEM. FortiAnalyzer обеспечивает централизованный анализ данных, собранных сетевыми устройствами и средствами безопасности, а также более быстрое и точное распознавание угроз. FortiManager позволяет персоналу SOC и центра управления сетью (Network Operations Center, NOC) инициировать и синхронизировать скоординированный ответ на обнаруженные устройствами Fortinet угрозы независимо от того, какая часть сети была скомпрометирована. FortiGuard Threat Intelligence динамически добавляет информацию о глобальных угрозах к профилю атаки, обеспечивая своевременное и точное распознавание угроз в реальном времени.
FortiSIEM формирует для команды SOC централизованное представление о том, что необходимо сделать для улучшения управления всем разнообразием быстро меняющихся сред, предназначенных для обеспечения безопасности, функциональности, соблюдения нормативных требований и удовлетворения потребностей бизнеса. С помощью запатентованной технологии обнаружения угроз в реальном времени выполняется сравнение результатов анализа NOC и SOC, благодаря чему решения SOC лучше «понимают» контекст своей среды.
Формат виртуального программно-аппаратного комплекса FortiSIEM предлагает простое и быстрое развертывание решения, обеспечивая автоматическую интеграцию сотен операционных и сетевых устройств, а также аппаратных средств безопасности, в том числе не относящихся к семейству Fortinet. Развитые возможности обнаружения подключенных к сети устройств и автоматизированного определения их конфигурации позволяют сформировать динамическую централизованную базу управляющих данных (Dynamic Centralized Management Database, CMDB). В дальнейшем собранная информация об угрозах анализируется в контексте событий с использованием FortiGuard Threat Intelligence и сведений об угрозах, предоставляемых независимыми поставщиками.
FortiSIEM предоставляет готовые отчеты для всех типовых ситуаций (в том числе с учетом требований стандартов и регуляторов), а также для управления бизнес-приложениями. Кроме того, для формирования отчетов об отдельных сетевых сегментах и виртуальных или логических средах поддерживается архитектура с множественной арендой. Всеми этими средствами можно управлять с единой консоли, что упрощает и ускоряет обнаружение угроз. Масштабируемая архитектура гарантирует непрерывную обработку постоянно растущего объема записей в журналах и данных о событиях.
Объединенный набор решений, интегрированный с динамичной и гибкой структурой Security Fabric, позволяет выполнять мониторинг оконечных узлов, уровня доступа, приложений, сети, ЦОДа и облака и осуществлять управление ими в рамках единого решения безопасности, которое обеспечивает адаптивное представление, контроль и анализ, необходимые даже в самых сложных средах SOC.
ТЕХНОЛОГИИ
Помимо людей и процессов, SOC потребуются технологии обеспечения безопасности. Эти инструменты имеют решающее значение для выявления угроз и принятия ответных мер. Наличие арсенала устройств безопасности очень важно для нормального функционирования сети и применения выработанных политик, но для достижения требуемой эффективности необходимо собирать и анализировать данные о событиях, понимать характер вредоносного поведения, а также иметь возможность эффективно коррелировать информацию, собранную с локальных устройств, с имеющимися сведениями о глобальных угрозах.
Устройства для обеспечения безопасности. Без сомнения, какие-то устройства для обеспечения безопасности уже работают в сети вашей организации. Очень важно в инвентаризировать имеющиеся ресурсы для идентификации брешей с учетом потенциальных злоумышленников, которым может быть интересен ваш бизнес, критичности обрабатываемых и хранимых данных, требований надзорных органов и ваших возможностей по внедрению существующих инструментов в целях сбора более полных сведений и выдачи координированного ответа на выявленные угрозы.
Критическим ядром любой SOC является решение для управления информационной безопасностью и событиями безопасности (Security Incident and Event Management, SIEM). Все прочие системы безопасности должны быть подчинены этой технологии. Помимо SIEM, эффективному SOC понадобятся многие другие инструменты: межсетевой экран нового поколения (Next-Gen Firewall); система предотвращения вторжений (IPS); средства защиты Web-приложений (WAF), баз данных (Database Protection), Web и электронной почты (Web and E-mail Security), а также отдельных хостов (Host Protection); средства обнаружения угроз и противодействия им на конечных точках (Endpoint Detection and Response, EDR), предотвращения потери данных (Data Loss Prevention, DLP), обеспечения безопасности мобильных устройств (Mobile Device Security, MDM), расследования компьютерных инцидентов и преступлений (Host Forensics) и контроля за доступом к сети (Network Access Control, NAC); сканеры уязвимостей (Vulnerability Scanners); системы управления учетными данными (Identity Management (IdM) Systems) и активами (Asset Management), мониторинга баз данных (Database Monitoring); а также другие развивающиеся технологии для анализа безопасности.
Технологии безопасности выбирают не только ради функций защиты. Для нейтрализации современных сложных и распределенных атак нужна комплексная архитектура на базе открытых решений, поддерживающих взаимодействие и обмен информацией, автоматическую реакцию на обнаруженные локальные бреши, а также участие в согласованных централизованных ответных мерах.
Данные о событиях. SIEM должна «видеть» и собирать информацию от различных сетевых средств. Важно понимать, данные какого типа требуются для получения ясной картины. Более точно оценить ситуацию помогают оповещения и записи, регистрируемые в журналах, сеансовые данные, полная информация о пакетах, а также статистическая информация. Чем выше осведомленность, тем лучше анализ.
Контекстная информация. Сюда относятся данные о пользователях и приложениях, сведения об уязвимостях и аномалиях, а также классификация активов и определение их важности. Наличие этой дополнительной контекстной информации позволяет расставить приоритеты и понять, какие уведомления следует просматривать в первую очередь.
Внешние источники сведений об угрозах. Добившись хорошей осведомленности о состоянии внутренней сети, можно оформить подписку на получение информации о существующих угрозах. Соответствующие рассылки обычно содержат сведения о подозрительных IP-адресах, URL, доменах, хэш-функциях и даже изменениях в процессах и реестре. Система SIEM должна быть способна принимать эту информацию и сопоставлять ее с локальными данными. Это позволит определить, поддерживает ли устройство связь с известным источником угроз или скомпрометированной системой.
Корреляция. Объединение всей собранной информации — центральная функция любого SOC. Как правило, чем большим объемом информации вы располагаете, тем лучше создаваемые правила корреляции и принимаемые решения. К счастью, в большинстве технологий SIEM присутствуют заранее определенные правила корреляции, которые можно скорректировать с учетом уникальных особенностей вашей сети. Кроме того, системы SIEM должны формировать сценарии использования, являющиеся логическим компонентом отчетов SIEM. Сценарий может быть правилом, отчетом, предупреждением или инструментальной панелью для решения конкретных задач и удовлетворения определенных потребностей. Создание сценариев — это непрерывный процесс, качество которого со временем повышается.
Сергей Ласкин, менеджер по развитию бизнеса Fortinet