Примерно за 5 лет сегмент услуг центров мониторинга и реагирования на кибератаки (SOC как сервис) прошёл большой путь развития, и сейчас он начинает делиться на ниши. Разбираемся в том, какие типы SOC представлены сегодня на российском рынке и как выбрать тот, что отвечает именно вашим задачам, а также каким образом можно отличить SOC MSS от SOC MDR.
- Введение
- В чём основное различие?
- SOC и качественный контент
- Откуда берутся знания
- Охота на угрозы
- SOC — это люди
- Выводы
Введение
Рынок коммерческих SOC растёт и развивается. Постепенно он начинает расслаиваться на типы игроков, использующих разные подходы и парадигмы. В своём материале мы обозначили их условными понятиями, которые весьма сильно коррелируют с принятой методологией Gartner: SOC MSS и SOC MDR. В последнее время становится всё сложнее отделить одних игроков от других — в том числе из-за смешения терминов, а местами даже их подмены. Мы хотим поделиться своим мнением и методиками оценки поставщиков услуг, а также рассказать о том, чем различаются SOC MSS и SOC MDR и как надо противодействовать профессионально организованным атакам.
В чём основное различие?
SOC MSS (Managed Security Services) — это сервис, который направлен преимущественно на соблюдение базовой гигиены в информационной безопасности или требований регуляторов. Его ядро — типизированные сценарии выявления и обработки инцидентов, позволяющие контролировать соблюдение политик ИБ и с помощью информации из ФинЦЕРТ и ГосСОПКА выявлять атаки «средней руки» — от уровня злоумышленников-энтузиастов и классического пентеста до типовых группировок.
SOC MDR (Managed Detection and Response) как услуга основан на другом подходе. Его задача — выявлять профессиональные и квалифицированные кибератаки, погружаясь вглубь техник, тактик и подходов злоумышленников. Часть провайдеров SOC MDR (обычно на вендорской основе) занимается только такими атаками, другая часть выступает в роли «универсальных игроков», как решая задачи уровня MSS, так и стремясь к более глубокому анализу происходящего.
SOC и качественный контент
Разговор о мониторинге надо начинать с контента, или сценариев по выявлению инцидентов. Ведь если атаку не увидели, то анализировать и расследовать нечего. И это — первый водораздел, который возникает в подходах к реализации SOC. Если система нацелена на гигиену и комплаенс (соответствие требованиям законов и стандартов. — Прим. ред.), то в зоне покрытия, как правило, оказывается 30–40 различных техник, обычно сильно коррелирующих со стандартами информационной безопасности. По такому принципу работает SOC MSS.
В случае SOC MDR речь обычно идёт о более чем 70 выявляемых техниках и подходах злоумышленников, которые можно применить на инфраструктуре среднего уровня оснащённости. Это позволяет создать более полную картину и выявлять более сложный инструментарий, в том числе применяемый в ходе таргетированных атак:
- полное разнообразие пентестерских утилит, всё чаще используемых профессиональными группировками,
- различные способы компрометации учётных записей и повышения привилегий,
- обнаруживаемые по косвенным признакам хакерские утилиты или вредоносные программы, прошедшие мимо антивируса.
Стоит отметить ещё один нюанс. Поскольку один из существенных трендов в России — построение так называемых гибридных SOC, в которых SIEM-платформа и часть защитного инструментария находятся на стороне заказчика, крайне важно обращать внимание на опыт подрядчика в работе именно с вашим SIEM-решением. Никакая накопленная экспертная квалификация команды мониторинга, от первой линии до аналитиков, не заменит готовых и разработанных сценариев — а как показывает наша практика, каждый вендор стремится сделать своё решение максимально непохожим на другое, так что универсального способа переноса контента с одной SIEM на другую (несмотря на ряд перспективных проектов) пока нет. Убеждение, что для мониторинга достаточно базовых сценариев, а всю «магию» можно сделать дальше, на уровне IRP / SOAR и прочих технологий SOC, тоже не соответствует действительности. При всей нашей вере в мощь дальних рубежей SOC-обороны, отсутствие «сырого» события по используемой технике злоумышленника не заменить никакими дальнейшими подходами к агрегации или формированию единой цепочки из различных действий злоумышленника, осуществляющего кибератаку (kill chain).
Поэтому рекомендуем при рассмотрении подрядчика максимально детально анализировать его каталог сценариев и фактический клиентский опыт работы с выбранным или предлагаемым вам конкретным стеком вендорских решений.
Откуда берутся знания
Различия в подходах SOC MSS и SOC MDR проявляются и в том, как идёт накопление киберразведывательной информации (Threat Intelligence, TI) — от базовых списков фишинговых доменов и центров управления бот-сетями до специфических и сложных индикаторов и правил по детектированию конкретной атаки или вредоносного семейства. Собираемую информацию можно разделить на три части.
- Условно общедоступная информация. Сюда относятся open source и открытые источники фидов (потоков данных. — Прим. ред.), но не стоит рассчитывать на заметную полезность бесплатного товара. Кроме того, это — возможные ветки информационных обменов, которые формируются в рамках взаимодействий с ГосСОПКА. Такую информацию, конечно, нельзя отнести к общедоступной, но для коммерческого рынка SOC наличие подписанных соглашений об информационном обмене можно считать скорее квалификационным требованием. Тут, как правило, экспертиза базируется не на объёме данных, а на умении их качественно фильтровать.
- Информация от коммерческих поставщиков. Инвестиции в знания об угрозах, безусловно, важны для зрелой ИБ-компании, и всё чаще коммерческие подписки покупают не только сервисы, но и конечные заказчики. Здесь важны список и структура данных, получаемых у поставщиков, а также репутация последних в мире TI. Надо смотреть, откуда потенциально эти данные собираются (наибольшие зоны охвата, как правило, имеют антивирусные и сетевые вендоры), какая глубина данных предоставляется (исключительно информация по индикаторам или подробные разборы атаки). Не упускайте из внимания международную специфику: при прочих равных лучшее видение угроз в РФ получают вендоры, хорошо представленные в стране. Если у вас есть международные площадки и сегменты бизнеса, важную роль будут играть данные от мировых компаний и игроков на рынке TI.
- Собственная TI. В последнее время её созданием занимается всё больше сервис-провайдеров. TI формируется на базе информации, детектируемой у заказчиков, собираемой с помощью сенсоров или ловушек-ханипотов, а также полученной на специализированных ресурсах или непосредственно в даркнете. При этом важность имеет не только объём собираемой информации (ширина клиентской базы и собственных инфраструктур-сборщиков), но и то, как организован процесс, как работает команда, обрабатывающая эти данные. Как правило, ограничиваться «прогоном» полученного подозрительного ПО через коммерческую песочницу, закупленную для внутренних нужд, достаточно лишь для сбора первого слоя технических индикаторов. Для полноценного исследования работы кибергруппировки нужны ручной анализ и отдельная команда реверс-инженеров. Это позволяет выявить скрытые индикаторы работы вредоносной программы и особенности её функционирования, обнаружить дополнительные модули и нагрузки и т. д.
Работа с условно общедоступной информацией относится к компетенциям SOC MSS. Сбор платной информации скорее характеризует подход SOC MDR, но здесь чёткого водораздела нет: некоторые SOC MSS тоже могут использовать информацию от коммерческих поставщиков. А вот накопление собственной TI — уже точно признак SOC MDR.
Охота на угрозы
Как правило, сейчас к практической работе с TI (проверке индикаторов в реальном времени и в ретроспективе) присоединяется гораздо более сложный и специфический труд — Threat Hunting. И это — та экспертиза, которую вы можете получить только при работе с SOC MDR. В каждом отдельном случае Threat Hunting может представлять собой разные бизнес-процессы. По сути же это — поиск неявных признаков развивающейся атаки на инфраструктуру, который включает в себя ручную работу аналитика. Конечно, это не значит, что тот просто читает «сырые» логи (записи журналов. — Прим. ред.), как персонаж фильма «Матрица». Обычно в основе Threat Hunting лежат несколько предустановленных инструментов:
- корреляционные правила, у которых нет достаточного качества фильтрации ложных срабатываний, чтобы с высокой точностью относить события к инцидентам;
- аналитические отчёты, собирающие срезы по конкретным видам активности;
- предустановленные поиски по точечным событиям во всём многообразии логов SIEM.
В итоге мы приходим к теме предварительно разработанного контента в SIEM, который вполне легко измеряется количеством правил и инструментов, частотностью и скоростью их обновления под новые векторы атак или техники злоумышленников. Впрочем, в этом случае процесс усложняется, потому что нужно выделить квалифицированных специалистов для разбора этих «хлебных крошек» и анализа событий на регулярной основе.
Критериями для оценки качества этого процесса могут быть количество и объём разработок контента под Threat Hunting, а также наличие процесса их регулярного анализа в рамках базового сервиса или расширенных опций поддержки.
Однако не стоит забывать, что Threat Hunting — лишь начало процесса разбора сложной атаки. Если аналитикам действительно удалось найти признаки компрометации инфраструктуры профессиональной группировкой, стартуют очень непростые с точки зрения специализированной экспертизы процессы — реагирование на инциденты (incident response) и цифровая криминалистика (digital forensics). Они призваны максимально локализовать область компрометации, выявить все артефакты и инструменты, используемые при атаке, и правильно провести отсечение атакующему доступа к инфраструктуре с последующей вычисткой всего использованного им инструментария. Потребность в таких услугах весьма быстро растёт — а команд, имеющих в штате профильных специалистов, которые способны решать такие задачи, не так уж много. Привлечение третьей стороны или субподрядчика всегда требует времени на погружение в проблему и выстраивание трёхсторонней коммуникации, создаёт задержку в принятии решения. Поэтому, с нашей точки зрения, наличие собственной команды по реагированию на инциденты и цифровой криминалистике — базовое условие для SOC MDR.
SOC — это люди
Будучи апологетами этого тезиса, мы в очередной раз возвращаемся к вопросу о кадрах. Масштабирование и тиражирование типовых позиций в SOC, особенно для обеспечения запросов федеральных заказчиков, по-прежнему вызывают сложности разного уровня у всех сервис-провайдеров рынка. Но ещё более остро проблема ощущается тогда, когда речь заходит о редкой экспертной квалификации: команде анализа TI и формирования правил Threat Hunting, специалистах по анализу вредоносных программ, команде расследования и компьютерной криминалистики, специалистах по исследованию даркнета. Дефицит таких кадров на рынке пока ещё столь силён, что зачастую даже вполне зрелые сервис-провайдеры или не имеют таких специалистов в штате, или ограничиваются одним–двумя сотрудниками.
Мы в Solar JSOC за время своего становления дважды были вынуждены целиком перезапускать направление Digital Forensics. В один раз команду «похитил» один из мастодонтов кадрового рынка, в другой — вмешался большой спрос на наших специалистов за рубежом. Поэтому при выборе SOC MDR мы рекомендуем обращать внимание на «устойчивость» этого направления в кадровых ресурсах и возможности его быстрого тиражирования.
Выводы
Итак, при выборе SOC важно учитывать:
- объём и глубину проработки контента,
- опыт работы с конкретной SIEM-системой,
- объём и уровень качества источников Threat Intelligence,
- наличие процесса Threat Hunting,
- объём кадровых ресурсов и возможности их быстрого масштабирования.
Выбирая между SOC MSS и SOC MDR, отталкивайтесь от задач, которые перед вами стоят, и от бюджета, который вы готовы выделить. При выборе же SOC MDR обратите внимание на факторы, о которых мы сказали выше. Надеемся, что наш опыт окажется полезным для читателей.