При планировании внедрения SOC (Security Operations Center — центры мониторинга и реагирования на инциденты информационной безопасности) многие организации сосредотачиваются на очевидных аспектах: выборе решения, оценке капитальных и операционных затрат. При этом зачастую упускаются из вида инициативы и потребности, напрямую влияющие на эффективность дальнейшей работы внедряемого решения, такие как наличие репозиториев информации об объектах ИТ-инфраструктуры, синхронизация работы ИБ-служб с ИТ- и бизнес-подразделениями.
Введение
Процедуры сбора, хранения и обработки событий, имеющих признаки инцидентов в ИБ, не могут быть в полной мере эффективными без серьёзной подготовительной работы команд ИТ и ИБ по синхронизации операционной деятельности. Непрозрачность инфраструктуры (отсутствие необходимой документации о её составе и средств хранения информации о ней) и отсутствие формализованных цепочек управления ИТ-процессами (а порой — и связанных с ними процессов ИБ) практически всегда влечёт за собой риски неконтролируемых инцидентов. Происходит это в основном по трём причинам:
- Отсутствие средств хранения информации об объектах инфраструктуры и информационных системах при постановке на контроль средствами ИБ (в том числе и SOC) неизбежно ведёт к тому, что какие-то компоненты окажутся вне поля зрения и, соответственно, не будет обеспечена полнота покрытия.
- Отсутствие формализованных и прозрачных процессов ИТ (или же их синхронизации с ИБ-процессами) означает, что инфраструктура, меняясь в рамках стандартной операционной деятельности, не инициирует соответствующие процессы в ИБ. Как следствие возникает гонка средств ИБ-контроля за изменениями ИТ-ландшафта.
- Отсутствие привязки бизнес-процессов компании к обеспечивающему эти процессы ИТ-ландшафту усложняет возможность решения конкретных задач организации с применением ИБ-инструментов.
Репозитории данных
Несмотря на то что с первого взгляда создание репозиториев информации об объектах инфраструктуры носит чисто утилитарный характер, на практике их использование существенно снижает риски неполного охвата инфраструктуры процессами и средствами обеспечения ИБ. Речь здесь идёт не столько о хранении информации о физических активах (серверы, стойки, сетевое оборудование и пр.), сколько о базе данных конфигурационных логических единиц. В ИТ-индустрии это — уже довольно давно известный класс систем управления конфигурациями (Configuration Management System, CMS). Системы содержат не только информацию о физических объектах инфраструктуры, но и логические структуры, такие как приложения, сети, взаимосвязи между виртуальными машинами в рамках одного приложения, сведения о версионности программного обеспечения, администраторах и пользователях и так далее.
Важно отметить, что в отличие от продуктивных систем, находящихся в промышленной эксплуатации и с оформленной документацией, реальный ИТ-ландшафт содержит и множество объектов, которые официально не задокументированы и являются «внутренней кухней» ИТ. Это — тестовые среды, архивные системы, которые не находятся в активной эксплуатации, а также системы в стадии разработки. Их обычно не документируют в полном объёме, на них зачастую не распространяются (или распространяются, но в облегчённом виде) политики информационной безопасности, однако именно они могут являться хорошей опорной точкой для закрепления злоумышленника (т. е. злоумышленник может весьма длительное время совершать действия внутри инфраструктуры организации, оставаясь незамеченным). Системы управления конфигурациями также содержат и эту информацию, если при развёртывании тестовых сред предусмотреть в процессах управления изменениями соответствующие процедуры внесения данных в CMS. Немаловажную роль играет и информация об оборудовании, предоставляемом провайдерами услуг и партнёрами. Сопряжённое аппаратное обеспечение провайдеров услуг (например, оборудование «последней мили» провайдера каналов связи) также должно являться предметом контроля — хотя бы минимального — со стороны команды ИБ, обеспечивающей контроль за периметром организации.
В рамках процедур постановки на ИБ-контроль подобная система и соответствующие процедуры ведения информации в ней существенно сэкономят ресурсы на сбор сведений об объектах контроля, а в случае реализации процедур мониторинга событий в ИБ и реагирования на инциденты — время на локализацию и на устранение последствий.
Поиск технических владельцев скомпрометированного объекта инфраструктуры, сопряжённых объектов в рамках системы в целом может быть произведён в считаные минуты, а анализ событий, имеющих признаки инцидента в информационной безопасности, будет учитывать не только отдельный объект ИТ-ландшафта, но и систему или сервис, на который этот объект существенно влияет или работоспособность которого обеспечивает.
Если в компании реализованы архитектурные подходы к разработке систем, такие как, например, TOGAF, то дополнительные сведения о компонентах инфраструктуры, архитектуре в целом и взаимосвязи между объектами инфраструктуры могут быть задокументированы в архитектурном репозитории. Они, соответственно, также могут являться источником информации для определения «скоупа» («scope» — концепция, содержание) постановки на контроль ИБ и в качестве оперативного источника информации.
Работа в едином ландшафте
Новые бизнес-потребности порождают новые ИТ-системы и изменения в текущих, этот процесс непрерывен. Наличие явно описанных и регламентированных процессов ввода сервисов и систем в эксплуатацию, изменения и вывода из эксплуатации позволят не только обеспечить контроль качества обеспечения их жизненного цикла, но и интегрировать соответствующие процедуры модернизации процессов и контролей ИБ (настроенных методов / технологий обеспечения ИБ). Например, процедуры ввода оборудования в эксплуатацию помимо контроля соответствия стандартным политикам информационной безопасности должны порождать процедуры постановки нового объекта, вводимого в эксплуатацию, на сбор событий SIEM, а также установки иных средств обеспечения защиты информации.
В случае реализации в компании процедур управления уязвимостями (таких, например, как патч-менеджмент) или плановых изменений дополнительные процессы оповещения команды ИБ о планируемых мероприятиях вкупе с вовлечением её в процессы управления изменениями уменьшат количество ложных срабатываний ИБ-систем, а также помогут ИБ-процессам адаптироваться вслед за изменениями ИТ-ландшафта. Без обеспечения прозрачности и вовлечённости ИТ- и ИБ-команд в процессы изменения инфраструктуры в равной степени будут возникать проблемы как с управлением качеством изменений ИТ-ландшафта, так и с эффективностью работы средств и процедур обеспечения защиты информации.
ИБ для эффективности бизнеса
При планировании контролей немаловажно учитывать бизнес-процессы организации. Менеджмент интересует ценностная характеристика реализованной функциональности ИБ-решений, выражаться она должна в соответствующих величинах. Кибербезопасность — это не просто защита от безымянных внешних угроз или утечек, а инструмент защиты организации от финансовых и репутационных потерь. Для перехода от технических событий к бизнес-ориентированным необходимо обеспечить чёткую взаимосвязь между бизнес-процессами и ИТ-ландшафтом. Лучшим вариантом может быть использование техник документирования архитектуры компании, описания организационной структуры, Value Stream Mapping (визуализации потоков создания ценности. — Прим. ред.) ключевых направлений деятельности, привязки этого процесса к развитию ИТ-систем и информационных активов.
Подробное описание модели организации позволит определить влияние штатных и нештатных изменений на ИТ-ландшафт с точки зрения влияния на бизнес-функции. Например, рекомендации описания бизнес-архитектуры в стандарте BIZBOK предполагают среди доменов описания модели организации документировать карты цепочек создания ценности, карту информационных объектов, организационную структуру. Взаимосвязь этих измерений в рамках созданной модели позволит в случае подготовки к внедрению процедур и продуктов обеспечения ИБ определить главные заинтересованные стороны, ключевые бизнес-процессы и информационные активы для обеспечения защиты стратегических задач компании.
Выводы
Деятельность SOC — это прежде всего процессы, крайне сильно зависящие от полноты информации и чёткой процессной обвязки не только внутри ИБ, но и в ИТ-инфраструктуре в целом. Специалисты Infosecurity a Softline Company чаще всего выступают для своих заказчиков не только как партнёры в процессе внедрения решений для обеспечения информационной безопасности. Мы помогаем им разобраться с внутренними бизнес-процессами и наладить эффективное взаимодействие ИТ- и ИБ-подразделений. Внедрение SOC может являться ещё одним драйвером развития инициатив по инвентаризации и стандартизации процессов ИТ, помогает разобраться в том, что же действительно важно для организации и где риски действительно существенны.
Подобные инициативы требуют существенных трудозатрат; для ИТ- и ИБ-команд это — чаще всего непрофильные функциональные обязанности. Выполнение инвентаризационных подготовительных мероприятий в фоновом режиме может затянуться на месяцы и даже кварталы. Решить эту проблему проще всего с привлечением сервисного провайдера. В штате Infosecurity a Softline Company есть аудиторы и полноценная линия персонала для сопровождения, что позволяет полностью избавить заказчика от выполнения непрофильных задач.