Алексей Новиков
Директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies
Имеет профильное образование по специальности «Компьютерная безопасность», ведет авторский курс по расследованию и реагированию на киберинциденты в МГТУ им. Баумана.
В сфере практической информационной безопасности работает с 2005 года. Начал свой карьерный путь в качестве инженера первой линии SOC (Security Operation Center). К сегодняшнему дню имеет опыт руководства командой, нацеленной на обнаружение и предупреждение кибератак, работы в национальном CERT, развития государственной системы обнаружения и предупреждения компьютерных атак и ликвидации их последствий и международного взаимодействия в соответствующей сфере.
К команде Positive Technologies присоединился в 2016 году и возглавил экспертный центр безопасности (PT Expert Security Center). В зону его ответственности входят экспертные сервисы компании, связанные с реагированием на инциденты и расследованием компьютерных преступлений, оценкой защищенности внешнего периметра, а также обеспечение работы центра ГосСОПКА. Под его руководством расследованы несколько десятков инцидентов, связанных с активностью различных кибергруппировок. В частности, на счету команды PT Expert Security Center выявление и ликвидация последствий деятельности таких группировок, как: Cobalt, Silence в организациях кредитно-финансового сектора; SongXY, TaskMasters, ZeroT и PlugX в ряде промышленных предприятий и в государственном секторе.
Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies, рассказал Anti-Malware.ru о том, как быстро построить центр мониторинга и реагирования, защитить чемпионат мира или выборы и быть уверенным, что всё работает.
В конце прошлого года один из российских банков сообщил о создании центра мониторинга и реагирования на инциденты. На первый взгляд — рядовое событие: SOC сегодня не строит только ленивый. Примечательность его — в том, что в 2018 году этот банк, если верить СМИ, последовательно подвергся двум громким хакерским атакам за два месяца. Во время второй атаки, которая по мнению ряда экспертов стала возможной из-за неполноценного расследования первой, злоумышленники получили доступ к почтовому аккаунту специалиста банка и отправляли вредоносные письма другим кредитным организациям. Это привело к приостановке сотрудничества со стороны некоторых банков-партнёров.
Создание SOC может оказаться неплохим способом снижения репутационных издержек после кибератаки, и, конечно же, его основная задача ― предотвратить последующие нападения. Однако будет весьма обидно, если усилия окажутся потраченными впустую и специалистам SOC не хватит квалификации или инструментария для своевременного выявления APT-атаки либо, что даже хуже, обычного шифровальщика. Об ошибках при построении SOC, а также о том, что такое аудит центров мониторинга и зачем он нужен, рассказал директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies Алексей Новиков.
В какой момент организации задумываются о SOC? Обязательно ли нужен для этого «травматический» опыт хакерского вторжения?
А. Н.: Обычно создание SOC ― это признак определённого уровня зрелости организации: её инфраструктура выросла, в ней уже наведён порядок или идут работы в этом направлении, находящиеся в активной стадии: сегментация, политики обновления и так далее; на балансе есть средства защиты и мониторинга, в штате — два-три специалиста по информационной безопасности. Есть также понимание того, что нарушение работы IT-инфраструктуры, вызванное инцидентами ИБ, влияет на бизнес, а в ряде случаев и вовсе может привести к его ликвидации. Например, согласно данным Ponemon Institute после утечки данных две трети малых и средних компаний закрываются в течение полугода, а крупные теряют в среднем 4 миллиона долларов. В общем, компании на таком уровне развития остаётся лишь реализовать завершающий этап — консолидировать всю поступающую информацию и научиться отделять зёрна от плевел, то есть инциденты от ложных срабатываний.
Нередко компании не знают, что были атакованы. Наша практика показывает: злоумышленники могут годами (в среднем — три года, но иногда и значительно дольше) присутствовать в захваченных системах. Сейчас мы видим, что доля APT-атак в общей массе инцидентов растёт ежемесячно. В прошлом году с ними столкнулась каждая вторая компания из числа тех, кто обращался к нам за услугами по реагированию на инциденты или их расследованию. И базовые средства защиты в случае целенаправленных атак не спасают.
Разумеется, пропущенная атака и потеря ценных для компании активов — самый короткий путь к выделению бюджета на SOC. Однако если такая беда случилась у соседей по отрасли, и ваши специалисты не знают, как этого можно было избежать, или имеют слабое представление о методах поиска следов злоумышленников в своей внутренней сети ― это тоже сигнал о необходимости изменений.
Согласно нашему прошлогоднему опросу, лишь 22% респондентов из финансовой отрасли и 11% представителей промышленности считают, что их компания в состоянии отразить атаки APT-группировок. Такая же неготовность наблюдается в государственных организациях: до 45% респондентов не уверены, что смогут противостоять APT-группировкам. При этом большинство опрошенных считает, что если случится инцидент, квалификации их собственных специалистов по ИБ будет недостаточно для проведения расследования. И тогда атака легко может повториться. Хороший SOC может стать решением проблемы в этом случае.
Допустим, компания решила создать свой SOC. Какие проблемы могут возникнуть?
А. Н.: Инвестиции в квалифицированных аналитиков, экспертов по форензике и расследованию инцидентов, владеющих навыками работы с современными системами мониторинга (SIEM, NTA), могут оказаться очень значительными. Направление «практического» SOC — относительно новое для отечественного рынка, и необходимого количества профессионалов на нём просто нет. Исследователи из SANS отмечают, что для 62% SOC по всему миру проблема отсутствия высококлассных специалистов является значимой и реальной. При этом минимальное число специалистов, необходимое для создания SOC, работающего в режиме 24×7, ― пять человек. И за них придётся конкурировать с другими компаниями — либо взращивать своих собственных.
При этом нужно понимать, что даже приглашение в штат уже полностью готовой команды не гарантирует отсутствия «головной боли», и связана она будет не с чем иным, как с мотивацией сотрудников. Интересно ли специалисту высокого уровня работать full-time на одну компанию и разбираться в логах по восемь часов в день, изо дня в день, снова и снова? Это похоже на сценарий, когда хорошего детектива посадили выполнять рутинную офисную работу и просят его потерпеть, пока кто-нибудь совершит преступление. Чтобы не терять квалификацию и развиваться, такие специалисты обычно переходят работать к сервис-провайдерам SOC, где задачи разнообразнее, а инцидентов больше. Поэтому дефицит кадров в формате in-house будет возникать постоянно: опыт показывает, что эксперты в корпоративных SOC редко работают на одном месте дольше трёх лет. Заменить их операторами с менее глубокими знаниями в области ИБ ― тоже не вариант, ведь автоматические средства защиты в большинстве своём пока всё ещё экспертозависимы. При этом мы помним, что достаточно одной успешной атаки, чтобы «обнулить» всю работу по построению SOC.
Следует учитывать и вложения в покупку защитного ПО, в продление лицензий. Суммарные инвестиции в создание SOC исчисляются десятками миллионов рублей. И, конечно, есть риск, что возникнет желание бросить это во всех смыслах слова затратное дело на середине пути. Здесь могли бы помочь быстрые результаты, которых при выстраивании SOC «с нуля» не получить. При этом использование MSSP- или MDR-провайдеров [читайте наше сравнение сервисов MDR] может дать необходимый результат сразу на старте и поддержать компанию до момента, когда «домашний» SOC заработает в полную силу, а в ряде случаев правильно будет и сохранить такое сотрудничество на случай нетиповых ситуаций.
Ошибки, с которыми мы постоянно сталкиваемся, — это недочёты в IT-архитектуре, организации процессов и приоритизации задач при обеспечении ИБ. Например, территориально распределённая компания создаёт SOC в головном офисе, что логично, и «причёсывает» все процессы именно под этот офис. В то же время региональные IT-департаменты живут своей жизнью, без учёта новых правил и требований, что весьма удобно для атакующих, особенно в отсутствие необходимой сегментации сетей.
И ещё один момент, который я не могу обойти вниманием: наличие партнёров, без которых такой проект, как построение полноценного SOC, сложно завершить успешно. Лучше иметь пару проверенных подрядчиков с опытом создания SOC, чем самостоятельно управлять всеми интеграторами, вендорами и консультантами, которые так или иначе будут вовлечены в этот проект.
В общем, создателей SOC вместо быстрых головокружительных успехов будут с большой долей вероятности ждать трудности — как технического, так и организационного плана. Построение SOC — это ещё и сложный интеграционный проект, который подразумевает изменение существующих процессов и регламентов, подключение и настройку источников событий, объединение с системой обработки обращений от клиентов и сотрудников (service desk) и многое другое. А самое главное — это совместное движение служб ИТ и ИБ, каждая из которых должна понимать его необходимость.
Сервис-провайдер — внешний коммерческий SOC — не панацея?
А. Н.: Сервис-ориентированная модель, когда непрофильные задачи выносятся на аутсорсинг, становится всё популярнее в мире. Поэтому SOC как сервис — это хороший выбор. Однако у каждого центра мониторинга — свои правила, и эти правила приходится адаптировать к существующим у компании-клиента средствам защиты. Если SOC может по умолчанию отслеживать «энное» число сценариев, а у компании нет каких-либо необходимых для этого инструментов и нет возможности их приобрести, возникает проблема. В таких случаях выходом из положения является аренда отдельных инструментов по модели MSSP.
Недавно у вас было хорошее исследование возможностей коммерческих SOC с перечислением средств защиты, которые различные центры могут предоставить в аренду заказчику. Но в большинстве случаев ассортимент технологий одного конкретного SOC составлен из продуктов разных вендоров. Мы же смотрим на технологическую сторону центров мониторинга иначе, ориентируясь на предоставление клиенту полноценной платформы, необходимой для работы SOC по большинству направлений. И да, такой подход в нашем случае можно реализовать, потому что наша компания разрабатывает широкий спектр средств защиты. Это позволяет избежать ошибок интеграции и различных технологических ограничений. Например, MaxPatrol SIEM собирает логи, NTA-решение анализирует трафик в необходимых точках инфраструктуры, анализ вредоносных объектов осуществляется в песочнице. Endpoint-системы я сейчас в расчёт не беру, так как решениями такого типа, будь то антивирус или EDR, пользуются все.
До сих пор мы специализировались, если так можно выразиться, на создании «SOC под ключ» для глобальных событий. То есть для нас было важно иметь возможность в предельно сжатые сроки развернуть SOC для очень крупных или критически важных для бизнеса IT-инфраструктур. При этом требования к эффективности SOC предъявлялись высочайшие в силу того, что сами защищаемые инфраструктуры привлекали внимание киберпреступников всего мира. Свой моновендорный подход мы проверяли, например, в рамках прошедшего пару лет назад чемпионата мира по футболу. Проверку выдержали успешно.
Кстати, как вообще измерить эффективность SOC? Существуют ли услуги аудита SOC?
А. Н.: Как бы странно это ни звучало, в большинстве SOC переоценивают важность таких метрик, как время реакции или время обнаружения.
Наиболее качественный показатель в данном случае — может ли потенциальный злоумышленник реализовать тот или иной риск, важный для защищаемой организации. Именно это наглядно демонстрирует, сможет ли SOC своевременно обнаружить злоумышленника, проработаны ли планы взаимодействия служб ИТ и ИБ, сможет ли вся организация эффективно среагировать на инцидент. И если какой-то SOC имеет неважные показатели в этой части работы, то все остальные метрики практически теряют смысл, и уже неважно, заявлен ли двадцати- или тридцатиминутный SLA.
Наша концепция включает в себя несколько направлений работы с SOC. Это может быть консалтинговая и продуктовая поддержка, когда стоит задача быстро построить SOC «с нуля». В уже созданном SOC мы можем оперативно и с гарантией качества помочь отладить процессы выявления злоумышленников в инфраструктуре. Кроме того, мы готовы периодически контролировать функционирование центра, выполняя аудит его эффективности — быть эдаким «SOC для SOC». И в этом случае запускается ещё целый ряд активностей, начинающихся с оценки эффективности средств защиты: на помощь приходит наша Red Team [предлагаем ознакомиться с обзором рынка услуг по оценке киберзащищённости методом Red Team Operations в России и за рубежом], которая ежегодно проводит десятки тестов на проникновение.
Кстати, только в 5% компаний, для которых наши эксперты проводят тестирования на проникновение, средства защиты и команды по информационной безопасности выявляют эту активность: в большинстве случаев о факте проведения таких работ все узнают из отчёта, демонстрирующего векторы атаки, который получает руководитель ИБ-команды. Если используемые средства защиты не обнаружили атак, проблема, как правило, заключается в настройке самих этих средств или окружающей инфраструктуры. Некоторые атаки окажутся вне зоны внимания службы ИБ, если не ведётся анализ DNS-запросов или не настроен аудит Windows. После настройки средств защиты необходимо повторить весь цикл: анализ защищённости, проверка обнаруженных атак, оптимизация и настройка. Важно, чтобы после такого тюнинга служба ИБ смогла обнаружить факты проведения пентеста самостоятельно и вовремя. Этот цикл повторяется, пока не будет достигнут необходимый результат с точки зрения качества детектирования и скорости реагирования. При создании SOC цикл начинается с самых первых шагов, пока не сформировалась окончательная структура систем защиты, — чтобы оперативно вносить изменения.
Как измерить эффективность процессов ИБ? Ведь ради её повышения и строится SOC...
А. Н.: Самая главная метрика работы SOC — это даже не отсутствие киберинцидентов. Гораздо важнее отсутствие инцидентов, которые по-настоящему опасны для компании. Например, для энергетиков и нефтяников это могут быть инциденты, связанные с остановкой производства, фродом и авариями. На таких предприятиях приходится оценивать риски и угрозы разной природы: хищения при отгрузке товарной нефти в магистральные нефтепроводы, кража резервного топлива на электростанциях (топочного мазута), вывод из строя газовых турбин, нарушение технологического процесса на предприятии и многое другое. Своя специфика есть у банковской сферы, государственных организаций, перевозчиков, глобальных событий вроде чемпионата мира. Выявление ключевых угроз и снижение до показателя, близкого к нулю, вероятности их реализации — в этом состоит основная задача современного SOC.
За счёт чего можно повысить эффективность SOC?
А. Н.: За счёт тщательности и опыта. Начиная работу с компанией, мы выполняем комплексную оценку инфраструктуры. Далее смотрим, какие риски реализуемы, а какие — нет, и даём рекомендации по минимизации угроз. На этом этапе важную роль играет экспертиза нашей команды в области тестов на проникновение и расследования инцидентов. Логично, что устранить сразу все найденные проблемы почти никакая организация не сможет, поэтому мы стремимся руководствоваться принципом Парето: устранить 20% недочётов и закрыть при этом 80% векторов атаки. Главная задача — правильно выбрать эти самые 20%. И если компания по какой-то причине не может устранить обнаруженные уязвимости, мы даём рекомендации по их корректному мониторингу. Такая подготовительная работа, которую затем необходимо регулярно повторять, играет важную роль в результативности SOC.
Что делает большинство других SOC? У них есть набор готовых сценариев, и, мониторя компанию-клиента, они нередко просто выполняют их последовательно, друг за другом. Можно ли применить этот вектор атаки к инфраструктуре, опасны ли последствия атаки для бизнеса — ответы на эти вопросы, а точнее дальнейшая работа с этими ответами, большинство SOC не волнуют.
Кроме того, подавляющая доля подобных заготовок нацелена на борьбу с внутренним злоумышленником. Мы обычно ориентируемся на модель внешнего злоумышленника и накопили значительную экспертизу в области противодействия APT-атакам, в том числе и в ходе сопровождения таких событий, как чемпионат мира по футболу, универсиада, выборы президента России. Комплексный мониторинг периметра, разумеется, не отменяет применения современных подходов к выявлению и пресечению вредоносной активности внутри сети.
Спасибо!