Основы
В этом разделе мы рассмотрим основные понятия SOC: что такое SOC, его основные задачи, инструменты, которые он использует для их выполнения, а также ключевые факторы, влияющие на достижение его целей. Большая часть материала описана в последующих разделах.
Даже если вы уже имеете опыт участия в процессе реагирования на инциденты или обеспечения безопасности, вам может быть полезно прочитать этот раздел, поскольку в нем уточняется ключевая терминология и факторы, используемые в книге.
Часть 2. что же произойдет, если не проверять эффективность работы soc-а, а оставить всё как есть?
Начнем с того, что что-то может пойти не так, даже при малейших изменениях в инфраструктуре организации. А они происходят достаточно часто — кто-то увольняется, приходят новые люди, что-то ломается, происходит обновление техники и программного обеспечения и многое другое.
Следующая часть SOC, где могут возникнуть ошибки — средства защиты, с которых информация попадает в SIEM, могут быть настроены неверно и пропускать действия, направленные на систему извне. А если действие атакующего не будет обнаружено ни одним из имеющихся СЗИ, то оно не попадет в логи и не окажется в SIEM, и скорее всего служба безопасности узнает о нем не скоро.
Проблема может оказаться в SIEM-е. Он может работать не так, как хотелось бы вам. События, попадающие в него, могут коррелироваться неверно из-за ошибок в правилах корреляции, что приведет к пропуску действий атакующего. Здесь стоит уточнить, что не всегда достаточно данных от одного источника.
Бывают случаи, когда для определения инцидентов безопасности необходимо объединить данные сразу из нескольких источников, чтобы получить цельную картину происходящего в системе. Но может оказаться, что правило настроено так, что для определения случившегося инцидента может не хватить данных от одного источника, которые и указывают на факт его свершения. Т.е. не сложится паззл, состоящий из данных от нескольких источников. Также правила для каких-то событий безопасности могут отсутствовать вовсе.
На этапе корреляции событий в SIEM может возникнуть сразу несколько проблем. Одной из них может быть задержка передачи событий от некоторых источников, что может помешать успешной корреляции.
Правила отнесения событий к инцидентам в SIEM могут быть настроены неверно сами по себе или же они могут отсутствовать для каких-либо событий. Также обычно инциденты имеют уровень важности, неверное определение которого может привести к большим проблемам.
Люди, работающие с SIEM, чьей задачей является реагирование на инциденты безопасности, также могут быть причиной пропущенных атак и последующих проблем с информационной безопасностью. Они могут пропускать какие-то сигналы от SIEM-а или неправильно реагировать на действия атакующего в силу разных причин. Есть также проблема в том, что люди рано или поздно увольняются, а новым сотрудникам требуется время на обучение.
Учитывая вышеперечисленное, тестирование SOC для проверки эффективности работы чрезвычайно важно как на этапе внедрения SOC, так и по прошествии времени. Так как специалисты нашей компании уже имеют опыт в этом деле, мы решили описать основные моменты и нюансы.
Загнанные в угол: новые требования фстэк к soc, аудиторам и правилам pen-testing
Загнанные в угол: новые требования ФСТЭК к SOC, аудиторам и правилам Pen-testing
Что не менее важно, с лета 2021 года, т.е. через несколько месяцев, эти виды деятельности потребуют обязательного наличия сертификатов ФСТЭК. Это может стать крахом для небольших фирм и стартапов занимающих сегодня низ рынка услуг ИБ. Да и крупные игроки рынка должны будут пересмотреть свои активы, коснется это и технических средств и программных решений, и конечно же квалификации персонала, требования к которым, как известно у регулятора были всегда жесткие
Предыстория беды
- по контролю защищенности информации от утечек по техническим каналам
- по контролю защищенности информации от несанкционированного доступа
- по мониторингу ИБ
- по аттестации
- по проектированию в защищенном исполнении
- по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Из этого списка, если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что отныне вся деятельность аудиторов ИБ, пентесторов и SOC-ов подпадает под новое регулирование, и соответственно требует лицензии ФСТЭК. В принципе, логика регулятора простота понятна: ФСТЭК ужесточает требования к лицензиатам и таким образом очищает ИБ от фирмы-однодневок и других малоквалифицированных контор. Это несомненно плюс.. но, что делать добросовестным компаниям, аустсорсерам ИБ и консалтинговым фирмам не прочь порой предоставить услуги аудита ИБ или тестирования на проникновение?
А требования к лицензиатам совсем не простые. Первое, это численность и квалификация персонала, к которым предъявляются особые требования, их не смогут выполнить, к примеру небольшие фирмы и тем более стартапы. Второе, это требуется собственное защищенное по всем нормативизм ФСТЭК помещение. И, наконец, третье и последнее, это конечно же сертифицированные, а занчит и весьма дорогие средства контроля защищенности.
Пен-тест, Аудит ИБ и SOC вне игры
С SOC тоже все не просто, теперь от них требуется наличие сертифицированных СЗИ, таких как, например, WAF, МСЭ и антивирус.. Причем сам сертификат не ниже 4-го класса, то есть максимально возможный для защиты информации не подпадающей под гостайну.
А учитывая, что каналы передачи данных от SOC до клиента должны быть защищены средствами шифрования, имеющими сертификат ФСБ, то все становится еще более сложнее, а что, критично – более дороже!
Что же лето весьма скоро, новые требования вступят в силу, мы посмотрим, что будет происходить с рынком ИБ..
мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Направление мониторинга
Инженер первой линии может развиваться в одном из двух направлений – мониторинг или эксплуатация СЗИ. В первой половине речь пойдет о специалистах направления мониторинга, которые денно и нощно бдят на страже информационной безопасности заказчиков Solar JSOC. Рассказываем, какие качества мы ищем в кандидатах и как проверяем их наличие.
Знание инструментарияВо-первых, кандидат во вторую линию должен в совершенстве владеть основным функционалом SIEM-системы. Важно то, что с определенного момента SIEM перестает быть для инженера программой, которая умеет собирать и фильтровать некие события, и становится инструментом, с помощью которого можно получить нужную информацию – своего рода Палантиром, видящим камнем, с помощью которого SOC узнаёт, что происходит в подконтрольных информационных системах заказчика.
Интерпретация событийИз этого вытекает второе важное требование. Инженер второй линии должен уметь интерпретировать техническую информацию в человекочитаемое описание, понятное не ИТ-специалисту. Иногда для этого требуется дополнить его релевантными данными из сторонних источников. Сравните, например, два варианта оповещения об инциденте, которые можно отправить заказчику:
На хосте NB-SIVANOV запущен процесс ««C:WindowsSystem32msiexec.exe» /i «Z:Департамент разработки продуктовАналитический отдел_Общая Enterprise_ArchitectSparx.Systems.Enterprise.Architect.13.0.1310.Corporate.Edition easetupfull.msi» под учетной записью s.ivanov.
или
Старший аналитик группы анализа продуктов Иванов Сергей установил прикладное ПО для моделирования бизнес-процессов Sparx Systems Enterprise Architect из дистрибутива, расположенного в общем каталоге Z:Департамент разработки продуктовАналитический отдел_ОбщаяEnterprise_Architect.
Чувствуете разницу? С технической точки зрения оба варианты корректны, но, как и всегда, дьявол кроется в деталях. Правило корреляции сработало на запуск процесса msiexec.exe, который с большой долей вероятности свидетельствует об установке нового ПО, что для критичного АРМ является поводом для анализа со стороны офицера ИБ.
НО второе оповещение — это то, чего мы ждём от опытного инженера. Верная техническая информация вкупе с бизнес-аналитикой несёт для заказчика гораздо более полезные сведения о произошедшем событии.
Чтобы достичь такого уровня погружения, инженер должен расследовать не одну сотню тикетов, изучить события основных инфраструктурных источников, осознать, в какую сторону начинать раскручивать клубок расследования, и какие паттерны событий интересны в первую очередь.
Опыт проведения углубленной аналитикиВзгляд хорошего инженера первой линии должен цепляться за нестандартные вещи. А специалист второй линии в случае обнаружения таких нетипичных инцидентов способен при необходимости отклониться от инструкции.
Направление эксплуатации
Итак, поздравляем: мы успешно «вырастили» инженера мониторинга 2 линии. Но в Solar JSOC помимо мониторинга есть направление эксплуатации средств защиты информации, на котором также выстроена 1 и 2 линия специалистов. Каких же высот должен достичь инженер первой линии для получения level up?
Погруженность в тематикуПрежде всего, опытный инженер администрирования должен чётко понимать, от чего защищают те или иные СЗИ. Для этого он должен иметь представление об основных типах уязвимостей защищаемой системы, способах их эксплуатации и потенциальном воздействии на систему заказчика.
Специалист второй линии должен знать основные методы реализации угроз ИБ – наиболее распространённые типы атак на защищаемые системы. В частности, речь идет об атаках из Интернета на защищаемые веб-ресурсы заказчика (на которые в первую очередь направлено жало хакеров), а также на прочие ресурсы, доступные извне.
Знание инструментарияДля успешного противостояния сложным и изощрённым атакам инженер должен владеть своим инструментарием на 100%. Идея не нова и совпадает с утверждением из раздела про мониторинг, но от этого не становится менее актуальной.
Знай то, с чем работаешь. В Solar JSOC на вооружении инженеров стоят различные IPS, WAF, AntiDDoS-решения, которые, по заявлениям вендоров, неплохо работают из коробки. Но мы стремимся к тому, чтобы наши инженеры владели полным функционалом этих продуктов: умели читать дефолтные политики, редактировать предустановленные сигнатуры, понимали, что скрывается «под капотом» красивого графического интерфейса.
Классическим кейсом для администратора WAF или IPS является разработка кастомной сигнатуры для зафиксированной long-term атаки на защищаемый веб-ресурс. Как раз с такой ситуацией недавно столкнулись наши инженеры: средства мониторинга зафиксировали продолжительный брутфорс учетных записей личного кабинета одного известного интернет-магазина.
Предустановленные сигнатуры на брутфорс-атаки не срабатывали, так как не учитывали специфику конкретного веб-приложения. Мы собственными силами провели оперативный анализ опасных веб-запросов и на его основе создали сигнатуру WAF, блокирующую эту активность.
Хакеры заметили изменения в системе защиты атакуемого ресурса и несколько раз незначительно меняли содержимое запросов, пытаясь обойти сигнатуру, но каждый раз наши инженеры успешно отслеживали эти манипуляции и корректировали политику защиты. Вендоры средств защиты предоставляют подобный сервис, но зачастую им может не хватать оперативности и погруженности в специфику защищаемой системы.
Анализ ретроспективыОднако бывают неприятные ситуации, когда атака пропущена, и злоумышленник, проэксплуатировав уязвимость, попал на целевой хост. Через какое-то время проникновение детектировали, доступ закрыли, команда форензики проанализировала скомпрометированные хосты и нашла на файловой системе артефакты, являющиеся следами проведенной атаки.
Инженер администрирования при помощи коллег-форензеров пытается разобраться, каким образом эту атаку можно было детектировать и заблокировать еще «на подходе» на эксплуатируемых средствах защиты. Для этого предпринимаются попытки реанимировать остатки боевого эксплойта для добавления его пейлоада в качестве сигнатуры, инженер отмечает специфические нюансы атаки, способные трансформироваться в триггеры мониторинга, определяются уязвимости ПО, успешно проэксплуатированные в рамках атаки.
Архитекторский подходИнженер второй линии должен уметь видеть на два шага вперед. Любая эксплуатация сложного продукта неизбежно связана с изменениями его конфигурации. С учетом же специфики ИБ-решений может оказаться, что любые изменения грозят потерей доступности не только самого средства защиты, но также и защищаемой системы, и как следствие – финансовым ущербом для заказчика.
Именно поэтому администратор ИБ должен обладать архитекторским видением при подготовке RFC: уметь планировать проводимые работы, прогнозировать простои, оценивать риски и влияние изменений на остальные системы, а также всегда держать в запасе пути отступления – надежные методы отката конфигурации к рабочему состоянию продукта.
Также не стоит забывать о том, что защищаемые системы обычно не статичны, а находятся в состоянии непрерывных изменений. И единожды грамотно разработанная политика защиты может перестать адекватно работать уже через несколько дней после ее развертывания.
Поэтому опытный инженер второй линии должен быть способен выстроить технический процесс, состоящий из этапов профилирования легитимной активности, тестирования и доработки адаптированной политики, запуска этой политики в блокирующем режиме в продуктив и т.д.
Вместо заключенияНа клавиатуре уже начинают западать клавиши букв слова «инженер», поэтому будем закругляться :). Подводя итог, хотелось бы сказать, что технические скиллы для специалиста в нашей сфере – это очень важно, но в первую очередь мы обращаем внимание на людей с горящими глазами, которые «болеют» темой ИБ, причем в «белом» её проявлении.
Увлеченность своей работой позволяет специалисту избежать застоя и является основным драйвером для профессионального роста, что немаловажно в нашей непрерывно меняющейся отрасли. Первая или вторая линия – это не так важно. Если специалист вступает на эту стезю с большим желанием, успех ему гарантирован. Как и печеньки :).
Сертификация для soc-специалистов
Исключив из рассмотрения специализации по анализу защищенности (Pen Testing), Threat Intelligence, Threat Hunting и Forensic, а также Malware Analysis, список оказался не таким уж и большим.
Сразу отмечу, почему речь именно о сертификациях, а не просто об обучении / тренинге. Дело в том, что для работодателя зачастую крайне важно удостовериться, что направленный на тренинг слушатель не просто «прослушал курс», а получил нужные знания и подтвердил их в определенном формате. Плюс, подготовка к экзамену позволяет уже самостоятельно систематизировать знания и закрепить их. И, конечно же, все сертификации имеют самые различные курсы подготовки, учебники и т.п., более того, на часть придется попасть, только пройдя курсы или подтвердив опыт.
Получившаяся сводная таблица ниже, сразу всех расстрою – всё только на английском языке, и нормальной очной подготовки на территории России нет … (за исключением Cisco).
Дополнительно сделаю подборку доступных учебных программ (без сертификации), в первую очередь ориентированных на российскую аудиторию.
Успехов в подготовке и сертификации ваших SOC-специалистов!
PS
Все ссылки на первоисточники:
мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Заключение
Наиболее критичные сервисы, заслуживающие более пристального внимания, тестируются отдельно с использованием двух моделей нарушителей.
Подобный комплекс мероприятий позволяет:
За помощь в написании статьи выражаю благодарность