Как измерить надежность системы кибербезопасности компании. "Линейка" от Octava Defence
Способность бизнеса сохранять непрерывность несмотря на киберугрозы в Octava Defence называют киберустойчивостью и считают конечной целью существования функции кибербезопасности. Разобраться с навыками, которыми должна обладать система чтобы считаться киберустойчивой, и, как следствие, получить четкие критерии для определения качества/надежности системы кибербезопасности вашего бизнеса, нам поможет Алексей Севонькин, BDM Octava Defence.
Начнем с того, что определим в какой момент бизнесу важно задуматься о кибербезопасности.
Подпишитесь на канал DELO.UA
Ни для кого не секрет, что новая реальность привела к радикальному росту рисков кибератак. Свою лепту внесли и карантинные меры, и массовый переход на удаленную работу, и возрастающий уровень организованности киберкриминальной экономики. Но есть две составляющие, которые, как правило, остаются на периферии внимания бизнеса.
Первая — это ориентация на технические средства: компании инвестируют в технологии, которые, к сожалению, не гарантируют полную защиту.
Вторая — нехватка квалифицированных кибераналитиков. В этом отношении, под ударом находится любой бизнес, а решение о том стоит ли инвестировать в КБ важно принимать сопоставив стоимость реализации системы КБ со стоимостью рисков, например, потери данных или неработоспособности ваших систем. Это чисто математический расчет, который просто требует внимательного отношения.
Как же так получается, что технологии, задача которых защищать, на самом деле ничего не гарантируют?
Проблема не в технологиях, а в том как они эксплуатируются. В наших проектах SOC (SOC или Security Operational Center — ситуационный центр управления кибербезопасностью. Задача SOC — обеспечить мониторинг, защиту, расследование инцидентов и реагирование на кибератаки 24/7) мы часто сталкиваемся с ситуацией, когда "железо" и программные продукты с точки зрения кибербезопасности отрабатывают на 30% своих возможностей.
Основные причины:
1) выбор и настройка оборудования исходя из задач ИТ (часто в ущерб безопасности);
2) недостаточная квалификация специалистов по кибербезопасности, которые работают с данными, предоставляемыми этим оборудованием и ПО. Так, например, они не могут отследить атаку в наборе, на первый взгляд, не связанных событий.
И тут мы понимаем, что две скрытые проблемы, о которых я говорил ранее (усугубляющие ситуацию с ростом кибератак), сходятся в одной точке — человеческий фактор. Каким бы дорогим не было оборудование, на текущий момент качество реализации функции кибербезопасности напрямую зависит от профессионализма людей, которые эту функцию осуществляют.
А как понять, что моя система КБ не справляется со своей функцией? Если кибератак не было, значит ли это, что все в порядке?
"Ничего не происходит" — не самая удачная метрика. Чаще всего это свидетельствует о том, что ваша система КБ "слепа".
Национальный Институт Стандартов и Технологий США (NIST) разработал модель, отражающую ключевые задачи системы КБ — NIST Cybersecurity Framework. Она поможет нам разобраться с тем что мы в Octava Defence называем "слепой" системой КБ.
Всего NIST выделяет 5 функций:
- Идентификация — знаем, что хотим защищать.
- Защита — умеем отбивать простые атаки реактивно.
- Мониторинг — наблюдаем инфраструктуру и события 24/7.
- Расследование и Реагирование — умеем анализировать события, выявлять и останавливать сложные атаки в проактивном режиме.
- Восстановление — знаем как вернуть работоспособность в случае успешной атаки (да мы должны быть готовы и к этому сценарию, наступление которого имеет меньшую вероятность при условии реализации предыдущих пунктов).
В наших реалиях, компании ограничиваются только защитой. И хорошо, если этой функции предшествует реализация задачи идентификации (т.е. мы защищаем то, что бизнесу важно защищать и знаем какие сервисы являются бизнес-критичными).
Собственно, система КБ заказчиков, в которой реализована только функция защиты (без реализации задачи анализа журналов событий) и называется "слепой". Де-факто она просто не видит что на самом деле происходит в вашей инфраструктуре. А, если даже и видит, то никто не обрабатывает эти данные — не находит неочевидные взаимосвязи, которые могут представлять угрозу.
Как вернуть "вернуть" зрение системе КБ?
Давайте, вернемся к тому с чего начали. Цель функции кибербезопасности — обеспечение киберустойчивости бизнеса. Мы в Octava Defence считаем, что самый короткий маршрут к киберустойчивости лежит через использование SOC. Благодаря тому, что его воссоздание предполагает проработку трех необходимых составляющих: технологии, процессы и люди, обеспечивается эффект "всевидящего ока".
Становление полноценного SOCа предполагает три этапа, которые мы представили в виде пирамиды киберустойчивости. Она образует своеобразную "линейку" для оценки зрелости системы КБ. Приложите нашу "линейку" к вашему бизнесу, сравните навыки, которыми обладает ваша система с теми, которые которые отражены на пирамиде, и вы получите богатую почву для размышлений на тему модернизации стратегии КБ вашей компании.
Итак, 3 уровня пирамиды киберустойчивости.
0 уровень — понимаем, что должны защищать. Предусматривает проведение аудита объектов защиты и выделения критических для бизнеса сервисов, создание карты рисков и модели уязвимостей. По результатам формируется портфель проектов = мероприятий усиления киберстийкости.
1 уровень: базовая и SOC-ready защита — создаем "щит", который препятствует реализации простых кибератак, обеспечиваем наблюдаемость событий и выявление потенциальных угроз 24/7.
Во время проектов Octava Defence на этом уровне происходит повышение эффективности использования основных решений кибербезопасности и внедрение дополнительных "SOC-ready" решений для обеспечения функции мониторинга на следующих уровнях (Deception, EDR, NDR).
2 уровень: SOC-мониторинг — обеспечиваем наблюдаемость событий и выявление потенциальных сложных угроз 24/7.
На этом уровне обеспечивается нормализация событий, устранение false-positive и возможного "шума" систем ИТ и КБ заказчиков, вводятся процессы базового расследования и реагирования, а также предусматривается формирование регулярных аналитических отчетов.
Некоторым из наших заказчиков вполне достаточно второго уровня пирамиды. Но настоящая ценность сервиса проявляется на следующих уровнях.
3 уровень: SOC MDR - умеем работать в проактивном режиме, предупреждать кибератаки, знаем как оперативно восстановить работу после наступления инцидента, а также сформировали BLUE TEAM — единую профессиональную команду реагирования с заказчиком, которая способна обеспечить полноценный цикл расследования, реагирования и устранения всех потенциальных причин возникновения инцидентов — уязвимостей, а также реализована задача проведения Thread Hunting.
Также этот этап предусматривает проведение аудита и разработку стратегий резервирования, создание плана восстановления на случай кибератаки, реализуется функция безопасного резервирования данных. Впрочем, в наших проектах мы можем инициировать решение задачи резервирования и на более ранних этапах. Зависит от того как в момент начала сотрудничества этот вопрос уже решается у заказчика.
Как работает SOC Octava Defence?
Главная услуга Octava Defence — это Security Operational Center в формате услуги или SOC as a Service. И если SOC вообще — самый короткий маршрут к киберустойчивости, то SOC как услуга — на наш взгляд, не только самый короткий, но и самый экономически выгодный.
Создание и обслуживание собственного SOC требует значительных финансовых, временных и человеческих ресурсов, которые далеко не всегда доступны. А главное не всегда целесообразно их инвестировать в таком объеме, какой требует собственный SOC.
SOC в формате управляемой услуги от Octava Defence:
- позволяет стартовать быстро;
- превращает капитальные затраты в предполагаемые операционные;
- предоставляет доступ к технологиям, опытным специалистам, актуальным практикам и стандартам кибербезопасности;
- и учитывает индивидуальные особенности бизнеса заказчика.
SOC as a Service — интеллектуальная надстройка, которая не может заменить, но значительно усиливает и дополняет собственную службу КБ заказчика. Сотрудники клиента по-прежнему выполняют ключевую роль в вопросах эксплуатации технических средств защиты, в то время как профессиональные кибераналитики Octava Defence работают на уровне журналов событий, сработок, которые эти технические средства генерируют. Выполняют нормализацию событий и устранение false/positive, специфический тюнинг настроек технических средств под потребности бизнеса клиента. Важный аспект — трансфер знаний, который является неизбежным следствием сотрудничества. Так или иначе Octava Dеfence повышает профессиональный уровень специалистов своих клиентов уникальными навыками в сфере КБ.
Таким образом, вместе с нашими заказчиками мы продвигаемся по уровням зрелости пирамиды киберустойчивости, оставаясь в рамках актуальных задач и возможностей их бизнесов.
Вам будет интересно узнать, как мы помогли ЛИГА:ЗАКОН повысить киберустойчивость в один из самых сложных для организации периодов.