Статьи

Основи зміцнення інформаційної безпеки

  1. ТЕНДЕНЦІЇ РОЗВИТКУ СИСТЕМ БЕЗПЕКИ І СЕТЕВОЙ ГАЛУЗІ Межі розподілених мереж швидко розмиваються, і...
  2. ЦЕНТР УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКОЮ
  3. ЛЮДИ
  4. ПРОЦЕСИ

ТЕНДЕНЦІЇ РОЗВИТКУ СИСТЕМ БЕЗПЕКИ І СЕТЕВОЙ ГАЛУЗІ

Межі розподілених мереж швидко розмиваються, і організації змушені вирішувати складні завдання зі збору даних і управління ними від безлічі пристроїв, на їхню контролю, обробки та зберігання в будь-якій точці планети, а також по масштабування і перерозподілу ресурсів для задоволення нових потреб. Поширення пристроїв Інтернету речей, хмарних обчислень, мобільних споживачів і онлайн-додатків тільки прискорює ці зміни. У міру подальшого розширення і стирання кордонів мережі спостерігається збільшення числа і різноманітності потенційних джерел загроз, які виникають частіше, стають все більш поширеними і набувають комплексного характеру.

В результаті потенціал прориву системи безпеки сьогодні високий як ніколи. На жаль, успадковані методи, технології і процедури керування погрозами і реагування на порушення системи безпеки не дозволяють реалізувати стійкі і життєздатні стратегії захисту в сучасних динамічних і розподілених мережевих середовищах. Незважаючи на безпрецедентні інвестиції в пристрої захисту, проломи продовжують зустрічатися повсюдно, в тому числі і там, де формально забезпечується «відповідність» стандартам. Все це призводить до висновку про те, що для ефективного функціонування сучасних мереж необхідні нові керівники, нове мислення, нові інструменти і нові процеси.

Для одних організацій це стане спонукальним стимулом до створення корпоративного центру управління інформаційною безпекою (Security Operations Center, SOC) або розширення його можливостей, інші віддадуть перевагу звернутися до постачальників послуг аутсорсингу безпеки і керованих сервісів (Managed Service Provider, MSP).

SOC ЯК СТРАТЕГІЯ

Протидія сучасним загрозам неможливо без адаптивного контролю, а також збору і зіставлення локальної та глобальної інформації, що дозволяє прогнозувати виникнення як вже існуючих, так і майбутніх загроз. Не менш важлива роль відводиться глибокому контекстно-залежному аналізу, який забезпечує більш швидке виявлення загроз і своєчасне реагування на них.

Якщо організація створює SOC вперше, потрібно чітко розуміти виклики, з якими їй доведеться зіткнутися і вплив яких бажано мінімізувати:

  • Кількість і складність загроз ростуть. Моніторинг середовища дуже швидко веде до інформаційного перевантаження фахівців з безпеки: тривожних сигналів занадто багато, і немає простих способів їх ранжувати.
  • Ефективно захистити все без винятку неможливо.
  • Розподіл відповідальності між ІТ-групами, динамічна зміна мереж і роздрібнена інфраструктура безпеки обмежують можливості контролю критично важливих активів і процесів компанії.
  • Багато SOC розвивалися природним чином, при цьому процеси, інструменти і методології розроблялися в міру необхідності, причому найчастіше вручну. Недостатня автоматизація знижує можливості швидкого реагування на загрози з метою запобігання компрометації мережі.
  • Неповне уявлення про супротивників в сфері безпеки не дозволяє прийняти адекватні рішення.
  • Зростаючий розрив у рівні кваліфікації фахівців ускладнює управління середовищем і підвищує уразливість мереж.

ЦЕНТР УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКОЮ

Де-факто SOC складається з трьох взаємопов'язаних стандартних компонентів: людей, процесів і технологій.

Люди. У вашому розпорядженні можуть бути найновіші технології та процеси, але цього недостатньо - потрібні грамотні фахівці, які могли б ефективно управляти SOC. Вони повинні не тільки володіти технічними навичками, а й вміти взаємодіяти з керівництвом і володіти навичками спілкування. Для утримання кваліфікованих співробітників потрібно організовувати навчання і створювати умови, що дозволяють їм реалізувати свої кар'єрні устремління. Необхідно працювати з усіма, хто має доступ до мережі, - з персоналом компанії, клієнтами і постачальниками.

Процеси. Правильно певні процеси важливі не менше, ніж люди. Хороші процеси - це база для досягнення бажаної продуктивності і ефективності. Вони повинні регулярно піддаватися аналізу і підкріплюватися грамотним управлінням, технологіями, операційними стандартами і контролем ключових показників ефективності.

Технології. Важлива роль відводиться і технологій, що застосовуються в SOC. Для ефективного виявлення загроз необхідно визначити, які знадобляться продукти, типи даних про події, інструменти кореляції і додаткові ситуативні джерела інформації.

Зупинимося на кожному з цих компонентів більш докладно.

ЛЮДИ

Перш за все слід поговорити про директораті і акціонерів, оскільки саме вони повинні бути залучені в загальну програму зміцнення безпеки і підвищення її ефективності в контексті реалізації стратегічних ініціатив. Саме їм доведеться приймати рішення про те, що важливо для них, для бізнесу, для співробітників і клієнтів. Ці люди можуть стати основними союзниками у справі підвищення ефективності SOC, тому важливо, щоб вони були залучені в процес безперервної модернізації.

Залежно від розмірів SOC членам команди відводяться різні ролі. У великих центрах на кожній позиції потрібні фахівці, які розуміють, хто і як класифікує інциденти. У невеликих SOC кожен учасник виконує відразу кілька функцій. Чіткий розподіл завдань повинно гарантувати, що жоден аспект управління SOC не буде забутий.

Потрібно врахувати, що до персоналу SOC пред'являються дуже високі вимоги, багато співробітників швидко втомлюються і втрачають ентузіазм. Регулярне підвищення кваліфікації та навчання кількома спеціальностями мають істотне значення для підтримки мотивації. Крім того, кожен член команди повинен чітко розуміти, який може бути його кар'єра.

У таблиці наводиться приклад розподілу різних ролей і позицій в типовому SOC. Конкретний набір посад може змінюватися, ролі часто об'єднуються, але вона дає уявлення про те, з чим доведеться мати справу.

Конкретний набір посад може змінюватися, ролі часто об'єднуються, але вона дає уявлення про те, з чим доведеться мати справу

ПРОЦЕСИ

SOC вимагає спеціальних процесів для бізнесу, технологій, операцій і аналітики.

Бізнес процеси. Вони визначають загальний напрямок діяльності SOC. На цьому етапі формулюються цілі та завдання, а також задаються пріоритети і функції. Зазвичай все це робиться ще до початку створення центру. До критично важливим бізнес-процесів належать такі:

Спонсор проекту. Головне завдання спонсора полягає в тому, щоб переконати в необхідності створення SOC директорів компанії і керівників окремих підрозділів в ході освітніх семінарів, тренінгів і т. Д. Без підтримки керівництва ймовірність успішної побудови SOC невелика. Важливе значення в ході обґрунтування має визначення цілей і причин створення SOC.

Місія та орієнтири. Так само як визначення зон відповідальності, конкретних завдань і замовників. Формулювання, наприклад, може звучати так: «Надання 24 години на добу і 7 днів на тиждень послуг, спрямованих на підвищення рівня безпеки всієї організації на основі безперервного моніторингу, за результатами якого будуть здійснюватися виявлення інцидентів і протидію їм з метою зниження ризиків і наслідків впливу потенційних кіберзагроз. У число цих функцій входить управління всіма мережевими пристроями і засобами безпеки, включаючи робочі станції, мобільні пристрої і системи ».

Цілі і завдання. Цілі і завдання SOC можуть включати, наприклад, виявлення кіберінцідентов і порушень системи безпеки, профілактику інцидентів, доповідь керівництву про поточну ситуацію, а також неухильне поліпшення безпеки на основі почерпнутих уроків.

Функції. Функції SOC забезпечують виконання місії і досягнення бізнес-цілей. Як приклад можна привести реєстрацію інцидентів, контроль за дотриманням нормативних вимог, управління конфігурацією (скажімо, при зміні правил брандмауера і системи запобігання вторгнень), а також оновлення вразливих систем.

Заходи та зони відповідальності. Тут описується повсякденна діяльність в рамках кожної функції і визначаються ролі персоналу SOC. Так, контроль за дотриманням нормативних вимог може передбачати створення і моніторинг відповідних інструментальних панелей SIEM, формування та перегляд звітів про дотримання необхідних норм, а також забезпечення правильної конфігурації ресурсів.

Проконтролювати і захистити всі компоненти середовища практично неможливо. Тому доведеться визначати пріоритети для ключових бізнес-процесів, виділяти для них необхідні ресурси і конкретизувати важливі або підпадають під вимоги регулятора дані.

Cуб'екти, від яких виходить загроза. З'ясувавши, які дані циркулюють у вашому середовищі, ви зможете зрозуміти, які суб'єкти зацікавлені в їх викрадення. Хто вони? У чому їх інтерес? Якими можливостями вони володіють і яка їхня тактика?

До суб'єктів, від яких виходить загроза, відносяться державні та галузеві кібершпигунів, організована злочинність, хактивісти, деструктивні інсайдери, безпринципні хакери, вандали, зломщики-дилетанти. Сюди ж можна віднести помилки користувачів.

Метрики. Щоб визначити ефективність SOC, вам доведеться описати показники продуктивності і ризиків. метрики дол

Хто вони?
У чому їх інтерес?
Якими можливостями вони володіють і яка їхня тактика?

Новости