Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
https://wos-scopus.com
Научные направления
Поделиться:
Статья опубликована в №9 (май) 2014
Разделы: Информационные технологии
Размещена 20.02.2014. Последняя правка: 24.02.2014.

Преимущества использования облачного сервиса при построении SOC

Беспалова Наталья Николаевна

-

НГТУ, NVision Group

стажер-инженер

Любченко В.И., ЗАО NVision Group Энвижн – Сибирь (Новосибирск), руководитель направления технического отдела


Аннотация:
Использование облачных технологий при построении SOC делает реагирование и разрешение инцидентов более оперативным и позволяет использовать консолидированный опыт по расследованию специфичных инцидентов, а также уменьшению финансовых затрат.


Abstract:
Using cloud technology in the construction of SOC makes response and incident resolution quicker and allows the use of consolidated experience in the investigation of specific incidents and reduce financial costs.


Ключевые слова:
Информационная безопасность и управление событиями, центр управления безопасности, соглашения об уровне обслуживания

Keywords:
Security Information and Event Management, Security Operation Center, Managed Security Service Provider


УДК 004.056.53

Как правило, одним из наиболее популярным на сегодняшний день решений, приобретаемых в рамках подготовки к сертификации, является SIEM (Security Information and Event Management) – платформа, позволяющая закрыть сразу несколько требований регулятора. Но приобретенный SIEM - это лишь продукт, который должен быть дополнен штатом аналитиков и выработанной стратегией, включающей в себя интеграцию стандартов безопасности, операций IT, а также учитывающую политику компании, только в этом случае можно говорить о построении и функционировании SOC (Security Operation Center)[1].

Соответственно, не только само приобретение решения на базе SIEM требует серьезных стартовых вложений – необходимы закупка оборудования и программного обеспечения, настройка SIEM под конкретные требования бизнеса и службы безопасности, но и необходимость обеспечения мониторинга и реагирования на возникающие инциденты. В случае, если к SIEM подключены критичные бизнес-приложения или онлайн-сервисы компании, регистрация и мониторинг должны осуществляться в режиме 24 на 7 с очень высокой скоростью реакции на возникновение инцидентов нарушения безопасности, в этом случае требуется выделение дополнительных ресурсов, что, в конечном счете, приводит к серьезному увеличению финансовых затрат.

Одно из возможных решений данной ситуации – использование существующих ресурсов подразделения информационной безопасности (ИБ). В этом случае необходимо учитывать, что сотрудники отдела ИБ решают достаточно большое количество других профильных задач и не смогут полноценно обеспечивать требуемую скорость реакции на инциденты. Второй рассматриваемый вариант - передача части функций по управлению инцидентами (например, мониторинг и первичное реагирование) в IT-подразделение компании, но здесь необходимо учитывать тот факт, что сотрудники IT достаточно далеки от задач информационной безопасности и с высокой степенью вероятности могут допустить ошибку в определении важности произошедшего инцидента, таким образом, данное решение тоже не всегда дает объективные результаты.

Если все-таки необходимый оптимальный вариант, устраивающий руководство компании найден, то остается открытым вопрос развития системы. Профили внешних и внутренних угроз информационной безопасности меняются регулярно, соответственно и SOC должен постоянно находиться в актуальном состоянии и соответствовать последним требованиям компании.

В связи с вышесказанным возможным решением может стать передача процесса управления инцидентами на аутсорсинг или получении этого сервиса на облачной основе. Данная идея нова для российских реалий, но  в Европе и Америке подобные программы достаточно давно существуют и успешно функционируют. Число клиентов MSSP (Managed Security Service Provider) насчитывает несколько тысяч компаний, в число которых входят такие гиганты, как Vodafone и T-Mobile[2].  

Рассмотрим основные преимущества построения SOC с использованием облачного сервиса. Во-первых, использование облачного сервиса может избавить от необходимости первоначальных серьезных финансовых вложений, если оборудование и программное обеспечение предоставляются аутсорсинговой компанией в аренду. Большие начальные затраты на SIEM-решение преобразуется в существенно меньшие ежемесячные платежи. Кроме того, сервис-провайдер может взять на себя обязанности по размещению основного оборудования и обеспечивать его текущее обслуживание, гарантируя его работоспособность. Провайдер обеспечивает доступность сервиса, своевременное и корректное проведение всех работ по администрированию и сопровождению системы, квалифицированное и быстрое предоставление  актуальной информации, характеризующей ее состоянии. Таким образом, с подразделения ИБ снимается нагрузка, позволяя его сотрудникам заниматься другими приоритетными задачами по обеспечению безопасности компании.

Во-вторых, в зависимости от целей, преследуемых конкретным заказчиком возможно различное формирование соглашения об уровне обслуживания (Service Level Agreement, SLA), поскольку внешний сервис-провайдер имеет возможность оказывать услуги по реагированию и мониторингу на инциденты в нужном для компании режиме. Если основной задачей является мониторинг состояния и защищенности от угроз несанкционированного доступа, изменения конфигураций критичного бизнес-процесса, представленного в форме онлайн-сервиса, то контроль, безусловно, должен осуществляться в режиме 24 на 7, а время выявления и информирования о возникшем инциденте – измеряться как можно меньшими промежутками времени. Но в этом случае сам процесс расследования инцидента требует ограниченного количесива информации, а задачи по реагированию и противодействию могут быть целиком решены сотрудниками, обслуживающими данный сервис.

Если существует необходимость выявления и устранения сетевых аномалий инфраструктуры, контролирования непрофильного использования технологических систем или анализе интернет-активности зарегистрированных пользователей системы, то критичность такого рода инцидентов в большинстве случаев достаточно небольшая. Это снижает требования к временным рамкам, но существенно влияет на объем проводимого анализа и требует активного участия сервис-провайдера в противодействии инциденту и устранении его последствий.

В-третьих, использование MSSP позволяет использовать опыт провайдера в интеграции облачного сервиса с различного рода информационными системами, оборудованием связи операторов, системами управления технологическими процессами, что дает возможность построить процесс управления инцидентами информационной безопасности, максимально приближенный к задачам не только общей инфраструктуры, но и обеспечения безопасности бизнес-систем в целом.

При подключении клиентов к облачным сервисам проводится адаптация разработанных процедур и уточняется формат оказания услуги по следующим направлениям:

-  обследование инфраструктуры и выявление состава подключаемых источников;

- формирование списка документируемых событий;

- настройка общей базы контролируемых инцидентов в соответствии с политикой информационной безопасности компании;

- распределение ролей и функционала сотрудников, расследующих инциденты нарушения ИБ;

- определение порядка и способов взаимодействия в зависимости от типа и степени критичности при расследовании произошедших инцидентов;

- подготовка и планирование мер ИБ, предотвращающих повторное возникновение инцидента[3].

В целом, процесс формирования перечня событий, не имеющих высокой степени критичности при построении внутреннего SOC, приобретает совсем другое значение в облачном варианте. Даже в случае соответствующих соглашениях конфиденциальности заказчик чаще всего не готов отдавать во внешнюю систему не подлежащие разглашению данные. Но на практике для корректного функционирования и выявления инцидентов SIEM достаточно обрабатывать события аудита и общую информацию активности пользователей: фиксируется сам факт доступа к «критичному» файлу или таблице базы данных, а не сам файл или информация из базы. Поэтому степень критичности транслируемой информации мало отличается от характера данных, получаемых интегратором при обследовании системы или ее технической поддержке.

Таким образом, использование облачных технологий при построении SOCделает реагирование и разрешение инцидентов более оперативным и позволяет использовать как аккумулированный провайдером, так и собственный опыт компаний по расследованию инцидентов, специфичных для их бизнеса или особенностей инфраструктуры, в целом сокращая финансовые издержки компании.

Библиографический список:

1. Denis Batranko Как правильно сделать SOC на базе SIEM //Information security expert at HP TippingPoint on Mar 14, 2013
2. Dennis Davis Intrusion Detection FAQ: What is MSSP (Managed Security Service Provider) and how can it help my organization? //http://www.sans.org/security-resources/idfaq/mssp.php
3. Владимир Дрюков Облачный SOC – безопасность в аренду //Jet Info №8, август 2013г.




Рецензии:

20.02.2014, 23:08 Назарова Ольга Петровна
Рецензия: Поставьте сноски на литературу. Доработать.

24.02.2014 11:11 Ответ на рецензию автора Беспалова Наталья Николаевна:
Ок.

24.02.2014, 22:16 Назарова Ольга Петровна
Рецензия: Рекомендуется к печати



Комментарии пользователей:

Оставить комментарий


 
 

Вверх