Участники секции «Информационная безопасность» очередного CNews FORUM 2022 в ходе выступлений спикеров, а также их ответов на вопросы из зала пришли к нескольким выводам, порой не утешительным. Число атак на инфраструктуру в текущем году увеличилось в 10 раз. Основная задача сегодня — не столько заменить ПО и оборудование иностранного производства, сколько найти варианты для того, чтобы они продолжали работать. По мнению участников секции, защищать нужно критические бизнес-процессы, а не инфраструктуру в целом.
Иван Мелехин: Вопрос создания в российских компаниях SOC стал особенно актуальным
Для противодействия кибератакам, число и интенсивность которых многократно увеличились, компаниям надо создавать собственный SOC. Однако, это требует серьезных денежных вложений. Кроме того, могут возникнуть трудности с поиском специалистов. О том, как действовать в сложившейся ситуации, рассказал Иван Мелехин, Директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита».
CNews: С какими вызовами в сфере ИБ столкнулись российские компании?
Иван Мелехин: В 2022 г. российские компании столкнулись с многократным увеличением числа целевых кибератак на ИТ-инфраструктуру, количество еженедельных инцидентов достигало сотни тысяч. Наибольшая доля киберугроз пришлась на органы государственной власти и муниципального управления, а также на промышленность и финансовый сектор. Атакам подвергались даже те организации, которые ранее никогда не сталкивались с действиями хакеров. Особенно эксперты по ИБ отметили рост DDоS-атак, их активность наиболее явно наблюдалась весной.
Многие компании оказались не готовы к целевым атакам, так как их руководители считали вредоносное вмешательство хакеров в их ИТ-инфраструктуру маловероятным и не предпринимали мер по повышению уровня информационной безопасности. В результате массовых кибератак вопрос создания в российских компаниях Security Operations Center (SOC) стал особенно актуальным.
Стоит также добавить, что уровень входа в «профессию» хакеров постоянно снижается, а сложность используемых инструментов и вариативность векторов атак, напротив, растет. Поэтому кибератаки далеко не всегда можно выявить с помощью стандартных средств мониторинга. Это связано как с развитием инструментария злоумышленников и использованием новых векторов атак (через подрядчиков или с помощью теневого рынка доступов), так и с проблемами в самих организациях: отсутствие патч-менеджмента, управляющего процессами обновления ПО; игнорирование правил безопасной разработки; низкий уровень киберграмотности сотрудников и др. В таких условиях, наряду с повышением защищенности информационных ресурсов, организациям необходимо максимально расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки и процессы обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
CNews: Каким компаниям необходимо создавать SOC?
Иван Мелехин: Компания, желающая создать внутренний SOC, должна быть достаточно крупной. Необходимо, чтобы в ней уже функционировал ИБ-департамент, специалисты которого молниеносно обрабатывают события, регистрирующиеся в различных информационных системах. В организации должны быть развернуты решения, которые обеспечивают высокий уровень информационной безопасности – антивирусы, SIEM, межсетевые экраны, системы поведенческого анализа, песочницы, системы класса DLP, IRP и прочее.
SOC, в свою очередь, автоматизирует процессы информационной безопасности, которые уже действуют в компании, что повышает эффективность поставленных задач и снижает расходы на защиту. Если же операционных процессов, связанных с обеспечением конфиденциальности, целостности и доступности, в организации нет, то значит в SOC нет необходимости. Короче говоря, компании необходимо созреть до уровня SOC, руководство должно понимать риски из-за возможных инцидентов информационной безопасности и идти на затраты ради их снижения.
CNews: Как построить работающий SOC?
Иван Мелехин: Для начала нужно определить подходящую модель SOC: будет ли это собственный полноценный SOC внутри компании или SOC на полном аутсорсинге. Стоит отметить, что создание и содержание SOC требует серьезных денежных вложений, включающие траты на проект, техническое оснащение, правила выявления инцидентов и прочее.
Кроме того, трудности могут возникнуть с поиском специалистов. Если брать ИБ-компании, то они зачастую сами «растят» своих экспертов до необходимого уровня. Обычным организациям нужно будет искать нужных специалистов на российском рынке, где и без того существует дефицит ИБ-кадров. А это займет немало времени.
Если компания все же выбирает создать собственный SOC и не рассматривает аутсорсинговую модель, надо начинать с пилотного проекта, в начале которого необходимо четко определить его цели, формат проведения пилота, а также миссию, стратегию и ключевые метрики будущего SOC. Пилотный проект поможет организации понять возможности сервис-провайдеров и выбрать, кого из них нанять для консультаций.
Еще раз отмечу, быстрых и тем более недорогих решений по организации собственного SOC сейчас нет: недостаток специалистов, проблемы с поставками аппаратного обеспечения, слабое импортозамещение отдельных инструментов защиты не позволяют компаниям строить свой центр мониторинга с нужной скоростью и качеством.