Новые подходы при построении SOC (Security Operations Center)
В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Новые подходы при построении SOC (Security Operations Center)
Традиционно под англоязычным понятием Security Operation Center (SOC) понимается некая система, построенная на базе продуктов класса SIEM (Security Information and Event Management), предназначенных для сбора и хранения лог-файлов устройств и приложений с целью их дальнейшего анализа и выявления инцидентов.
Дмитрий Бурлаков
Ведущий системный аналитик
отдела ИБ, “Открытые Технологии"
Ведущий системный аналитик
отдела ИБ, “Открытые Технологии"
Сейчас SOC на основе SIEM-продуктов помогает компаниям решать ряд ключевых задач:
- собирать и хранить лог-файлы в едином централизованном хранилище;
- предоставлять специализированные отчеты аудиторам для соответствия требованиям законодательства и отраслевым стандартам;
- определить некую "базовую линию" сетевой активности организации, превышение которой может свидетельствовать о разного рода атаках;
- выполнять корреляцию событий между различными источниками.
Однако угрозы и атаки с каждым годом становятся все более сложными и зачастую направленными против определенной группы организаций (например, СМИ) или же конкретной компании. Очевидно, что подобные целенаправленные противоправные действия совершаются подготовленными людьми, имеющими определенную квалификацию, и поэтому их чрезвычайно сложно обнаружить стандартными средствами защиты (антивирус, IPS). Для выявления подобных действий нужен максимально возможный объем данных для анализа и в идеальном варианте необходимо анализировать не только логи, но и весь трафик с целью выявления аномальной активности и определения степени ущерба. То есть для получения достоверной картины происходящего в Сети в настоящее время уже недостаточно одних только лог-файлов с устройств и приложений.
Новое поколение SIEM-систем
Новые SIEM-системы, собирающие и анализирующие значительно большее количество информации, позволяют расширить получение данных в следующих областях:
- выявление вредоносных программ;
- обнаружение следов активности атакующего в IT-инфраструктуре;
- предоставление доказательств незаконной активности.
Решить существующие проблемы призвано новое поколение SIEM-систем, использующих технологии глубокого анализа пакетов (Deep Packet Inspection) и работающих с Big data - информацией, на несколько порядков превышающей анализируемые и хранимые в настоящее время объемы, а также более разнообразной и более динамичной по сравнению с данными, собираемыми на текущий момент. Данные системы позволяют осуществлять полную запись всех пакетов в сети, что в сочетании с логами и другими источниками данных позволяет осуществлять более глубокий анализ. Новый подход при поиске аномалий и инцидентов в таких системах можно выразить так: последовательно удалять сено из стога (хорошо известные факторы) до тех пор, пока не останутся одни иголки (негативные факторы).
Новые SIEM-системы, собирающие и анализирующие значительно большее количество информации, позволяют расширить получение данных в следующих областях:
- выявление вредоносных программ. С каждым годом они становятся все сложнее, поскольку маскируются и остаются незамеченными. Использование технологии записи всех сетевых пакетов позволяет собирать и восстанавливать файлы, а затем автоматизировать большую часть анализа, требуемого для выявления явных признаков злонамеренных действий;
- обнаружение следов активности атакующего в IТ-инфраструктуре. Оказавшись в сети организации, злоумышленники зачастую перемещаются между узлами с целью сбора сведений, необходимых для развития атаки. Поскольку конечные узлы часто не входят в зону мониторинга, то полная запись всех сетевых пакетов становится одним из важнейших средств для обнаружения передвижения нападающих, а также степени их воздействия на IT-ресурсы компании;
- предоставление доказательств незаконной активности. SIEM-системы, способные к захвату сетевых пакетов и записи сессий, способны восстановить полную активность злоумышленника и определить утечку данных.
Развитие SIEM-решений
Добавление функционала захвата пакетов и восстановления сессий в следующем поколении SIEM-решений имеет важное значение для аналитиков, поскольку позволяет перейти на совершенно новый уровень изучения и приоритезации угроз. К примеру, традиционные SIEM-системы могут сообщить аналитику, что у некоего компьютера было зафиксировано соединение с сервером злоумышленника, но они не смогут ответить на вопрос, что было при этом передано. Захват пакетов и воспроизведение сессий в сочетании со сбором лог-файлов может дать аналитикам понимание того, что было обнаружено и скомпрометировано злоумышленником. В качестве конкретного примера новой SIEM-системы можно привести продукт Security Analytics компании RSA (ЕМС).
Специалисты компании "Открытые Технологии" отмечают, что SOC, построенный на традиционных SIEM-системах, продолжает оставаться эффективным средством обнаружения аномалий по конкретным правилам, установленным сотрудниками ИБ. Однако на смену им постепенно начинают приходить новые поколения SIEM-решений, оперирующие значительно большими объемами информации, что позволяет аналитикам найти угрозы и аномалии, о которых они даже не подозревали.
ОТКРЫТЫЕ ТЕХНОЛОГИИ 98, ЗАО
115280 Москва,
ул. Ленинская Слобода, 19, стр. 6
Тел.: (495) 787-7027
Факс: (495) 787-7028
E-mail: info@ot.ru
www.ot.ru
115280 Москва,
ул. Ленинская Слобода, 19, стр. 6
Тел.: (495) 787-7027
Факс: (495) 787-7028
E-mail: info@ot.ru
www.ot.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
