- Категория
- IT и Телеком
- Дата публикации
Как объединить людей, процессы и технологии для повышения киберустойчивости бизнеса
Бизнес компании ЛИГА:ЗАКОН построен на предоставлении клиентам безопасного доступа к информационно-аналитическим сервисам в облачной среде. В некотором роде кибербезопасность можно считать залогом успешности бизнеса, поэтому отношение к этому вопросу здесь всегда было подчеркнуто внимательным.
Например, были внедрены ключевые технологии защиты, такие как:
- технология защиты периметра сети NG-FW Cisco FirePower;
- система безопасного удаленного доступа VPN;
- защита конечных точек с использованием технологии EDR — Cisco AMP.
Также в компании была развернута:
- инфраструктура Microsoft со всеми ключевыми сервисами;
- виртуальная инфраструктура;
- внутренние и внешние бизнес-критичные сервисы (core-бизнес компании);
- среда разработки и пр.
Компания умела реагировать на простые угрозы, а функция КБ была выделена и подчинена напрямую СЕО.
В целом же к моменту прихода в нашу жизнь пандемии COVID 19 в соответствии с пирамидой киберустойчивости Octava Defence ЛИГА:ЗАКОН находилась на первом уровне зрелости системы КБ. Классический подход к реализации функции КБ, который, тем не менее, соответствовал потребностям организации на момент трансформации.
Все изменилось с наступлением новой реальности. Требований стало больше, а ресурсов меньше. И хотя роль CISO как держателя систем КБ значительно возросла, это влияние не результировало в автоматическое появление новых рычагов усиления функции киберзащиты и дополнительных бюджетов.
К тому же появился дополнительный риск. Переход на дистанционную работу размыл периметр, и статистика по инцидентам красноречиво заявила о проблеме удаленных пользователей, "не прикрытых" существующими решениями КБ.
3 сценария усиления функции КБ от ЛИГА:ЗАКОН
В этой ситуации Лукьяненко Сергей, CISO ЛИГА:ЗАКОН, рассматривал несколько альтернативных сценариев усиления функции КБ.
Инвестируем в технические средства защиты
Первый, самый простой, — продолжать инвестировать в технические средства защиты.
Его очевидный плюс — видимость наращивания "оборонительной" мощи.
Минус — отсутствие реального повышения качества реализации функции КБ.
Дело в том, что распознавание сложных кибератак требует не только технических средств защиты, но и кибераналитиков, которые в наборе, на первый взгляд, несвязанных событий смогут выявить угрозу. В противном случае система КБ остается "слепой".
Важно также то, что системный администратор, IT-специалист или даже специалист по системам киберзащиты не всегда способен качественно выполнять работу по анализу событий, выявлению потенциальных инцидентов, расследованию и реагированию.
Для этого необходимо иметь значительный опыт эксплуатации как базовых систем киберзащиты, так и более продвинутых (SOC-ready), разбираться в решениях инфраструктурного (Windows / Linux) и сетевого уровня (DNS, HTTPS, PROXY, DHCP, mail и т.д.).
Одна из ошибок многих компаний — инвестировать в технические средства, но совсем не думать о том, КТО и КАК ЭФФЕКТИВНО будет работать с этими системами, решать появляющиеся проблемы и инциденты.
Создаем собственный SOC
CISO ЛИГА:ЗАКОН в полной мере отдавал себе отчет, что не хочет получить чемодан без ручки. Ему была нужна работающая система, обеспечивающая киберустойчивость бизнеса.
Будучи знакомым с моделью Security Operational Center, которую по праву считают лучшим способом консолидации усилий по достижению киберустойчивости, Сергей Лукьяненко задумался о реализации собственного полноценного SOC.
Его плюсы — полная картина событий, обнаружение сложных распределенных киберугроз в режиме реального времени, реагирование на инциденты и устранение их причин и другие.
Минусы — отложенный старт (до 6 месяцев) реальной реализации функции в новом усиленном формате, значительные инвестиции как в дополнительное оборудование, так и в расширение команды, которую с учетом дефицита кадров еще попробуй собрать и удержать.
SOC как услуга
Все вышеперечисленные минусы нивелирует модель предоставления SOC в формате управляемой услуги.
В то время как создание и обслуживание собственного SOC требует значительных финансовых, временных и человеческих ресурсов, которые далеко не всегда доступны, SOC в формате управляемой услуги от Octava Defence:
- позволяет стартовать быстро;
- превращает капитальные затраты в прогнозируемые операционные;
- предоставляет доступ к технологиям, опытным специалистам, актуальным практикам и стандартам кибербезопасности;
- учитывает индивидуальные особенности бизнеса заказчика.
SOC as a Service — интеллектуальная надстройка, которая не может заменить, но значительно усиливает и дополняет собственную службу КБ заказчика. Его сотрудники по-прежнему выполняют ключевую роль в вопросах эксплуатации технических средств защиты, в то время как профессиональные кибераналитики Octava Defence работают на уровне журналов событий, сработок, которые эти технические средства генерируют. Выполняют нормализацию событий и устранение false/positive, специфический тюнинг настроек технических средств под потребности бизнеса клиента. Важный аспект — трансфер знаний, который является неизбежным следствием сотрудничества. Так или иначе, Octava Dеfence повышает профессиональный уровень специалистов своих клиентов уникальными навыками в сфере КБ.
В случае ЛИГА:ЗАКОН после ряда консультаций, оценки рисков и стоимости новых технических средств защиты, мы оцифровали все три сценария, выполнили оценку бюджета проекта. Сергею удалось донести бизнесу преимущества модели SOC as a Service и согласовать бюджет именно на этот сценарий.
Как Octava Defence усилила функцию КБ в ЛИГА:ЗАКОН
ЛИГА:ЗАКОН пользуется услугами SOC Octava Defence уже больше года. За это время мы переместили систему КБ заказчика с первого уровня пирамиды киберустойчивости на второй с элементами третьего. Это значит, что нами обеспечены наблюдаемость событий и выявление потенциальных сложных угроз 24/7, реагирование в проактивном режиме и предупреждение кибератак.
Таким образом, в разрезе трех составляющих SOC как экосистемы мы сделали следующее:
- Технологии. Повысили эффективность использования существующих технических средств КБ и дополнили существующую инфраструктуру 3 решениями, необходимыми для качественного перехода КБ-системы на более высокие уровни: Vulnerability management, EDR для удаленных пользователей и Cyber Deception.
- Процессы. Совместно с клиентом создали процедуры получения уведомлений, расследования и реагирования. Осуществляем 24/7 мониторинг критичных сервисов (включая сбор журналов событий их анализ и разработку контролей) и управление уязвимостями, уведомляем о потенциальных угрозах, проводим расследования и помогаем с реагированием на инциденты, а также предоставляем ежемесячную отчетность.
- Люди. Способствовали появлению четких функциональных зон (роль IT — обеспечение доступности сервисов; роль КБ — повышение безопасности и устойчивости бизнеса). Оптимизировали затраты на персонал через аутсорсинг квалифицированных кибераналитиков Octava Defence и отсутствие затрат на набор, удержание и развитие кибераналитиков ЛИГА:ЗАКОН. Повышаем компетенции специалистов ЛИГА:ЗАКОН в формате обучения на рабочем месте.
Взаимное влияние, которое оказывают три составляющих SOC, в случае их параллельного развития дают надежный результат — значительное долгосрочное усиление киберустойчивости бизнеса вне зависимости от типов угроз.
Риски могут меняться, Octava Defence как оператор кибербезопасности создает системы КБ, которые могут противостоять значительно большему количеству и качеству потенциальных угроз и возникающих рисков.
В то же время проект продолжает развиваться в параллель развитию бизнеса ЛИГА:ЗАКОН, и этот процесс должен оставаться перманентным. Защита от завтрашних целенаправленных атак — результат постоянной ежедневной работы кибераналитиков, сканирующих систему КБ и работающих над ее улучшением.
Свяжитесь с нами, если такая задача актуальна для вашего бизнеса: [email protected].
Александр Волощук, СОО Octava Defence