Это новое delo.ua. Cайт работает в тестовом режиме

Как объединить людей, процессы и технологии для повышения киберустойчивости бизнеса

Как объединить людей, процессы и технологии для повышения киберустойчивости бизнеса
Рассмотрим подобное взаимодействие на опыте компаний ЛИГА:ЗАКОН и Octava Defence

Бизнес компании ЛИГА:ЗАКОН построен на предоставлении клиентам безопасного доступа к информационно-аналитическим сервисам в облачной среде. В некотором роде кибербезопасность можно считать залогом успешности бизнеса, поэтому отношение к этому вопросу здесь всегда было подчеркнуто внимательным. 

Например, были внедрены ключевые технологии защиты, такие как:

  • технология защиты периметра сети NG-FW Cisco FirePower;
  • система безопасного удаленного доступа VPN;
  • защита конечных точек с использованием технологии EDR — Cisco AMP.

Также в компании была развернута:

  • инфраструктура Microsoft со всеми ключевыми сервисами;
  • виртуальная инфраструктура;
  • внутренние и внешние бизнес-критичные сервисы (core-бизнес компании);
  • среда разработки и пр.

Компания умела реагировать на простые угрозы, а функция КБ была выделена и подчинена напрямую СЕО.

В целом же к моменту прихода в нашу жизнь пандемии COVID 19 в соответствии с пирамидой киберустойчивости Octava Defence  ЛИГА:ЗАКОН находилась на первом уровне зрелости системы КБ. Классический подход к реализации функции КБ, который, тем не менее, соответствовал потребностям организации на момент трансформации.

Все изменилось с наступлением новой реальности. Требований стало больше, а ресурсов меньше. И хотя роль CISO как держателя систем КБ значительно возросла, это влияние не результировало в автоматическое появление новых рычагов усиления функции киберзащиты и дополнительных бюджетов. 

К тому же появился дополнительный риск. Переход на дистанционную работу размыл периметр, и статистика по инцидентам красноречиво заявила о проблеме удаленных пользователей, "не прикрытых" существующими решениями КБ. 

3 сценария усиления функции КБ от ЛИГА:ЗАКОН

В этой ситуации Лукьяненко Сергей, CISO ЛИГА:ЗАКОН, рассматривал несколько альтернативных сценариев усиления функции КБ. 

Инвестируем в технические средства защиты

Первый, самый простой, — продолжать инвестировать в технические средства защиты. 

Его очевидный плюс — видимость наращивания "оборонительной" мощи. 

Минус — отсутствие реального повышения качества реализации функции КБ. 

Дело в том, что распознавание сложных кибератак требует не только технических средств защиты, но и кибераналитиков, которые в наборе, на первый взгляд, несвязанных событий смогут выявить угрозу. В противном случае система КБ остается "слепой". 

Важно также то, что системный администратор, IT-специалист или даже специалист по системам киберзащиты не всегда способен качественно выполнять работу по анализу событий, выявлению потенциальных инцидентов, расследованию и реагированию.

Для этого необходимо иметь значительный опыт эксплуатации как базовых систем киберзащиты, так и более продвинутых (SOC-ready), разбираться в решениях инфраструктурного (Windows / Linux) и сетевого уровня (DNS, HTTPS, PROXY, DHCP, mail и т.д.).

Одна из ошибок многих компаний — инвестировать в технические средства, но совсем не думать о том, КТО и КАК ЭФФЕКТИВНО будет работать с этими системами, решать появляющиеся проблемы и инциденты.

Создаем собственный SOC

CISO ЛИГА:ЗАКОН в полной мере отдавал себе отчет, что не хочет получить чемодан без ручки. Ему была нужна работающая система, обеспечивающая киберустойчивость бизнеса. 

Будучи знакомым с моделью Security Operational Center, которую по праву считают лучшим способом консолидации усилий по достижению киберустойчивости, Сергей Лукьяненко задумался о реализации собственного полноценного SOC. 

Его плюсы — полная картина событий, обнаружение сложных распределенных киберугроз в режиме реального времени, реагирование на инциденты и устранение их причин и другие.

Минусы — отложенный старт (до 6 месяцев) реальной реализации функции в новом усиленном формате, значительные инвестиции как в дополнительное оборудование, так и в расширение команды, которую с учетом дефицита кадров еще попробуй собрать и удержать.

SOC как услуга

Все вышеперечисленные минусы нивелирует модель предоставления SOC в формате управляемой услуги. 

В то время как создание и обслуживание собственного SOC требует значительных финансовых, временных и человеческих ресурсов, которые далеко не всегда доступны, SOC в формате управляемой услуги от Octava Defence:

  • позволяет стартовать быстро;
  • превращает капитальные затраты в прогнозируемые операционные;
  • предоставляет доступ к технологиям, опытным специалистам, актуальным практикам и стандартам кибербезопасности;
  • учитывает индивидуальные особенности бизнеса заказчика.

SOC as a Service — интеллектуальная надстройка, которая не может заменить, но значительно усиливает и дополняет собственную службу КБ заказчика. Его сотрудники по-прежнему выполняют ключевую роль в вопросах эксплуатации технических средств защиты, в то время как профессиональные кибераналитики Octava Defence работают на уровне журналов событий, сработок, которые эти технические средства генерируют. Выполняют нормализацию событий и устранение false/positive, специфический тюнинг настроек технических средств под потребности бизнеса клиента. Важный аспект — трансфер знаний, который является неизбежным следствием сотрудничества. Так или иначе, Octava Dеfence повышает профессиональный уровень специалистов своих клиентов уникальными навыками в сфере КБ.

В случае ЛИГА:ЗАКОН после ряда консультаций, оценки рисков и стоимости новых технических средств защиты, мы оцифровали все три сценария, выполнили оценку бюджета проекта. Сергею удалось донести бизнесу преимущества модели SOC as a Service и согласовать бюджет именно на этот сценарий.

Как Octava Defence усилила функцию КБ в ЛИГА:ЗАКОН

ЛИГА:ЗАКОН пользуется услугами SOC Octava Defence уже больше года. За это время мы переместили систему КБ заказчика с первого уровня пирамиды киберустойчивости на второй с элементами третьего. Это значит, что нами обеспечены наблюдаемость событий и выявление потенциальных сложных угроз 24/7, реагирование в проактивном режиме и предупреждение кибератак.

Таким образом, в разрезе трех составляющих SOC как экосистемы мы сделали следующее: 

  • Технологии. Повысили эффективность использования существующих технических средств КБ и дополнили существующую инфраструктуру 3 решениями, необходимыми для качественного перехода КБ-системы на более высокие уровни: Vulnerability management, EDR для удаленных пользователей и Cyber Deception. 
  • Процессы. Совместно с клиентом создали процедуры получения уведомлений, расследования и реагирования.  Осуществляем 24/7 мониторинг критичных сервисов (включая сбор журналов событий их анализ и разработку контролей) и управление уязвимостями, уведомляем о потенциальных угрозах, проводим расследования и помогаем с реагированием на инциденты, а также предоставляем ежемесячную отчетность. 
  • Люди. Способствовали появлению четких функциональных зон (роль IT — обеспечение доступности сервисов; роль КБ — повышение безопасности и устойчивости бизнеса). Оптимизировали затраты на персонал через аутсорсинг квалифицированных кибераналитиков Octava Defence и отсутствие затрат на набор, удержание и развитие кибераналитиков ЛИГА:ЗАКОН. Повышаем компетенции специалистов ЛИГА:ЗАКОН в формате обучения на рабочем месте. 

Взаимное влияние, которое оказывают три составляющих SOC, в случае их параллельного развития дают надежный результат — значительное долгосрочное усиление киберустойчивости бизнеса вне зависимости от типов угроз. 

Риски могут меняться, Octava Defence как оператор кибербезопасности создает системы КБ, которые могут противостоять значительно большему количеству и качеству потенциальных угроз и возникающих рисков.

В то же время проект продолжает развиваться в параллель развитию бизнеса ЛИГА:ЗАКОН, и этот процесс должен оставаться перманентным. Защита от завтрашних целенаправленных атак — результат постоянной ежедневной работы кибераналитиков, сканирующих систему КБ и работающих над ее  улучшением.

Свяжитесь с нами, если такая задача актуальна для вашего бизнеса: infosec@octava.ua.

Александр Волощук, СОО Octava Defence