Сергей Солдатов, «Лаборатория Касперского»: Если вас не сломали, это повод не возгордиться, а сменить команду этичных хакеров

Собственный Центр мониторинга безопасности – тренд в ИБ. Пока одни компании в России только решают создать SOC или рассматривают команду аналитиков на аутсорсе, другие уже оценивают их работу.

На какие метрики деятельности SOC стоит обращать внимание? Как часто проводить тренировки команды? И почему SOC может работать неэффективно? Об этом порталу Cyber Media рассказал Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».

Cyber Media: Какие критерии и метрики, на ваш взгляд, наиболее наглядно демонстрируют уровень эффективности SOC?

Сергей Солдатов: Наиболее важным критерием успешности SOC является его способность предотвращать атаки. Если не получилось остановить, то хотя бы обнаружить, чем раньше, тем лучше. Скорость обнаружения определяется уровнем автоматизации, поэтому она никогда не бывает избыточной. Возможности обнаружения определяются базой правил, а эффективность и результативность этих правил определяются много чем, как минимум номенклатурой событий телеметрии, обработкой на сенсоре и в облаке, имеющимися данными об угрозах. Чтобы все эти технологии приносили максимальную ценность, нужен квалифицированный и опытный персонал, а для эффективной работы большой команды нужны выстроенные процессы.

Метрики – это наш инструмент понимания, что наши люди, процессы и технологии работают, и работают так, как мы от них ожидаем.

Если обсуждать конкретные примеры метрик, то следует начать со стандартных: время, требуемое для обнаружения атаки, и время, требуемое для локализации атаки. В части правил обнаружения обязательно нужно считать конверсию – как часто конкретное правило срабатывает не ложноположительно, и вклад – какой процент всех обнаруженных инцидентов выявлен именно этим правилом. Эти же метрики можно считать и для источников событий телеметрии.

Метрик может быть великое множество, так как прежде чем решать, любую проблему надо измерить. За долгую практику может накопиться множество проблем и множество их решений. Для понимания, что наши решения по-прежнему эффективно и результативно решают проблему, мы и будем использовать метрики.

Надо очень внимательно относиться к пропущенным инцидентам – их надо тщательно исследовать и разбирать на правила обнаружения, на новые события телеметрии и их облачную обработку. Причем не обязательно ждать пропусков, можно брать интересные инциденты из своей же практики и анализировать, что еще можно было бы придумать. Также можно брать практику подразделений расследования инцидентов и анализа защищенности и разбирать ее на идеи для телеметрии и правил обнаружения. Профессиональный Red teaming – отличный инструмент проверки эффективности SOC.

Cyber Media: Если говорить о типовых и наиболее распространенных проблемах, какие из них чаще всего лежат в основе неэффективности SOC?

Сергей Солдатов: В основе неэффективности SOC лежит все та же триада из людей, процессов и технологий. Мой личный хит-парад: на первом месте – люди. Наиболее частая проблема – отсутствие квалифицированного и, самое главное, опытного персонала. Работа аналитика SOC очень трудная, поэтому опытных аналитиков сложно удержать. Вопрос не только в аналитиках, но и в специалистах по обнаружению угроз, командах DevOps и многих других. Видимо, начитавшись модных книжек по карьерному росту, буквально все стремятся «вырасти до уровня своей некомпетентности». Ни о каком опыте, который можно приобрести только в течение продолжительной работы в конкретной роли, речи уж и нет.

На втором месте – технологии. Чем более сложные угрозы мы стремимся обнаруживать, тем более сложные технологии нам нужны. Сложные технологии трудны и в использовании, это головная боль вендора, его операционные затраты на поддержку. Поэтому, если поставщик услуг безопасности хочет обнаруживать сложные угрозы, он обречен делать это на технологическом стеке, на который он полностью влияет. Идеально, если пишет сам под себя, где для него нет никаких искусственных ограничений.

В части процессов обычно все совсем неплохо, однако зачастую полный провал в людях и технологиях сводят совокупный успех SOC к нулю.

Cyber Media: Как компании понять, в чем заключаются причины неэффективности SOC?

Сергей Солдатов: Обычно анализ эффективности центра кибербезопасности и делается для понимания этих причин. Это, собственно, и есть цель анализа. Выше мы выяснили, что успех – это возможности обнаружения атак. Поэтому в рамках анализа надо собрать все пропуски и тщательнейшим образом проанализировать, понять проблемы, а потом по каждой проблеме составить план действий. Где-то может быть нехватка событий телеметрии – надо добавить события или источники событий. Где-то нехватка правил обнаружения – добавить правила, где-то ошибки аналитиков – корректируем процессы и занимаемся обучением команды. Технически это делается в рамках Red teaming. По окончании работ «красные» передают полный лог своей работы, а «синие» по каждому этапу помечают: были ли события, были ли алерты, корректно ли отработали аналитики и что можно со всем этим сделать.

Cyber Media: На ваш взгляд, какие меры могут помочь компании увеличить уровень эффективности внутреннего SOC?

Сергей Солдатов: Назову три основных меры. Во-первых, надо постоянно проводить киберучения и разбирать результаты, на выходе становятся заметны улучшения по всем трем направлениям – технологии, процессы, люди. Во-вторых, надо проводить ревью работы аналитиков, как минимум выявленных инцидентов. Нужно анализировать, правильно ли была интерпретирована активность, все ли действия атакующих были выявлены и представлены в карточке инцидента, есть ли ошибки в классификации и оформлении инцидента.

Также следует анализировать алерты, классифицированные аналитиками как ложные срабатывания. Эти алерты надо выборочно перепроверять, находить ошибки и делать работу над ошибками. Все ошибки аналитиков надо разбирать с командой, закреплять во внутренних процедурах и использовать при онбординге новичков.

Cyber Media: Какими знаниями должен обладать SOC-аналитик?

Сергей Солдатов: У нас много специфики и поэтому для каждого нового аналитика мы организуем онбординг с выделенным ментором из числа опытных аналитиков. На собеседованиях с новыми аналитиками мы обычно обсуждаем три темы: сетевые операционные системы – это Windows, Mac, Linux, так как мы обслуживаем клиентов на этих трех системах, далее сети и сетевые протоколы, в основном прикладного уровня, наиболее часто встречающиеся в корпоративных сетях.

Третья тема – это любой опыт взлома сетей, так как наши продукты вполне эффективно отрабатывают атаки роботов и на долю аналитиков SOC в основном выпадают атаки с активным участием хакера, а лучший способ отслеживать хакера – это самому быть по сути белым хакером. Отчасти поэтому почти все наши аналитики успешно сдали OSCP.

Cyber Media: Как часто должны проводиться учения и тренировки в SOC?

Сергей Солдатов: Хочется ответить: «Чем чаще, тем лучше!». Однако очевидно, что не стоит делать одну и ту же работу и находить постоянно одни и те же проблемы. Чтобы так не было, надо, во-первых, чтобы выявленные на прошлых тестированиях проблемы успевали решиться, а, во-вторых, offensive-команда должна обладать достаточной степенью креативности, чтобы проверять разные техники. Но на практике я не встречал такого, чтобы пентестерам не удалось сломать. Я бы даже сказал, что, если вас не сломали, это не повод возгордиться собой, а сменить команду этичных хакеров.