Популярность SOC на фоне современного состояния инфобезопасности в РФ. Часть I

23 октября 2024 г.

ИБ-системы в корпоративной среде развиваются очень быстро: недавно Центр мониторинга и реагирования был достаточно редким элементом ИТ-рельефа корпораций, сегодня популярность SOC быстро растет. Наличие «киберспецназа» из специалистов, которые в режиме «24×7» мониторят ситуацию с кибербезопасностью и находятся в готовности к отражению атаки и/или к преодолению полученного ущерба, способствует сохранению непрерывности бизнес-процессов любой компании, защищая ее как от финансовых и репутационных, так и от регуляторных рисков. Причина популяризации SOC, которую мы наблюдаем, — в росте активности хакеров и в масштабах потенциального ущерба от их деятельности. Тезисы достаточно известны, но когда переходим от качественной оценки трендов к количественным данным, описывающим текущую ситуацию и ее динамику, удивление зачастую бывает неприятным.

Хакеры: существенно быстрее и радикально опасней

Рост количества атак в рублевой зоне продолжается ударными темпами. За первое полугодие этого года Центры мониторинга и реагирования на кибератаки МТС RED SOC отразили на 57% атак больше, чем за полугодие предыдущее. Компания опиралась на собственные оценки, но, учитывая, что за первое полугодие 2024 ей было отражено около 50 тысяч хакерских атак, полученные результаты можно считать статистически значимыми и экстраполировать на весь рынок РФ. Следует отметить, что на динамику оказал влияние и рост количества клиентов МТС RED, но увеличение активности хакеров практически в половину — впечатляет.

Заметим, что мы говорим не о случаях мелкого компьютерного хулиганства, а о серьезных атаках, отражение которых потребовало вмешательства специалистов SOC. Среди этих атак в МТС RED отмечают опережающую динамику высококритичных: количество атак, способных вызвать длительный простой бизнеса или ущерб на сумму от миллиона рублей, возросло на 66%. Наибольшая доля высококритичных атак (69% от их общего количества) пришлась на критическую информационную инфраструктуру, на другие сегменты — заметно меньше: на СМИ только 12%, на ИТ-компании — лишь 10%. Напомним, что успешная атака на объекты КИИ способна привести к авариям и техногенным катастрофам, ущерб от которых способен кратно превысить установленную границу в 1 млн руб. и в случае негативного развития событий даже привести к жертвам среди сотрудников атакованных компаний и/или населения.

Важно: аналитики отмечают восходящий тренд на популяризацию в хакерской среде быстрых техник первоначального взлома: атаки на идентификационные данные (фишинг, социальная инженерия, использование брокеров доступа), эксплуатация критичных уязвимостей и т. д.

«После взлома требуется всего пара минут, чтобы внедрить вредоносное ПО в ИТ-среду жертвы», — говорит Александр Морковчин, руководитель группы департамента консалтинга центра информационной безопасности в «Инфосистемы Джет».

Чем отвечает индустрия

Ситуация сложная, но ожидаемая, поэтому российский ИБ сегмент к ней подготовился заранее. Вендоры, работающие в этом сегменте, активно развивают продукты, предназначенные для создания структур инфобезопасности, а корпоративные заказчики — сами или с помощью интеграторов — на этих продуктах перестраивают свои ИБ-подсистемы. Этот процесс коррелирует с импортозамещением и в целом является благом для национального ИТ: переход на более современные российские средства защиты информации (СЗИ) вполне способен поднять уровень защищенности корпоративных ИТ-рельефов, учитывая, что российские решения заменяют созданные ушедшими вендорами более трех лет назад, да еще и лишенные официальной техподдержки.

Процессы, способствующие повышению уровня защиты, существенно шире, чем приобретение и интеграция новых инструментов.

«В текущем году наметился новый этап — готовность лидеров индустрий перейти от тактической реактивной замены одного продукта на другой к осмыслению стратегического горизонта, желание ответить на вопрос о перспективной системе управления, процессах и ИТ-архитектуре бизнеса в новых условиях», — сказал Андрей Скорочкин, генеральный директор «Рексофт Консалтинг», в выступлении на мероприятии «Взгляд в будущее. Что ждет ИТ-отрасль в следующие 25 лет?», проводенном Ассоциацией РУССОФТ. Тезис Андрея Скорочкина относился ко всей российской ИКТ-индустрии, в том числе и к рассматриваемой нами ИБ.

Напомним, что за организацию инфобезопасности на субъектах КИИ и на других предприятиях, попадающих под действие Указа № 250, несут ответственность выделенные специалисты, подчиняющиеся напрямую генеральному директору. В ситуации, когда успешная кибератака состоялась и привела к серьезным последствиям, эти люди могут попасть как под административную, так и под уголовную ответственность. Данное обстоятельство привлекает дополнительное внимание заказчиков к тематике ИБ, что является позитивным фактором.

Однако построить полностью непроницаемую для злоумышленников систему защиты в современных условиях невозможно по техническим причинам: ИТ-рельеф сложен, его границы размыты, к тому же ИТ-инфраструктура корпоративного заказчика связана с инфраструктурами подрядчиков /партнеров /сервис-провайдеров /etc.

«В период постоянно эволюционирующих киберугроз любой бизнес вне зависимости от размера может пострадать от хакеров», — подчеркнул Артем Избаенков, директор платформы «облачной» киберзащиты Solar Space в ГК «Солар», отметив также, что через атаки на СМБ злоумышленники могут взломать более крупные компании. Наконец, вся эта система — ИТ-рельеф корпорации, его связи с провайдерами и партнерами, их инфраструктуры — находится в постоянной динамике.

Систему защиты приходится постоянно развивать, перестраивать и оптимизировать. Но и в этом случае она будет способна отразить активности злоумышленников с базовой квалификацией. Атаки, подготовленные высококвалифицированными хакерскими группировками, могут привести к взлому систем защиты, но чтобы это не стало причиной реализации недопустимых событий, ИБ-специалистам корпорации приходится останавливать киберпреступников «вручную». Эффективное противодействие в таких условиях складывается из многих составляющих: понимания современных принципов организации атак, совершенствования методов их обнаружения и т. д., отмечает Александр Морковчин, а также становится важным слаженность работы команды противодействия, и практические навыки специалистов, ее составляющих, которые надо системно тренировать.

Команда противодействия атакам, для остановки которых недостаточно штатных программно-аппаратных СЗИ в корпоративном ИТ-рельефе, как показывает практика, должна быть выделенной структурой (целевую атаку проблематично остановить усилиями «временного трудового коллектива»), обладать профильной подготовкой и, что важно, находиться в режиме постоянной готовности. Важно, что задачи этих специалистов отличаются от служебных обязанностей «безопасников», которые заняты поддержанием, обновлением и развитием корпоративной ИБ, организацией тестирований защищенности, обучением сотрудников основам «цифровой гигиены» и т. д.

Вместо заключения

Корпоративные заказчики приходят к необходимости создания и развития дополнительных команд «быстрого реагирования» из квалифицированных сотрудников, обладающих набором специализированных навыков. Это и есть SOC, но с ним не все просто: мониторинг и реагирование в режиме «24×7» могут позволить себе только 36% российских компаний, по данным исследования Positive Technologies, проведенного весной этого года.

Создание SOC следует рассматривать в контексте общего совершенствования системы безопасности корпорации. Это работа, которая требует выработки стратегии, и ее рассчитывают на годы. Создание стратегии тоже процесс небыстрый.

«За полгода нам удалось подробно изучить все имеющиеся процессы и средства информационной безопасности в ГК „Дело“ и разработать ИБ-стратегию, с помощью которой Группа сможет правильно расставить приоритеты и достичь высокого уровня защищенности бизнеса от киберрисков», — говорит Андрей Янкин, директор центра информационной безопасности в «Инфосистемы Джет». Стратегия развития ИБ рассчитана на 3 года, включает дорожную карту инициатив, которая охватывает все основные области ИБ: управление, персонал, процессы и применяемые технологии, а также создание киберполигона для учений персонала и SOC.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News