“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини »“ сигурност
бр. 3, 2014

—ложни€т път към правилното управление на инцидентите, свързани с »“ сигурността

Ујко искате да имате това, което никога не сте имали, ще ви се наложи да правите неща, които никога не сте правилиФ  око Ўанел

от , 21 март 2014 0 5212 прочитани€,

ќт 2007 г. досега сертификаци€та по Payment Card Industry Data Security Standard (PCI DSS) промени съществено пейзажа на средствата за защита на инфраструктурата в повечето банки – по€виха се нови сложни системи и средства за защита, б€ха създадени подробни описани€ и регламенти за вътрешните процеси на взаимодействие и осигур€ване на безопасността. 


 ъм момента, в рамките на подготовката си за сертификаци€ по PCI DSS финансовите институции по света често се ориентират към внедр€ване на система за информаци€ и управление на събити€та във връзка със сигурността SIEM (Security Information and Event Management) – платформа, ко€то им дава възможност да отговор€т едновременно на н€колко изисквани€ на регулаторните органи. —ъщевременно за специалистите по информационна сигурност SIEM е мощен инструмент за мониторинг, разкриване и разследване на инциденти във връзка с информационната сигурност.

ѕри това, напълно естествено стана очакването, реализираните във финансовите институции внедр€вани€ на SIEM да бъдат допълнително развити до пълноценни центрове за управление на сигурността (Security Operation Center, SOC), позвол€ващи непрекъснато оперативно управление на защитата на информаци€та. ¬ глобален мащаб обаче, не са много организациите, които усп€ват да изминат този път. — какво е свързано това, какви предизвикателства възникват на практика при прехода от SIEM к SOC и какви са възможните подходи за т€хното преодол€ване?

ƒа надплатим, но да се застраховаме? …

ѕо принцип, основен проблем е да се премине от използване на SIEM като инструмент за периодичен анализ на свързани с »“ сигурността събити€, към пълноценен процес на управление на инцидентите с помощта на SIEM. ѕри това, ако нормативната и методическата част (класификаци€ и приоритизаци€ на инциденти, назначаване на отговорни лица, разработка на механизми за взаимодействие и ескалаци€ при отстран€ване на инциденти) често се реализират успешно с помощта на външни консултанти и интегратори, то производствени€т етап (създаване на групи за оперативен мониторинг и реагиране, както и спазване на SLA по разследването на инциденти), обикновено е свързан със сериозни затруднени€.

Ѕизнес ръководителите традиционно очакват, че всички критични инциденти в областта на информационната сигурност ще бъдат идентифицирани като “по часовник” и справ€нето с т€х ще става за минути, а не за часове или дни. ¬ същото време в отделите по »“ сигурност р€дко са обособени дежурни екипи, функциониращи в режим 24х7 и готови да отговор€т на високите изисквани€ по отношение на анализа на инциденти, записани в споразумението за ниво на обслужване (SLA). «а да бъдат осигурени дежурни екипи, които работ€т в режим 24х7 е необходимо в отделът по »“ сигурност да бъдат назначени още сътрудници (средно 6 на брой според н€кои оценки) – това не винаги е обосновано, тъй като инцидентите, възникващи извън стандартните работни часове не са чак толкова чести, докато разходите за персонал са съществени.

… или да икономисваме, поемайки риск?

ѕредаването на задачите за мониторинг и реагиране при инциденти на »“ подразделение, осигур€ващо дежурства в режим 24х7 също не е идеален вариант. ¬ повечето случаи, тези подразделени€ поначало са формирани за да решават други задачи и те не разполагат с необходимото ниво на компетентност в областта на »“ сигурността. ƒежурните сътрудници в много случаи не са в състо€ние да дадат адекватна оценка за критичността на инцидента и за това дали е необходимо за разрешаването му спешно да бъдат привлечени специалисти по »“ сигурност, независимо от времето на денонощието. ќт друга страна, практиката показва, че и самите отдели по »“ сигурност доста неохотно сподел€т информаци€ за потенциални инциденти с »“ подразделени€та – от гледна точка на звената по сигурност, »“ отделите са основен обект на контрол, тъй като разполагат с разширени права за достъп до корпоративната информаци€.

¬ крайна сметка се оказва, че дори ако разполага с мощна система за оповест€ване и разследване на инциденти, отделът по »“ сигурност често не може да гарантира на бизнеса измерими показатели за ефективност при управлението на инциденти.

ƒа предадем SIEM в надеждни ръце – “за” и “против”

—трува си да отбележим, че изградената SIEM платформа, дори при оптимални настройки, всъщност фиксира “моментна снимка” на инфраструктурата за информационна сигурност и заплахите за безопасността, ко€то е валидна за момента на завършването на системата. — течение на времето обаче в една банка (или каквато и да е друга организаци€) настъпват вътрешни промени, зас€гащи инфраструктурата, политиките и правилата за осигур€ване на безопасност, по€в€ват се нови системи, които остават извън периметъра, контролиран от SIEM, промен€т се рисковете и профилите на вътрешните и външните заплахи за »“ сигурността.

«а центъра за управление на сигурността, всички тези промени имат съществени следстви€. ќт една страна, системата започва да генерира гол€м брой грешки от първо ниво (т.е. лъжливи сигнали), при което ефективната работа на оператора става практически невъзможна, а за спазване на SLA изобщо не може да се говори. ќт друга страна, все повече инциденти в областта на »“ сигурността остават извън обхвата на “радара” на SIEM – т.е. на практика, много инциденти не могат да бъдат ефективно разкривани и разследвани.

Ќакратко, €сно е, че еволюци€та на центъра за управление на сигурността (SOC) не тр€бва да изостава от развитието на компани€та. Ќо да се осигури синхронизаци€ в развитието на SOC само с вътрешни ресурси е доста трудно. ћодифицирането и оптимизаци€та на политиките, включването на нови източници на заплахи, разработката и реализаци€та на нови сценарии и още много подобни задачи изискват от специалистите доста специфични знани€, както за избраната SIEM платформа, така и за информационната сигурност като ц€ло.

ѕериодичното привличане на системен интегратор за работа по такива задачи не винаги е финансово целесъобразно - тук тр€бва да се отчитат доста високите “режийни разходи” за иницииране и реализаци€ на проекта, разходите за повторно изследване и документиране на изградената по-рано система и т.н.

¬ резултат процесът на преход от SIEM към SOC често е свързан със значителни оперативни разходи, гол€ма част от които са разходите за дежурни екипи осъществ€ващи мониторинг и оперативно реагиране в режим 24x7. ѕри тези услови€ се стига доста лесно до иде€та да се ползват дежурни екипи на външен доставчик. Ќаистина, по време на сво€та см€на един такъв екип може да обслужва едновременно н€колко SIEM, снижавайки разходите на вс€ка от компаниите, които са негови клиенти. ¬ този случай всъщност се реализира услуга за аутсорсинг на процеса на мониторинг и реагиране при инциденти.

 акви други предимства осигур€ва използването на външен доставчик? Ќа първо м€сто, прозрачност и управл€емост на разходите за съответните услуги. — подписването на договор за обслужване всички въпроси във връзка с подбора на персонал, неговата адаптаци€ и обучение, контрол на ефективността на работата, намиране на заместници, когато сътрудниците боледуват или са в отпуск и т.н., престават да бъдат задачи на компани€та. ƒоставчикът отговар€ за договореното качество на услугите, включително материално и репутационно.

¬ същото време центърът за управление на сигурността (SOC) на външни€ доставчик използва и отчита опита на всички обслужвани компании, което повишава ефективността при разкриването и обработката на инциденти. ¬ частност, в случай на атака срещу една от защитаваните компании доставчикът ще положи вс€какви усили€, за да бъде готов за аналогични атаки, насочени към други не негови клиенти, така че да може да им противодейства с максимална ефективност.

ќписаните услуги и подобни на т€х имат дълга истори€ на развитие в глобални€ пазар и програмите за управл€вани услуги в областта на »“ сигурността (Managed Security Services, MSS) стават все по-попул€рни. ѕрактиката сочи, че използването на външни доставчици в много случаи се оказва оптимални€т начин, по който компани€та може да изгради сво€ Security Operation Center и да премине към оперативно и ефективно управление на инцидентите в областта на »“ сигурността.

 ќћ≈Ќ“ј–» ќ“  

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ | ƒеклараци€ за поверителност | ѕолитика за бисквитки |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов