Сигурност

Сложният път към правилното управление на инцидентите, свързани с ИТ сигурността

CIO Media


От 2007 г. досега сертификацията по Payment Card Industry Data Security Standard (PCI DSS) промени съществено пейзажа на средствата за защита на инфраструктурата в повечето банки – появиха се нови сложни системи и средства за защита, бяха създадени подробни описания и регламенти за вътрешните процеси на взаимодействие и осигуряване на безопасността. 


Към момента, в рамките на подготовката си за сертификация по PCI DSS финансовите институции по света често се ориентират към внедряване на система за информация и управление на събитията във връзка със сигурността SIEM (Security Information and Event Management) – платформа, която им дава възможност да отговорят едновременно на няколко изисквания на регулаторните органи. Същевременно за специалистите по информационна сигурност SIEM е мощен инструмент за мониторинг, разкриване и разследване на инциденти във връзка с информационната сигурност.

При това, напълно естествено стана очакването, реализираните във финансовите институции внедрявания на SIEM да бъдат допълнително развити до пълноценни центрове за управление на сигурността (Security Operation Center, SOC), позволяващи непрекъснато оперативно управление на защитата на информацията. В глобален мащаб обаче, не са много организациите, които успяват да изминат този път. С какво е свързано това, какви предизвикателства възникват на практика при прехода от SIEM к SOC и какви са възможните подходи за тяхното преодоляване?

Да надплатим, но да се застраховаме? …

По принцип, основен проблем е да се премине от използване на SIEM като инструмент за периодичен анализ на свързани с ИТ сигурността събития, към пълноценен процес на управление на инцидентите с помощта на SIEM. При това, ако нормативната и методическата част (класификация и приоритизация на инциденти, назначаване на отговорни лица, разработка на механизми за взаимодействие и ескалация при отстраняване на инциденти) често се реализират успешно с помощта на външни консултанти и интегратори, то производственият етап (създаване на групи за оперативен мониторинг и реагиране, както и спазване на SLA по разследването на инциденти), обикновено е свързан със сериозни затруднения.

Бизнес ръководителите традиционно очакват, че всички критични инциденти в областта на информационната сигурност ще бъдат идентифицирани като “по часовник” и справянето с тях ще става за минути, а не за часове или дни. В същото време в отделите по ИТ сигурност рядко са обособени дежурни екипи, функциониращи в режим 24х7 и готови да отговорят на високите изисквания по отношение на анализа на инциденти, записани в споразумението за ниво на обслужване (SLA). За да бъдат осигурени дежурни екипи, които работят в режим 24х7 е необходимо в отделът по ИТ сигурност да бъдат назначени още сътрудници (средно 6 на брой според някои оценки) – това не винаги е обосновано, тъй като инцидентите, възникващи извън стандартните работни часове не са чак толкова чести, докато разходите за персонал са съществени.

… или да икономисваме, поемайки риск?

Предаването на задачите за мониторинг и реагиране при инциденти на ИТ подразделение, осигуряващо дежурства в режим 24х7 също не е идеален вариант. В повечето случаи, тези подразделения поначало са формирани за да решават други задачи и те не разполагат с необходимото ниво на компетентност в областта на ИТ сигурността. Дежурните сътрудници в много случаи не са в състояние да дадат адекватна оценка за критичността на инцидента и за това дали е необходимо за разрешаването му спешно да бъдат привлечени специалисти по ИТ сигурност, независимо от времето на денонощието. От друга страна, практиката показва, че и самите отдели по ИТ сигурност доста неохотно споделят информация за потенциални инциденти с ИТ подразделенията – от гледна точка на звената по сигурност, ИТ отделите са основен обект на контрол, тъй като разполагат с разширени права за достъп до корпоративната информация.

В крайна сметка се оказва, че дори ако разполага с мощна система за оповестяване и разследване на инциденти, отделът по ИТ сигурност често не може да гарантира на бизнеса измерими показатели за ефективност при управлението на инциденти.

Да предадем SIEM в надеждни ръце – “за” и “против”

Струва си да отбележим, че изградената SIEM платформа, дори при оптимални настройки, всъщност фиксира “моментна снимка” на инфраструктурата за информационна сигурност и заплахите за безопасността, която е валидна за момента на завършването на системата. С течение на времето обаче в една банка (или каквато и да е друга организация) настъпват вътрешни промени, засягащи инфраструктурата, политиките и правилата за осигуряване на безопасност, появяват се нови системи, които остават извън периметъра, контролиран от SIEM, променят се рисковете и профилите на вътрешните и външните заплахи за ИТ сигурността.

За центъра за управление на сигурността, всички тези промени имат съществени следствия. От една страна, системата започва да генерира голям брой грешки от първо ниво (т.е. лъжливи сигнали), при което ефективната работа на оператора става практически невъзможна, а за спазване на SLA изобщо не може да се говори. От друга страна, все повече инциденти в областта на ИТ сигурността остават извън обхвата на “радара” на SIEM – т.е. на практика, много инциденти не могат да бъдат ефективно разкривани и разследвани.

Накратко, ясно е, че еволюцията на центъра за управление на сигурността (SOC) не трябва да изостава от развитието на компанията. Но да се осигури синхронизация в развитието на SOC само с вътрешни ресурси е доста трудно. Модифицирането и оптимизацията на политиките, включването на нови източници на заплахи, разработката и реализацията на нови сценарии и още много подобни задачи изискват от специалистите доста специфични знания, както за избраната SIEM платформа, така и за информационната сигурност като цяло.

Периодичното привличане на системен интегратор за работа по такива задачи не винаги е финансово целесъобразно - тук трябва да се отчитат доста високите “режийни разходи” за иницииране и реализация на проекта, разходите за повторно изследване и документиране на изградената по-рано система и т.н.

В резултат процесът на преход от SIEM към SOC често е свързан със значителни оперативни разходи, голяма част от които са разходите за дежурни екипи осъществяващи мониторинг и оперативно реагиране в режим 24x7. При тези условия се стига доста лесно до идеята да се ползват дежурни екипи на външен доставчик. Наистина, по време на своята смяна един такъв екип може да обслужва едновременно няколко SIEM, снижавайки разходите на всяка от компаниите, които са негови клиенти. В този случай всъщност се реализира услуга за аутсорсинг на процеса на мониторинг и реагиране при инциденти.

Какви други предимства осигурява използването на външен доставчик? На първо място, прозрачност и управляемост на разходите за съответните услуги. С подписването на договор за обслужване всички въпроси във връзка с подбора на персонал, неговата адаптация и обучение, контрол на ефективността на работата, намиране на заместници, когато сътрудниците боледуват или са в отпуск и т.н., престават да бъдат задачи на компанията. Доставчикът отговаря за договореното качество на услугите, включително материално и репутационно.

В същото време центърът за управление на сигурността (SOC) на външния доставчик използва и отчита опита на всички обслужвани компании, което повишава ефективността при разкриването и обработката на инциденти. В частност, в случай на атака срещу една от защитаваните компании доставчикът ще положи всякакви усилия, за да бъде готов за аналогични атаки, насочени към други не негови клиенти, така че да може да им противодейства с максимална ефективност.

Описаните услуги и подобни на тях имат дълга история на развитие в глобалния пазар и програмите за управлявани услуги в областта на ИТ сигурността (Managed Security Services, MSS) стават все по-популярни. Практиката сочи, че използването на външни доставчици в много случаи се оказва оптималният начин, по който компанията може да изгради своя Security Operation Center и да премине към оперативно и ефективно управление на инцидентите в областта на ИТ сигурността.


X