Как объединить людей, процессы и технологии для повышения киберустойчивости бизнеса

Бизнес компании ЛИГА: зАКОН построен на предоставлении клиентам безопасного доступа к информационно-аналитическим сервисам в облачной среде. В некотором роде кибербезопасность можно считать залогом успешности бизнеса, поэтому отношение к этому вопросу здесь всегда было подчеркнуто внимательным.

Например, были внедрены ключевые технологии защиты, такие как:

• технология защиты периметра сети NG-FW Cisco FirePower;
• система безопасного удаленного доступа VPN;
• защита конечных точек с использованием технологии EDR - Cisco AMP;

Также в компании была развернута:

• инфраструктура Microsoft со всеми ключевыми сервисами;
• виртуальная инфраструктура;
• внутренние и внешние бизнес-критичные сервисы (core-бизнес компании);
• среда разработки и пр.

Компания умела реагировать на простые угрозы, а функция КБ была выделена и подчинена напрямую СЕО.

В целом же к моменту прихода в нашу жизнь пандемии COVID 19 в соответствии с пирамидой киберустойчивости Octava Defence (линк на 1й материал) ЛИГА: зАКОН находилась на первом уровне зрелости системы КБ. Классический подход к реализации функции КБ, который, тем не менее, соответствовал потребностям организации на момент трансформации.

Все изменилось с наступлением новой реальности. Требований стало больше, а ресурсов меньше. И хотя роль CISO, как держателя систем КБ, значительно возросла, это влияние не результировало в автоматическое появление новых рычагов усиления функции киберзащиты и дополнительных бюджетов.

К тому же появился дополнительный риск. Переход на дистанционную работу размыл периметр и статистика по инцидентам красноречиво заявила о проблеме удаленных пользователей, "неприкрытых" существующими решениями КБ.

3 сценария усиления функции КБ от ЛИГА: зАКОН

В этой ситуации Лукьяненко Сергей, CISO ЛИГА: зАКОН, рассматривал несколько альтернативных сценариев усиления функции КБ.

Инвестируем в технические средства защиты

Первый, самый простой - продолжать инвестировать в технические средства защиты.

Его очевидный плюс - видимость наращивания "оборонительной" мощи.

Минус - отсутствие реального повышения качества реализации функции КБ.

Дело в том, что распознавание сложных кибератак требует не только технических средств защиты, но и кибераналитиков, которые в наборе, на первый взгляд, несвязанных событий смогут выявить угрозу. В противном случае система КБ остается "слепой".

Важно также то, что системный администратор, IT-специалист, или даже специалист по системам киберзащиты не всегда способен качественно выполнять работу по анализу событий, выявлению потенциальных инцидентов, расследованию и реагированию.

Для этого необходимо иметь значительный опыт эксплуатации как базовых систем киберзащиты, так и более продвинутых (SOC-ready), разбираться в решениях инфраструктурного (Windows / Linux) и сетевого уровня (DNS, HTTPS, PROXY, DHCP, mail и т. д.).

Одна из ошибок многих компании инвестировать в технические средства, но совсем не думать о том, КТО и КАК ЭФФЕКТИВНО будет работать с этими системами, решать, появляющиеся проблемы и инциденты.

Создаем собственный SOC

CISO ЛИГА: зАКОН в полной мере отдавал себе отчет, что не хочет получить чемодан без ручки. Ему была нужна работающая система, обеспечивающая киберустойчивость бизнеса.

Будучи знакомым с моделью Security Operational Center, которую по праву считают лучшим способом консолидации усилий по достижения киберустойчивости, Сергей Лукьяненко задумался о реализации собственного полноценного SOC.

Его плюсы - полная картина событий, обнаружение сложных распределенных киберугроз в режиме реального времени, реагирование на инциденты и устранение их причин и другие.

Минусы - отложенный старт (до 6 месяцев) реальной реализации функции в новом усиленном формате, значительные инвестиции, как в дополнительное оборудование, так и в расширение команды, которую с учетом дефицита кадров еще попробуй собрать и удержать.

SOC как услуга

Все вышеперечисленные минусы нивелирует модель предоставления SOC в формате управляемой услуги.

В то время как создание и обслуживание собственного SOC требует значительных финансовых, временных и человеческих ресурсов, которые далеко не всегда доступны, SOC в формате управляемой услуги от Octava Defence:

• позволяет стартовать быстро;
• превращает капитальные затраты в прогнозируемые операционные;
• предоставляет доступ к технологиям, опытным специалистам, актуальным практикам и стандартам кибербезопасности;
• и учитывает индивидуальные особенности бизнеса заказчика

SOC as a Service - интеллектуальная надстройка, которая не может заменить, но значительно усиливает и дополняет собственную службу КБ заказчика. Его сотрудники по-прежнему выполняют ключевую роль в вопросах эксплуатации технических средств защиты, в то время как профессиональные кибераналитики Octava Defence работают на уровне журналов событий, сработок, которые эти технические средства генерируют. Выполняют нормализацию событий и устранение false/positive, специфический тюнинг настроек технических средств под потребности бизнеса клиента. Важный аспект - трансфер знаний, который является неизбежным следствием сотрудничества. Так или иначе Octava Dеfence повышает профессиональный уровень специалистов своих клиентов уникальными навыками в сфере КБ.

В случае ЛИГА: зАКОН после ряда консультаций, оценки рисков и стоимости новых технических средств защиты, мы оцифровали все три сценария, выполнили оценку бюджета проекта. Сергею удалось донести бизнесу преимущества модели SOC as a Service и согласовать бюджет именно на этот сценарий.

Как Octava Defence усилила функцию КБ в ЛИГА: зАКОН

ЛИГА: зАКОН пользуется услугами SOC Octava Defence уже больше года. За это время мы переместили систему КБ заказчика с первого уровня пирамиды киберустойчивости на второй с элементами третьего. Это значит, что нами обеспечена наблюдаемость событий и выявление потенциальных сложных угроз 24/7, реагирование в проактивном режиме и предупреждение кибератак.

Таким образом, в разрезе трех составляющих SOC, как экосистемы, мы сделали следующее:

• Технологии. Повысили эффективность использования существующих технических средств КБ и дополнили существующую инфраструктуру 3 решениями необходимыми для качественного перехода КБ-системы на более высокие уровни: Vulnerability management, EDR для удаленных пользователей и Cyber Deception.

• Процессы. Совместно с клиентом создали процедуры получения уведомлений, расследования и реагирования. Осуществляем 24/7 мониторинг критичных сервисов (включая сбор журналов событий их анализ и разработку контролей) и управление уязвимостями, уведомляем о потенциальных угрозах, проводим расследования и помогаем с реагированием на инциденты, а также предоставляем ежемесячную отчетность.

• Люди. Способствовали появлению четких функциональных зон (роль IT - обеспечение доступности сервисов; роль КБ - повышение безопасности и устойчивости бизнеса). Оптимизировали затраты на персонал через аутсорсинг квалифицированных кибераналитиков Octava Defence и отсутствие затрат на набор, удержание и развитие кибераналитиков ЛИГА: зАКОН. Повышаем компетенции специалистов ЛИГА: зАКОН в формате обучения на рабочем месте.

Взаимное влияние, которое оказывают три составляющих SOC, в случае их параллельного развития, дают надежный результат - значительное долгосрочное усиление киберустойчивости бизнеса вне зависимости от типов угроз.

Риски могут меняться, Octava Defence, как оператор кибербезопасности, - создает системы КБ, которые могут противостоять значительно большему количеству и качеству потенциальных угроз и возникающих рисков.

В то же время проект продолжает развиваться в параллель развитию бизнеса ЛИГА: зАКОН и этот процесс должен оставаться перманентным. Защита от завтрашних целенаправленных атак - результат постоянной ежедневной работы кибераналитиков сканирующих систему КБ и работающих над ее над улучшением.

Свяжитесь с нами, если такая задача актуальна для вашего бизнеса: [email protected].

Александр Волощук, СОО Octava Defence.

Covid Microsoft Бюджет Короновирус

По материалам:  delo.ua