Прежде чем представить новую сервисную модель, руководитель направления аутсорсинга ИБ Solar Security Эльман Бейбутов привел данные по кибератакам на российские организации в третьем квартале текущего года. Так, ежедневно в Solar JSOC регистрируется в среднем 10 DDoS-атак на инфраструктуры клиентов. В третьем квартале 2016 г. было зарегистрировано 756 случаев компрометации административных учетных записей среди подключенных компаний-клиентов и порядка 1300 инцидентов, связанных с нарушениями использования управляющих протоколов систем и сервисов.
Что касается направления внешних атак, 39% из них – это атаки на web-приложения, 30% - Brute-force и компрометация учетных данных внешних сервисов. 70% внешних атак начинаются со взломов web-приложений и внешних ресурсов. Они реализуются через незакрытые уязвимости web-сервисов и слабые парольные политики бизнес-систем. При этом 90% взломов проходят по типовым сценариям. Однако доля внутренних инцидентов всегда выше, чем доля внешних. Наибольшее число нарушений исходит от рядовых сотрудников. Причины – халатность, слабая информированность об угрозах ИБ, отсутствие понятий гигиены ИБ.
«Современные организации коммерческого и государственного сектора сталкиваются с двумя факторами, непосредственно влияющими на ИТ-безопасность: ростом количества внешних вызовов (кибератак, инцидентов, уязвимостей), а также ускорением динамики изменений внутри компании – линейным ростом и изменением бизнес-процессов, изменением ИТ-инфраструктуры, развитием приложений и прочим», - отметил Игорь Ляпунов, генеральный директор компании Solar Srcurity.
Такова реальность. Мир изменился, изменилось устройство жизни, одна из основных черт ее – мобильность. Современный подход к обеспечению безопасности уже устарел, многое из того, что предлагается на рынке, не работает, поэтому часть «безопасников» призывает к активному блокированию устройств, доступа и т.д.
Компания Solar Srcurity предлагает иной подход – осуществлять непрерывный мониторинг трафика. Немногим ранее компания предлагала порядка сорока сервисов для обеспечения безопасности. Сейчас в сервисе Solar JSOC 2.0 все эти сервисы взаимосвязаны, чем обеспечивается комплексное решение бизнес-задач. Еще одно преимущество – информационный обмен с государственными и отраслевыми CERT, а также ведущими вендорами ИБ. «Репутационные базы и фиды сквозным образом обогащают все сервисы Solar JSOC, обеспечивая защиту от самых новых и актуальных киберугроз», - отметил Игорь Ляпунов. – «Наконец, новая модель Solar JSOC предоставляет более глубокий уровень аналитики». Благодаря этому заказчик может определить корневые причины и следствия инцидентов и уязвимостей.
Новый формат предоставления сервиса Solar JSOC имеет три уровня – Security Maintenance (эксплуатация средств защиты), Security Monitoring (мониторинг уровня информационной безопасности) и Security Management (управление информационной безопасностью).
Нижний, базовый уровень Security Maintenance включает в себя эксплуатацию и администрирование систем информационной безопасности, развернутых в компании. В перечень сервисов Solar JSOC на данном уровне входит предоставление, тонкая настройка и управление активными средствами защиты – WAF, Sandbox, anti-DDoS, межсетевыми экранами и прокси.
Очень важен уровень Security Monitoring, который обеспечивает мониторинг, выявление и анализ инцидентов ИБ внутри компании. Параллельно Solar JSOC агрегирует в глобальную базу знаний информацию от вендоров информационной безопасности, а также различных CERT. Эта база знаний содержит данные о вредоносных хостах сети Интернет, индикаторах компрометации систем, 0day-вредоносном ПО и новых уязвимостях, направленных как на конкретную отрасль, так и непосредственно на отдельно взятую компанию.
Совокупность информации, полученной изнутри организации и из внешних источников, позволяет сформировать собственную базу правил корреляции событий, которая является ядром любого SOC. Широкий список правил корреляции обеспечивает надежный контроль защищенности инфраструктуры от кибератак, а также позволяет оперативно выявлять и предотвращать как внешние попытки проникновения, так и внутренние нарушения.
На уровне Security Management ключевой задачей является оценка фактической критичности инцидинта для компании и ее бизнес-процессов. В результате разбора индцидентов и аномалий, анализа причин их возникновения и оценки потенциального ущерба компания выявляет новые технические бизнес-риски. Все аналитические данные представлены в системе визуализации Solar JSOC Security Dashboerd в виде наглядных диаграмм. Объективная картина состояния ИБ в компании и подтвержденные статистикой данные по «болевым точкам» и наиболее серьезным рискам позволяют принимать обоснованные решения в вопросах долгосрочного управления информационной безопасностью. Тем не менее, в силу стратегического значения таких решений они остаются в сфере компетенций компании заказчика.
Елена Шашенкова