Solar Security  обновила сервисную модель  Security Operations Center

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, объявила в Москве на специа об обновлении сервиса Solar JSOC. Новая версия объединяет накопленную экспертизу компании и новый подход к построению центров реагирования на киберугрозы.

 

Необходимость в новом подходе обусловлена меняющимся ландшафтом угроз и формированием новой роли центра мониторинга и реагирования на инциденты ИБ.

«Современные организации коммерческого и государственного сектора сталкиваются с двумя факторами, непосредственно влияющими на ИТ-безопасность: ростом количества внешних вызовов (кибератак, инцидентов, уязвимостей), а также ускорением динамики изменений внутри компании – линейным ростом и изменением бизнес-процессов, изменением ИТ-инфраструктуры, развитием приложений и прочим.

В связи с этим возникает необходимость в мониторинге и совместном анализе этих изменений, в том числе выявлении корреляций, перекрестных и скрытых связей между ними, а самое главное – в своевременном реагировании, быстром принятии операционных и тактических решений», – рассказывает Игорь Ляпунов, генеральный директор компании Solar Security.

Многолетний опыт и глубокая экспертиза позволили аналитикам реализовать качественно иной подход к предоставлению сервиса. Новый подход характеризуется тремя ключевыми усовершенствованиями.

Во-первых, Solar JSOC теперь включает более 40 атомарных сервисов, объединенных в более высокоуровневые сервисы, которые обеспечивают комплексное решение бизнес-задач.

Во-вторых, важным преимуществом Solar JSOC является информационный обмен с государственными и отраслевыми CERT, а также ведущими вендорами ИБ.

Репутационные базы и фиды сквозным образом обогащают все сервисы Solar JSOC, обеспечивая защиту от самых новых и актуальных киберугроз.

Наконец, новая модель Solar JSOC предоставляет более глубокий уровень аналитики, демонстрируя заказчикам корневые причины и следствия инцидентов и уязвимостей.

Новый формат предоставления сервиса Solar JSOC опирается на три уровня – Security Maintenance (эксплуатация средств защиты), Security Monitoring (мониторинг уровня информационной безопасности) и Security Management (управление информационной безопасностью).

Нижний, базовый уровень Security Maintenance включает в себя эксплуатацию и администрирование систем информационной безопасности, развернутых в компании.

В перечень сервисов Solar JSOC на данном уровне входит предоставление, тонкая настройка и управление активными средствами защиты – WAF, Sandbox, anti-DDoS, межсетевыми экранами и прокси.

Квинтэссенцией функций SOC является уровень Security Monitoring, который обеспечивает мониторинг, выявление и анализ инцидентов информационной безопасности внутри компании.

Параллельно Solar JSOC агрегирует в глобальную базу знаний информацию от вендоров информационной безопасности, а также различных CERT. Эта база знаний содержит данные о вредоносных хостах сети интернет, индикаторах компрометации систем, вредоносном ПО и новых уязвимостях, направленных как на конкретную отрасль, так и непосредственно на отдельно взятую компанию.

Совокупность информации, полученной изнутри организации и из внешних источников, позволяет сформировать собственную базу правил корреляции событий, которая является ядром любого SOC.

Широкий список правил корреляции обеспечивает надежный контроль защищенности инфраструктуры от кибератак, а также позволяет оперативно выявлять и предотвращать как внешние попытки проникновения, так и внутренние нарушения.

На уровне Security Management ключевой задачей является оценка фактической критичности инцидента для компании и ее бизнес-процессов. В результате разбора инцидентов и аномалий, анализа причин их возникновения и оценки потенциального ущерба компания выявляет новые технические и бизнес-риски.

Все аналитические данные представлены в системе визуализации Solar JSOC Security Dashboard в виде наглядных диаграмм.

Объективная картина состояния ИБ в компании и подтвержденные статистикой данные по «болевым точкам» и наиболее серьезным рискам позволяют принимать обоснование решения в вопросах долгосрочного управления ИБ. Т

ем не менее, в силу стратегического значения таких решений они остаются в сфере компетенций компании-заказчика.

Основные тенденции. Цифры и факты

Отчет JSOC Security

63 224 событий с подозрением на инцидент зафиксировал Solar JSOC в третьем квартале 2016 года. За аналогичный период прошлого года было выявлено 54 578 событий (т.е. на 16% меньше).

14.3% – доля критичных инцидентов в третьем квартале 2016 года. В третьем квартале 2015 года доля критичных инцидентов была в два раза меньше. Критичными считаются инциденты, приведшие к одному из последствий:

Длительное прерывание (более получаса) или остановка функционирования систем и сервисов клиента, относящихся к категориям Business и Mission Critical;

Повреждение, потеря или компрометация критичной информации и учетных записей, включая сведения, относящиеся к персональным данным, коммерческой и банковской тайнам;

Прямые финансовые потери на сумму более 1 млн рублей в результате действия внутренних сотрудников или киберпреступников.

Статистика внешних инцидентов в Q3 2016 говорит о том, что атаки становятся проще; внешние злоумышленники стремятся эксплуатировать известные уязвимости.

На протяжении последних четырех кварталов отмечается уверенный рост числа массовых заражений троянами, доставляемых посредством псевдополезного программного обеспечения (ransomware).

Вместе с аналогичным ростом доли инцидентов, связанных с компрометацией внутренних учетных записей, можно сделать вывод, что эти два вектора связаны.

Загруженный и активированный вирус/троян становится средством перехвата паролей с целью углубления разведки в инфраструктуре из-под легитимной учетной записи.

В третьем квартале мы перестали фиксировать атаки на АРМ КБР (до этого с начала годы было зафиксировано 7 попыток компрометации АРМ КБР). Это связано с усилиями ЦБ РФ по информированию банков о данном типе атак.

Внешние атаки смещаются ко времени, когда спадает деловая активность: 40% вечер пятницы/20% выходные/20% вечер.

На длительном периоде времени заметно, что в третьем и четвёртом квартале года доля внутренних инцидентов растет. Прежде всего это утечки конфиденциальных данных, заражение вирусами и компрометация внутренних учетных записей.

Продолжается уверенный рост числа утечек через почту.

Несмотря на то, что этот канал обычно контролируется, сотрудники все равно используют его для нелегитимной передачи данных.

Одной из главных целей атак остаются веб-приложения, но при этом меняется их источник – все большее число атак идет изнутри компании. Показательно распределение временных периодов атак: 70% день/10% вечер/20% ночь.

На длительном периоде времени замечено, что в компаниях, где используется SOC, наблюдается отсутствие роста, а иногда и снижение доли внутренних инцидентов.

Это связанно с повышением гигиены ИБ в компаниях-клиентах SOC.

Информационные бюллетени FinCERT позволили выявить 23 подтвержденных инцидента, из которых в 7 случаях совместное реагирование со службой клиента позволило целиком предотвратить ущерб от атаки.

Как развиваются целенаправленные атаки (на базе статистики, собранной за 2016 год):

Разведка – непрерывно.

Проникновение:

преодоление периметра – 60% день/20% вечер/20% ночь;

социальная инженерия – 80% день/10% вечер/10% ночь;

фишинг – 50% день/40% вечер/10% ночь.

Закрепление – непрерывно, но ключевые вехи приходятся на вечернее время.

Достижение цели – 40% вечер пятницы/20% выходные/20% вечер.

Атаки на веб – 70% день