Эффективное противодействие кибератакам
- Предотвращение инцидентов.
- Мониторинг инцидентов.
- Реагирование на инциденты.
- Внутренний SOC.
- Внешний (облачный) SOC.
- MDR.
Внутренний SOC — центр мониторинга киберугроз, построенный внутри компании.
Недостатки
Высокие издержки. Для построения внутреннего SOC потребуется много дорогостоящих высококвалифицированных специалистов. Поэтому стоимость такого решения очень высока.
Долгое построение. Создание корпоративного SOC может занять годы.
Нехватка квалификации. Чтобы эксперты не теряли хватку, им нужно работать с постоянным потоком инцидентов. Но отдельно взятая компания всегда будет сталкиваться с меньшим числом инцидентов, чем вендор, обслуживающий нескольких клиентов. Именно из‑за этого специалисты внутреннего SOC получают меньше опыта, чем сотрудники вендора.
Отсутствие гарантий. Итоговое качество мониторинга внутреннего SOC сильно разнится от компании к компании. И такой SOC может пропустить довольно типичные инциденты.
Преимущества
Быстрота реакции. Поскольку IТ‑персонал и ответственные за мониторинг находятся в одной компании, внутренние коммуникации происходят гораздо быстрее. Не теряется информация, из‑за чего переход к самому реагированию после обнаружения инцидента занимает гораздо меньше времени.
Легкость адаптации. Штатная команда может разрабатывать средства мониторинга, которые гораздо лучше учитывают специфику бизнеса.
Внешний, или облачный SOC — аутсорсинг центра реагирования на киберугрозы.
Недостатки
Медлительность первичного реагирования. Скорость реагирования на обнаруженную угрозу снизится: IТ‑специалисты, которые будут удалять вредоносное ПО и изолировать хосты, будут разведены по разным компаниям со внешними специалистами по мониторингу.
Сложность адаптации. Внешние команды используют универсальный технологический стек при разработке решений. Но если компании понадобится что‑то дополнительное, индивидуальная подгонка будет сложной и дорогой.
Недостаточность штатных решений. Как правило, внешний SOC имеет в своем распоряжении события от штатного аудита компонентов IТ-инфраструктуры и имеющихся средств защиты. Этого может не хватать для своевременного выявления сложных угроз, а настройка аудита источников событий и интеграции их с внешним SOC требуют существенных затрат IT-специалистов.
Преимущества
Быстрота подключения. Не нужно тратить годы на разработку собственного SOC. Для старта работы достаточно начать отправлять вендору события со средств мониторинга.
Гарантия качества. Вендор обязуется соблюдать SLA. Также внешний SOC предполагает постоянный поток клиентов, что гарантирует качество мониторинга атак.
Широкая видимость угроз. К облачному SOC можно подключить практически любой источник информации, заранее обговорив, какие именно события или их последовательность становятся инцидентом.
Особенность MDR — сбор событий с агентов на эндпоинтах (конечных точках). В силу этого решение позволяет проводить более глубокий анализ необычного поведения в системах и обнаруживать скрытые угрозы. Также агент дает выполнять некоторые действия по первичному реагированию на хостах, такие как сбор информации для реагирования и удаление вредоносных файлов. Этим решение принципиально отличается от двух других.
Недостатки
Риск неправомерного доступа. Необходимо доверять вендору, чтобы открыть ему доступ ко всем конечным точкам.
Трудоемкость покрытия всех эндпоинтов. Недостаточно собирать данные с централизованных систем, таких как контроллеры домена. Нужно устанавливать агент на все эндпоинты, часть которых может быть труднодоступна (особенно у компаний, использующих в работе оборудование сотрудников).
Ограничение видимости угроз. Классический MDR не включает в себя SOC, поэтому события собираются только с эндпоинтов. Соответственно, какие‑то атаки выходят за область видимости MDR. Примером может служить BEC‑атака (business email compromise), в ходе которой в письмах подменяются реквизиты, а потом происходит оплата. При этом никаких изменений на эндпоинт, на хост или в ОС не вносится, в то время как MDR опирается на данные с эндпоинтов. Поэтому СЗИ и логи приложений остаются вне поля зрения.
Преимущества
Простота подключения. Кроме установки агентов на все конечные точки практически ничего не требуется.
Гарантия качества. Вендор обязуется соблюдать SLA, а его агенты позволяют обнаруживать даже самые сложные угрозы.
Быстрота и низкая стоимость первичного реагирования. Благодаря МDR внешняя служба может самостоятельно принимать меры по реагированию, без привлечения IT‑персонала компании, и тратить на них меньше ресурсов.
- Внутренний IR.
- IR ad hoc.
- IR Retainer.
Внутренний IR — собственная команда реагирования.
Недостатки
Высокие издержки. Так же, как в случае с собственной командой SOC, нужны редкие высококвалифицированные специалисты. По внутренней оценке BI.ZONE, минимальная стоимость создания собственного штата специалистов и оснащения их рабочих мест составляет 9,2 миллиона рублей в год по состоянию на 2021 год.
Нехватка квалификации. Редкие компании встречают непрерывный поток киберинцидентов. Сотрудникам неоткуда получить опыт работы с ними.
Отсутствие гарантий. Из‑за нехватки опыта итоговая эффективность таких команд по реагированию сильно разнится от компании к компании.
Преимущества
Быстрота реагирования. Команда реагирования находится в той же компании, что и бизнес-холдеры, бизнес-оунеры процессов и IТ‑персонал, поэтому все решения по реагированию принимаются гораздо быстрее. Это позволяет сократить время между разработкой плана реагирования и его выполнением.
Проактивный подход. Внутренняя команда реагирования может заранее продумать, как именно будет проводиться реагирование, какие средства по сбору информации, первичному реагированию и изоляции будут применены. Так реагирование пройдет максимально эффективно.
IR ad hoc — разовое обращение к консалтинговой фирме при наступлении сложного инцидента.
Недостатки
Трата времени реагирования на изучение инфраструктуры. Эксперты ничего не знают о внутреннем устройстве и об инфраструктуре компании, с которой им придется работать. Первые часы инцидента тратятся на инструктаж, на выяснение нюансов инфраструктуры, на объяснение, какие данные можно собрать и как сделать это правильно. Поэтому фактическое реагирование начинается позднее.
Неопределенный срок реагирования. График аутсорсеров может не совпасть с наступлением инцидента, когда эксперты нужнее всего.
Потеря времени на коммуникацию. Общение администраторов с внешней командой IR обычно требует больше времени, чем с внутренней.
Преимущества
Простота. Если в компании нет специалистов с необходимыми навыками, это самое простое решение для профессионального противодействия кибератакам.
Высокий профессионализм. Внешние команды обычно обладают богатым опытом, поэтому справляются с инцидентами любой сложности.
IR Retainer — годовая подписка на реагирование, которая включает определенное количество предоплаченных часов. При этом эксперты заранее знакомятся с инфраструктурой.
Недостатки
Потеря времени на коммуникацию. Как и в случае с IR ad hoc, общение администраторов с внешней командой IR требует больше времени, чем с внутренней.
Необходимость включить услугу в годовой бюджет. Оплата взимается ежегодно вне зависимости от того, потрачены ли все часы реагирования.
Преимущества
Простота. Легче обратиться к внешнему эксперту, чем искать специалиста с нужной квалификацией в команду.
Высокий профессионализм. Внешние команды обычно обладают богатым опытом, поэтому справляются с инцидентами любой сложности.
Гарантированное время реагирования. Обычно в случае подписки фиксируется срок, в течение которого консультанты должны разработать план и начать реагирование.
Быстрота реагирования. Эксперты заранее готовы к возможной кибератаке на инфраструктуру. Они знают, что именно делать, какие активы будут интересны злоумышленникам, какие средства смогут обнаружить место заражения и скомпрометированные системы. Поэтому они тратят меньше времени на реагирование.
Каждая компания может применять любое из описанных нами решений, комбинировать их любым образом. Мы хотим выделить две комбинации, которые многократно усиливают преимущества.
При собственных центре мониторинга и команде реагирования компания получает:
- быстрейшую реакцию — сокращение дистанции между командами безопасности, IT‑подразделениями и владельцами активов позволяет реагировать оперативнее и эффективнее;
- неограниченную адаптацию — ни одно внешнее решение не будет так хорошо подстроено под процессы компании, как разработанное изнутри.
При передаче полномочий внешнему вендору компания получает:
- полное делегирование — остается только контролировать, как вендор управляет процессами мониторинга и реагирования;
- повышенные качество и скорость — вендор может самостоятельно собирать данные для реагирования и осуществлять нейтрализацию киберугроз, что сэкономит время специалистов клиента.
Теперь, когда мы рассказали сухие факты о решениях и комбинациях, проиллюстрируем их примером — возможным, но не единственным сценарием. Для этого возьмем шифровальщика, который атаковал серверы и АРМ компании.
Компания А не готовилась к кибератакам и обратилась в консалтинговую фирму только после того, как уже заметила требование выкупа на нескольких системах.
День 1. Компания обнаружила инцидент и связалась с консалтинговой фирмой. Консультанты обговорили все условия и провели вводный инструктаж.
День 2. Компания и консалтинговая фирма подписали договор. Эксперты изучили первые данные, пояснили, как остановить распространение шифровальщика, и разработали план реагирования.
День 3. Администраторы компании очистили инфраструктуру от шифровальщика по рекомендациям консультантов и оценили ущерб. Поскольку у злоумышленников было целых два дня на распространение, заражение и запуск шифровальщика, большая часть инфраструктуры пострадала и объем потерянных данных составил около 90%.
День 4. Консультанты нашли точку проникновения в сеть и помогли исправить уязвимость.
День 5. Эксперты убедились, что злоумышленники не похитили данные, и очистили инфраструктуру от бэкдоров.
Компания В узнала о случае, который произошел с их конкурентами, и обратилась к консультантам заранее — оформила подписку на реагирование.
День 1. Компания В обнаружила инцидент и обратилась в консалтинговую фирму. Эксперты были знакомы с инфраструктурой, поэтому сразу остановили шифрование и начали работу по готовому плану. В свою очередь, команда компании В прошла первичный инструктаж, поэтому заранее знала, какие данные понадобятся специалистам и как их собрать.
День 2. Эксперты подготовили план восстановления зараженных систем и с помощью администраторов привели его в действие. Также они определили объем потерянных данных. Он составил 20%, потому что реагирование произошло достаточно быстро и у злоумышленников было всего несколько часов.
День 3. Консультанты нашли точку проникновения в сеть и помогли исправить уязвимость. Затем убедились, что злоумышленники не похитили данные, и очистили инфраструктуру от бэкдоров.
Компания С очень серьезно относилась к киберугрозам, потому что весь ее бизнес зависел от IТ‑систем. Организация не могла себе позволить собственные SOC и IR, но зато заранее заключила контракт на MDR и подписку на реагирование.
День 1. Аналитик MDR обнаружил шифрование одной из систем с помощью собственного агента. Он выполнил остановку вредоносного процесса и сетевую изоляцию скомпрометированной системы. Затем он согласовал привлечение экспертов по реагированию. С помощью агента MDR шифрование заблокировали, троян удалили. Пораженными оказались не более 20 файлов.
День 2. Внешние эксперты восстановили важные файлы из бэкапа, нашли точку проникновения в сеть и отправили инструкцию по исправлению этой уязвимости. Злоумышленники даже не успели раскинуть бэкдоры, потому что их зафиксировали очень быстро. Осталось всего несколько зашифрованных файлов, которые невозможно было восстановить.
| Решения | Время реагирования | Объем потерянных IT‑активов |
|---|---|---|
|
Incident Response ad hoc |
5 дней |
90% |
|
Incident Response Retainer |
3 дня |
20% |
|
MDR + Incident Response Retainer |
2 дня |
<1% |
Эффективность решений сильно различается. Важно отметить, что уменьшение времени реагирования в два раза может сократить ущерб в случае реальной атаки в десятки раз.
Подведем итог сравнения решений.
Более дорогие решения могут лучше защитить компанию, но мы не можем рекомендовать их всем и каждому. Нужно принимать в расчет бюджет и особенности бизнеса.
Малому и среднему бизнесу, исходя из нашего опыта, мы рекомендуем сосредоточиться на мониторинге. И лучшим выбором здесь станет MDR. Для MDR не нужна централизованная инфраструктура, и для небольшого числа эндпоинтов это решение будет достаточно дешевым. Кроме того, мы советуем заранее выбрать консультантов, к которым можно будет обратиться в случае серьезной кибератаки, а также уладить с ними все финансовые и юридические вопросы, чтобы не решать их во время инцидента.
Крупному бизнесу мы рекомендуем полный аутсорсинг мониторинга и реагирования: это сильно увеличит эффективность. Второй путь — развивать такие функции внутри себя. Но этот вариант крайне сложный, причем на промежуточных этапах сильно уступает альтернативам.