Ты не пройдешь!
Текст: Александр Менщиков
IT-инфраструктура крупной компании постоянно развивается и становится настолько сложной, что нельзя быть уверенным в безопасности каждого ее компонента. Только представьте – нужно поддерживать сеть из тысячи серверов в нескольких дата-центрах, а еще 10 тыс. рабочих мест сотрудников с разным программным обеспечением и правами доступа. Если к этой картине добавить сетевое оборудование, текучку кадров, постоянные обновления ПО, то система может стать совсем неуправляемой. В такой огромной структуре очень легко пропустить крохотную уязвимость, которая обернется гигантской проблемой для организации. Злоумышленникам достаточно один раз найти точку входа в сеть компании, чтобы нанести ущерб. Поэтому ее владельцам нужно постоянно быть на страже.
Так придумали SOC (Security Operations Center) – операционный центр безопасности. В крупных компаниях это отдельное подразделение с большим штатом «технарей»: аналитики информационной безопасности, системные администраторы и разработчики. В небольших компаниях, когда объем данных маленький, мониторинг – задача двух-трех администраторов.
Сотрудники SOC – бойцы информационного фронта. Они непрерывно мониторят структуру, реагируют на выявленные атаки и думают, как улучшить систему защиты компании. На что эти бойцы должны обращать внимание? На разные важные мелочи. Например, если кто-то из организации 25 раз ввел неправильный пароль, это может быть попыткой перебора паролей извне (а может и нет). Если один сотрудник отправляет другому подозрительный файл (EXE) по электронной почте, это тоже необычно, поскольку с таким расширением часто пересылают только вирусы. Обновление операционной системы на планшете руководителя компании среди ночи – тоже стоит проверить. Сейчас разработанные системы умеют автоматически выявлять подозрительные действия в сети компании при помощи машинного обучения. Но их все объединяет одна глобальная проблема – ложные срабатывания.
В крупной организации с тысячами серверов подобные системы генерируют миллионы оповещений. Согласно отчету IT-компании Imperva, почти треть изученных SOC’ов ежедневно получают более миллиона оповещений о потенциальных угрозах. Возникает вопрос, что делать со всеми этими оповещениями – ведь не весь же миллион реально несет в себе угрозу? Блокировать источники? Тогда можно мгновенно парализовать работу компании. Настраивать системы так, чтобы выявлять только серьезные нарушения? Тогда есть риск пропустить множество незаметных атак.
Единственный выход – разбирать все вручную и делать это 24/7/365. Чтобы хоть немного упростить этот рутинный труд, обычно организуют иерархическую структуру. На первом уровне находятся аналитики, которые получают основной объем оповещений. Они должны максимально быстро принять решение о важности оповещения и либо отклонить его, либо перенаправить на следующий уровень. На это у них есть от 5 до 10 минут, и если не уложиться в срок, оно автоматически уйдет на уровень выше.
Там, на втором уровне, работают специалисты, которые изучают, в каком месте системы произошла ошибка, и устраняют ее. В крупных компаниях для каждой проблемы прописан алгоритм действий по их устранению. Если его нет, специалист перенаправляет проблему на уровень выше.
Третий уровень принадлежит профессионалам, которые разбираются в инфраструктуре компании и имеют доступ к ее оборудованию, чтобы устранить проблему. Иногда выделяют четвертый уровень, на котором находится руководство операционного центра, принимающее решения в случае кризисов и несущее ответственность за безопасность в целом.
Кроме аналитиков, разбирающих оповещения, в SOC работают специалисты, которые эти системы безопасности настраивают и интегрируют. Например, если в компании разработано новое мобильное приложение (скажем, мобильный банк), то нужно настроить отправку оповещений с серверов, обслуживающих такое приложение. А еще приходится поддерживать сами системы мониторинга и обновлять их настройки – например, увеличить порог срабатывания, если систему завалило ложными сообщениями.
Зачем нужна эта сложная структура? Чтобы защитить нас с вами. Никто не хочет, чтобы его данные оказались в открытом доступе и попали в руки мошенников или спамеров. Кому из нас не звонили «сотрудники банка» со странных номеров, предлагающие услуги? Все это – злоумышленники, которые получили доступ к нашим телефонам, возможно, «благодаря» утечке из компании. Паспортные данные тоже могут попасть в сеть, а оттуда и до «левых» кредитов на ваше имя недалеко. Так что крупные компании всегда во всеоружии, иначе их репутация пошатнется. Никто не отменял и финансовые риски – из-за уязвимости могут утечь различные наработки, коммерческая информация, данные о сотрудниках, их зарплатах и отпусках.
Недавно, в 2021 году в открытом доступе оказались персональные данные полумиллиарда пользователей Facebook: номера телефонов, имена и прочее. По итогам подобной утечки в 2019 году компания уже была оштрафована на крупную сумму, а Марк Цукерберг даже давал показания в конгрессе США. Единственный способ избежать таких последствий – предотвратить атаку. Этим целям и служит SOC. Чтобы подвести итог, достаточно сказать одно: инвестируйте в безопасность. Не существует волшебных программ, способных защитить от любых угроз.
Технологии
Александр Менщиков