Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»

Руслан Рахметов, Security Vision

Для повышения эффективности работы SOC-центра важно обеспечить взаимодействие внутри команды самого SOC, а также сотрудничество с работниками компании-заказчика и с внешними организациями. Авторы публикации уверены, что для SOC важно быть частью бизнес-экосистемы компании-заказчика, поэтому при работе SOC важно учитывать приоритеты бизнеса и взаимодействовать с представителями и стейкхолдерами компании-заказчика, предоставляя им ИБ-контекст. Для повышения внутренней ИБ-экспертизы и качества оказываемых услуг SOC-центру важно выстроить взаимодействие как внутри команды, так и с внешним ИБ-сообществом. Процессам выстраивания взаимодействия, сотрудничества, обмена информацией посвящена Стратегия №9. 

Ни один профессионал не знает всего в мире ИБ, поэтому для SOC-центров важно устанавливать отношения и способы обмена информацией с коллегами, которые могут работать как внутри компании-заказчика, так и в других SOC-центрах и компаниях. Для получения достаточного финансирования и поддержки со стороны руководителей компании важно предоставлять им ценную информацию, инсайты, рекомендации. SOC-центрам также важно вести некую публичную активность (выступать на конференциях, публиковать заметки в блоге компании и т.д.), которая позволит сформировать положительный имидж SOC как для будущих клиентов, так и для потенциальных кандидатов. Важно заранее предусмотреть формы коммуникации (отправки и получения информации), взаимодействия, обмена информацией внутри SOC, с представителями компании (стейкхолдерами, руководителями), с ИБ-сообществом. 

1. Взаимодействие внутри SOC

Прежде всего, требуется выстроить формы коммуникации, взаимодействия, обмена информацией внутри самого SOC. Несмотря на то, что руководители и менеджеры SOC традиционно считаются ответственными за данное направление, важно дать возможность участвовать в данных активностях всем членам команды SOC для наиболее эффективного использования человеческого потенциала внутри SOC. Указанные активности преследуют следующие цели:

- Обучение всех сотрудников SOC выполнению должностных обязанностей путем информирования и обмена знаниями;

- Передача операционной информации между членами команды SOC;

- Создание, планирование и обмен информацией о деятельности SOC;

- Совместное решение проблем и задач;

- Улучшение обработки обратной связи по работе с инструментами, технологиями, данными, аналитикой SOC для повышения их эффективности. 

1.1. Обучение всех сотрудников SOC выполнению должностных обязанностей:

Утверждённые процессы и документация помогут обеспечить понятное и логически связанное взаимодействие между членами команды SOC, в частности, такие документы, как сценарии реагирования и стандартизированные операционные процедуры (SOP, standard operating procedure). 

1.2. Передача операционной информации между членами команды SOC:

Передача информации между коллегами внутри SOC может осуществляться следующими способами:

- Трекинг инцидентов ИБ;

- Трекинг аналитики киберугроз, IOC, атакующих;

- Статус работы по выявлению киберугроз и их аналитике;

- Работы по внедрению и разработке;

- Планирование и проведение мероприятий по проактивному поиску киберугроз;

- Планирование спринтов, исполнение задач;

- Обновление по статусу важных инцидентов и кейсов;

- Ежедневные планерки и передачи смены (в больших SOC-центрах могут проводиться общие собрания и отдельные собрания по каждому направлению деятельности SOC);

- Ежемесячные или ежеквартальные общие большие встречи, прямое взаимодействие между членами различных команд, тим-билдинги. 

1.3. Создание, планирование и обмен информацией о деятельности SOC:

Следует соблюдать открытость в предоставлении информации о текущем и планируемом расходовании ресурсов SOC-центром. Для повышения эффективности планирование должно быть открытым для всех членов SOC, добиться чего можно с помощью регулярного планирования, гибкого scrum-планирования, учета и контроля функций SOC, например, с помощью системы показателей с отображением основных функций, возможностей, сервисов SOC и их текущего статуса. 

1.4. Совместное решение проблем и задач:

Коллективная работа аналитиков над сложными проблемами, совместное реагирование на инциденты и коллективные проактивные действия повышают качество оказываемых SOC услуг и уровень вовлеченности работников. Достигается это совместным анализом и применением инструментов совместной работы, таких как платформы обмена мгновенными сообщениями, решения для совместного использования экрана (screen sharing), системы кейс-менеджмента и управления данными киберразведки, базы знаний (например, Wiki-подобные), инструменты контроля и планирования (например, Jira, AzureDevOps и т.д.). Руководителям SOC-центра необходимо выстраивать благоприятную среду общения и взаимодействия между членами команды, обеспечивать возможность каждому высказывать свои идеи и предложения, получать и предоставлять поддержку от членов команды. 

1.5. Улучшение обработки обратной связи по работе с инструментами, технологиями, данными, аналитикой SOC для повышения их эффективности:

В случае разделения функций SOC или географической распределенности команд, качество взаимодействия и обмена информацией может снизиться. От руководителей SOC важно получать бизнес-контекст, координирование, поддержку, а отдавать технически точные данные, метрики, отчетность, идеи по улучшению. Внутри SOC следует обмениваться требованиями, идеями, решениями, получать поддержку, обеспечивать непрерывное получение и обработку обратной связи. 

2. Взаимодействие со стейкхолдерами и заказчиками

Взаимодействие с заказчиками, включая топ-менеджмент и ИТ-руководителей, и возможность четко выразить задачи и потребности SOC позволят выстроить надежные взаимоотношения между SOC и потребителями его услуг. Взаимодействие на более низком уровне, с конкретными стейкхолдерами, позволит SOC-центру повысить понимание деятельности компании-заказчика и установить прочные взаимосвязи. В данном разделе авторы публикации приводят различные формы взаимодействия с заказчиками, такие как:

- Предоставление заказчикам информации об услугах, оказываемых SOC-центром;

- Понимание бизнес-процессов и информирование об изменениях;

- Информирование о киберрисках в терминах ведения бизнеса и достижения целей;

- Получение и предоставление ответов на отчеты об инцидентах;

- Предоставление сведений об архитектуре, инструментах, данных, процессах SOC;

- Совместное создание и настройка методов обнаружения и аналитики, мониторинг и реагирование на инциденты;

- Получение и обработка обратной связи для улучшения работы;

- Обучение представителей заказчика. 

2.1. Предоставление заказчикам информации об услугах, оказываемых SOC-центром:

SOC-центру следует озаботиться созданием информационного ресурса, на котором заказчику будет предоставлена информация о том, что такое SOC и что он делает. С ростом уровня зрелости предоставляемые материалы могут охватывать специфику конкретных функций, описывать уже обработанные SOC-центром масштабные инциденты для повышения значимости SOC в глазах заказчиков. На информационном ресурсе (это может быть внутренний веб-портал, Wiki-страница или SharePoint-сайт) следует указать информацию о том, как и почему SOC защищает заказчиков, как заказчики обеспечивают работу SOC, как обратиться в SOC в случае подозрений на киберинцидент, какие услуги предоставляет SOC, как SOC обеспечивает осведомленность и обучение заказчиков, также рекомендуется привести перечень ВНД, обеспечивающих и санкционирующих деятельность SOC. 

2.2. Понимание бизнес-процессов и информирование об изменениях:

Как указывалось в Стратегии №1, SOC-центру важно знать, что и почему он защищает - эти знания приобретаются при совместной работе с заказчиками и в дальнейшем дадут возможность согласовать инвестиции SOC-центра и задачи бизнеса, получить ресурсы и поддержку, снизить уровень риска. Вместе с ИБ-специалистами заказчика SOC-центр должен регулярно взаимодействовать с работниками-респондентами (руководителями, менеджерами, линейным персоналом) для обсуждения вопросов инвестиций в ИБ и требований кибербезопасности, текущих и завершенных ИБ-проектов, успехов SOC и важных киберинцидентов в зоне ответственности респондентов, новых киберугроз и рисков ИБ. Члены команды SOC во время таких обсуждений также должны получать информацию об изменениях в бизнесе, которые могут повлиять на деятельность SOC (например, новые бизнес-услуги, реорганизация бизнес-структур), узнавать о восприятии вопросов ИБ и киберрисков респондентами, получать обратную связь о деятельности, планах, инвестициях SOC-центра, а также получать актуализированную информацию об изменениях в IT/OT-ландшафте, облачных и мобильных инфраструктурах для обновления инвентаризационных данных, которые использует SOC. Указанные встречи и обмен информацией должны дополнять, но не заменять регулярные процедуры актуализации данных в SOC. Такие встречи в больших компаниях могут проводиться отдельно с каждым направлением бизнеса, с частотой раз в месяц или раз в квартал. 

2.3. Информирование о киберрисках в терминах ведения бизнеса и достижения целей:

SOC-центр и Red Team-команды хорошо и глубоко понимают киберриски компании-заказчика с технической стороны, поэтому важно доносить эту информацию до заказчиков с точки зрения влияния рисков на бизнес и выполнения необходимых действий. SOC-центр может сообщать информацию о киберрисках и соответствующих возможных негативных последствиях в виде регулярных оповещениях через email, веб-сайт, на брифингах, с помощью системы метрик и отчетности, предоставляя информацию о киберинцидентах и необходимых пост-инцидентных действиях, с помощью экстренных уведомлений об уязвимостях и необходимости установки обновлений (если управление уязвимостями входит в зону ответственности SOC). 

Авторы публикации дают следующие рекомендации по правилам информирования заказчиков, включая отправку уведомлений об уязвимостях:

- Подготовьтесь к информированию заранее: разработайте шаблон рассылки и заранее планируйте способ уведомления, составьте корректный список получателей уведомлений (отправляйте информацию об уязвимостях конкретных систем не на всю компанию, а только владельцам систем), заранее свяжитесь с ответственными за системы и за установку обновлений для получения от них обратной связи, корректирования планов устранения уязвимостей и рассылки уведомлений, а также продумайте текст уведомления (он должен быть релевантным и содержать конкретный перечень действий);

- Кратко и понятно изложите, что требуется от получателей рассылки: что именно и с какими активами требуется выполнить, в какой срок и почему, предоставьте подробную инструкцию (скачайте обновление с такой-то страницы, обновите такое-то ПО, отключите такой-то компонент/сервис), а также следите за тем, чтобы рассылки и инструкции получали те, кто действительно отвечает за уязвимую систему;

- Обеспечьте качество уведомлений: задокументируйте процесс формирования и проверки теста уведомления и его рассылки, обеспечьте точность технических подробностей в рассылке (если в рассылке есть результаты аналитической оценки, укажите её уровень достоверности), а также внимательно отнеситесь к грамматике текста и форматированию уведомления. 

2.4. Получение и предоставление ответов на отчеты об инцидентах:

SOC-центру следует предоставить заказчикам несколько способов уведомления о вредоносных или подозрительных действиях, например, через форму на сайте, по email (следует выбрать простой и легко запоминающийся email), через техническую поддержку. Указанные способы должны быть известны работникам компании-заказчика, эту информацию можно доводить на awareness-тренингах. Также следует обеспечить отправку уведомления о получении сообщения от сотрудников компании-заказчика, чтобы они знали, что информация получена SOC-центром и принята к обработке. При реагировании SOC-центр будет задавать сотрудникам компании-заказчика уточняющие вопросы и прояснять детали инцидента, поэтому работники должны быть к этому готовы, а у SOC-центра должны быть полномочия для такой деятельности. 

2.5. Предоставление сведений об архитектуре, инструментах, данных, процессах SOC:

Для обеспечения доверия SOC-центру со стороны заказчиков важно контролируемо предоставлять дозированную информацию об архитектуре, инструментах, данных, процессах SOC. В случае бесконтрольного распространения указанной информации увеличивается вероятность того, что атакующие смогут получить данные о типах СЗИ и успешно их обойти, поэтому все запросы на получение какой-либо информации о работе SOC-центра нужно тщательно анализировать и при необходимости минимизировать разглашаемые сведения. Для повышения уровня доверия SOC-центру со стороны заказчиков может быть целесообразным предоставлять общую информацию об используемых технологиях и архитектуре SOC (без подробностей в виде IP-адресов, версий ПО и СЗИ). Информирование работников компании-заказчика о типах используемых технологий должно повысить у них чувство ответственности за соблюдение правил ИБ в компании, но не предоставлять им достаточных технических подробностей, которые могут способствовать обходу защитных мер. 

2.6. Совместное создание и настройка методов обнаружения и аналитики, мониторинг и реагирование на инциденты:

В случае работы SOC-центра с высокотехнологичными компаниями-заказчиками можно рассмотреть вариант более тесного взаимодействия с представителями компании-заказчика, которые обладают достаточной квалификацией для решения совместных задач. Такое взаимодействие поможет лучше понимать контекст работы защищаемых систем, интегрировать системы и сети заказчика в процесс управления киберинцидентами в SOC, более корректно и быстро проводить расследование и реагирование на инциденты. Для обеспечения такой синергии в SOC должны быть ресурсы для взаимодействия с представителями компании-заказчика, технические возможности SOC должны поддерживать такое взаимодействие, представители компании-заказчика должны соблюдать правила работы с инструментами SOC и порядок работы с информацией SOC, цепочка эскалации и уведомления о киберинцидентах не должна меняться, порядок реагирования должен диктоваться SOC и неукоснительно соблюдаться, также следует обеспечить регулярную синхронизацию и обмен информацией между участниками, а ожидания от взаимодействия должны быть понятны обеим сторонам. 

2.7. Получение и обработка обратной связи для улучшения работы:

В дополнение к регулярному получению обратной связи по инцидентам и по результатам общения со стейкхолдерами заказчика, следует предусмотреть более структурированное и частое получение обратной связи. Это можно реализовать в виде формы обратной связи в тикете по инциденту («оцените, как выполнил свою работу SOC-центр»), а также в виде периодических опросов работников компании-заказчика. Также рекомендуется проводить неформальные встречи со стейкхолдерами для получения обратной связи и обсуждения способов улучшения работы SOC.

2.8. Обучение представителей заказчика:

SOC-центр играет важную роль в повышении уровня культуры кибербезопасности в компании-заказчике. Совместно с представителями ИБ-подразделения заказчика, следует предоставлять информацию о вредоносных кампаниях, новых киберугрозах, результатах и «выученных уроков» киберинцидентов, опыте других компаний из того же сектора экономики. В тренингах по киберобучению следует доносить информацию о работе и рекомендациях SOC-центра работникам компании. Также можно приводить примеры успешного выполнения SOC-центром задач по реагированию на киберинциденты, выявлению злоумышленников, аналитике киберугроз, что поможет повысить репутацию SOC-центра. 

3. Взаимодействие с ИБ-сообществом

Ни один ИБ-профессионал в мире не может знать абсолютно всего, поэтому для получения новых знаний, актуализации экспертизы, обмена мнениями о технологиях защиты и TTPs атакующих важно взаимодействовать, учиться, обмениваться информацией с представителями других ИБ-компаний, с исследователями и вендорами. При этом важно заранее выстроить отношения с представителями ИБ-сообщества, т.е. до того, как может потребоваться их помощь в критический момент крупного инцидента. 

3.1. Обмен информацией и получение знаний:

Участие в обсуждениях и обмене опытом на разнообразных площадках поможет SOC-центру быть более информированным и гибким, лучше понимать TTPs атакующих, аналитику киберугроз, способы работы с технологиями. Если на таких площадках SOC получает информацию, которую невозможно получить другим способом, то это говорит об успешно выстроенной модели взаимодействия с сообществом. При этом в крупных SOC-центрах для информирования сообщества может быть выделены соответствующие ресурсы, а само информирование - быть регулярным; небольшие же SOC-центры также могут обладать интересной информацией и должны иметь возможность поделиться ей с сообществом. Для корректного предоставления информации за пределы SOC-центра или компании-заказчика, следует разработать политику распространения информации, которая будет соответствовать юридическим и PR-стандартам и внутренним правилам компании-заказчика. Также следует убедиться, что созданы правила для членов команды SOC по публичному обсуждению деятельности SOC, существует политика проверки контента перед публикацией, юридическая служба, PR-служба и ИБ-руководители компании контролируют процесс, а у членов команды SOC есть возможность и согласование на ведение публичной деятельности. 

Взаимодействие возможно и между SOC-центрами напрямую, включая прямые контакты аналитиков разных SOC между собой. Такое общение может начаться при совместном реагировании на общий инцидент или при работе с заказчиками в одном секторе экономики. В дальнейшем, такое взаимодействие может быть формализовано или оставаться неформальным - оба варианта будут полезны для обмена опытом, знаниями, повышения лояльности и чувства сопричастности сотрудников. Взаимодействовать можно также и на базе специально созданных площадок - форумов, объединений, рабочих групп, в том числе сформированных при государственном участии, объединенных по какому-либо признаку (географическое положение, обслуживаемый сектор экономики, используемые типы технологий). 

3.2. Совместная работа организаций при реагировании на инциденты:

Зачастую некоторые типы крупных киберинцидентов могут быть эффективно решены только при взаимодействии SOC-центров, обслуживающих несколько компаний, затронутых этим инцидентом. Например, при кибератаке на поставщика ПО/оборудования есть риск распространения угрозы на клиентов, поэтому SOC-центру такого вендора будет лучше работать совместно с SOC-центрами его клиентов. При подготовке к отражению инцидентов, которые могут выйти за границы инфраструктуры компании-заказчика, SOC-центру следует актуализировать контактные данные своих контрагентов, партнеров, поставщиков услуг, оборудования, ПО и СЗИ, а также контактную информацию правоохранительных органов и SOC-центров, с которыми налажено взаимодействие.