Зачем вашей компании SOC и Red, Blue, Purple команды: подробное руководство

В блоге в 2016 году уже писал статью по SOC и она самая популярная. Пришла пора озвучить информацию про SOC, поскольку сейчас этот формат популярен. Смотрим видеоролик:

 

ФСБ: федеральные органы власти России были под контролем хакеров более 3 лет

О взломе узнали сотрудники Ростелеком-Солар

Уверен, что многие были потрясены новостью, что некоторые федеральные органы исполнительной власти (ФОИВ) были взломаны и злоумышленники несколько лет были внутри организаций с максимальными правами доступа и читали всю переписку.

Об этом недавно сообщил НКЦКИ и Ростелеком-Солар.  Запись пресс-конференции ниже.

Запись пресс-конференции в РИА Новости 18 мая 2021.

Надо инвестировать не в продукты, а в зарплаты.

Какой бы разговор ни начинался про развитие службы безопасности, то он всегда упирается в одну тему: людей. Да, основной линией любого семинара по безопасности идет глухое грустное роптание, что нет людей. Недавно мне рассказали, что в одном из регионов России ищут человека, чтобы защищать КИИ и готовы выдать ему за это 20 тысяч рублей в месяц. И, возможно, это будет самая большая зарплата на предприятии. Причем все нужно срочно. С одной стороны причины отсутствия такого человека не понимает регулятор, с другой стороны не понимает отдел кадров, у которого нет желающих на эту должность, с третьей не понимает руководство, которое и так слишком много рисков отслеживает, а тут еще хакеры. Но защита КИИ - это очень сложная задача.

Критическую инфраструктуру должны защищать спецслужбы

Мое мнение, что если организация реально критична для страны, то защищать КИИ должна не сама организация, а сама страна, то есть ее спецслужбы. Специалистов нужного уровня готовят в ИКСИ Академии ФСБ, МИФИ, РГГУ и других институтах. Этим нужно заниматься. Причем это не должны быть проверяющие, как у нас почему-то принято: люди с протоколами в руках. Это должны быть именно защищающие: те кто обладает знаниями и умениями, оборудованием и технологиями международного уровня, процессами и процедурами, с сертификатами OSCP и GCIH.

А чем защищаться? Нужны исследователи

Другая новая крайность - а давайте напишем такие же крутые продукты как за границей. Давайте. Кто же против. 

Начнем с базовой мысли: чтобы программист знал что ему писать у него должен быть небольшой научно исследовательский институт (НИИ), в котором изучают проблемы безопасности и изучают как от них защищаться и ему рассказывают что писать в коде. То есть продукт по безопасности это не просто кусок кода - это ежедневно обновляемые исследователями сигнатуры, ведь в день находят 40 уязвимостей только в программном обеспечении, а еще находят новые техники обхода защиты и вообще-то атакуют уже давно легитимным софтом, типа powershell и нужны уже поведенческие алгоритмы на основе опыта разбора предыдущих инцидентов. Весь мир писал продукты 30 лет и создал море готовых решений и то они еще не идеальны.

У каких компаний в России есть такие исследовательские группы? Лаборатория Касперского, Positive Technologies, Group-IB? Какие еще компании расссказывают про свои исследования в области ИБ? Начинать продукты делать нужно тоже с подбора группы специалистов и развития серьезных исследований в информационной безопасности. 

Допустим уже есть такое НИИ и они знают как и написали продукт мирового уровня. И тут уже трудности с администраторами сетей. Сейчас, даже имея лучший в мире продукт по безопасности, администратор не включает купленные в нем функции,  потому что не знает их. Например, если человек не знает что такое DNS туннели, то он и не будет знать как их выявлять и блокировать. А для этого нужны сложные технологии,  например Machine Learning, глобальный Threat Intelligence. 

Нужна проактивная защита госорганов

Стратегия защиты госорганизаций во всем мире одинакова - готовить и использовать собственных хакеров для превентивной оценки защищенности. Для этого внутри спецслужб в различных странах есть подразделение Red Team, которое постоянно проверяет все органы власти и находит все возможные способы взлома, до того как их найдут хакеры других стран. Также в их задачу входит обучать всех сотрудников, проводить киберучения, проверять их готовность к фишинговым атакам. И выполняет защиту подразделение Blue Team, которое настраивает защиту, на основе проводимых в red team тестирований. Так сделано во многих странах. 

А есть ли такое в России? Ведь при наличии такой налаженной системы, защиту ФОИВ будет проще осуществлять и таких печальных сообщений, как было 18 мая 2021 года в РИА Новости уже не будет. И не нужно будет проводить огромные по времени экспертные работы по удалению вредоносного кода из систем.

Также в стране нужно создавать команду людей, которые будут заниматься атрибуцией атак и публично выявлять и называть их имена, чтобы реальные злоумышленники не чувствовали себя безнаказанно. Но это отдельная тема.

Также в стране коммерческие компании должны знать адрес организации, которая их защитит в случае нападения из-за рубежа.

В продолжение предлагаю посмотреть как хакеры проводят кампании и как нужно защищаться используя Red Team

Доступна запись Palo Alto Networks Security Summit 2019 в Москве

27:00 "To Cloud or not to Cloud", Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ", Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt", Денис Батранков 1:24:38 Cсылки на прошлые вебинары Palo Alto Networks https://safebdv.blogspot.com/p/blog-page.html 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети", Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT, Air GAP, Mimikatz, DFIR", Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks