2.5 Ситуационная осведомленность

Новости информационной безопасности




2.5 Ситуационная осведомленность

Для эффективной работы специалистам команды SOC необходимо понимать обстановку, в которой выполняются задачи по защите сети, как глобальную, так и на детальном уровне. Значительная часть работы SOC заключается в том, чтобы поддерживать и обеспечивать информированность клиентов о состоянии их защищенности. Это понимание называется ситуационной осведомленностью (SA).

Наиболее общепринятое определение ситуационной осведомленности в широком смысле приведено в Endsley [47]:

Ситуационная осведомленность — это восприятие элементов окружающей среды в определенный момент времени и точке пространства, понимание их смысла и прогнозирование их статуса в ближайшем будущем.

Понятие SA зародилось в авиации [47, с. 32-33] во второй половине 20-го века. Представьте себе пилота истребителя внутри своего самолета. Помимо обзора из окна кабины, у него есть набор инструментов, которые помогают ему понять, где находится его самолет, каков его статус и его окружение, например, другие самолеты поблизости. Он постоянно принимает решения о том, как вести самолет на основе этого понимания.

Чтобы летчик-истребитель эффективно мог защитить себя и своих сотоварищей от нападения, он должен быть экспертом в интерпретации различных поступающих данных, синтезировать их значение в совокупности, а затем действовать, опираясь на это понимание. Приоритеты пилота — это управление самолетом, навигация и связь. Поэтому он постоянно концентрируется на трех ключевых аспектах, которые составляют его ситуационную осведомленность: скорость самолета, высота и направление. Это сложная работа, и немногие с ней хорошо справляются.

По сути, команда SOC делает практически все то же самое, что и пилот, только в киберпространстве. Можно поспорить, что работа команды SOC сложнее в силу масштабов и сложности «кибер»-составляющей. В то время как пилот управляет одним самолетом и отслеживает, как правило, не более нескольких десятков «своих» и «чужих» вокруг себя, SOC может иметь сотни датчиков, десятки тысяч активов и сотни потенциальных противников. Летчики работают в кинетическом пространстве, где инструментам обычно можно доверять, а результаты действий очевидны. В киберпространстве аналитикам приходится сталкиваться с гораздо большей двусмысленностью. Пилот на 100% уверен в своих инструментах; аналитики SOC должны всегда копать глубже, добираясь до первичных данных, в попытках установить основную причину инцидента. На практике бывает, что аналитик не может в полной мере понять, что именно произошло, из-за неполных или неоднозначных данных. Авиация — это область, которой занимаются миллионы людей вот уже более 100 лет, тогда как защитой компьютерных сетей занимается гораздо меньше людей и гораздо меньшее время.

Неоднозначность и неопределенность — противоположности хорошей ситуационной осведомленности в киберпространстве — присутствуют на каждом этапе жизненного цикла инцидентов, и от них необходимо избавляться, постоянно улучшая охват мониторинга и его анализ.

Общее определение SA можно расширить на «кибер» специфику, используя определение Комитета по национальной безопасности (CNSS) в [42, с. 69], которое, по-видимому, опирается на определение Endsley:

Восприятие состояния безопасности предприятия и его ландшафта угроз в определенный момент времени и пространства, понимание/значение их в совокупности (риска) и прогнозирование их статуса в ближайшем будущем.

Для команды SOC процесс достижения кибер-ситуационной осведомленности включает три компонента:

  1. Информация. Данные датчиков, контекстные данные, кибер-разведка, новостные события, уязвимости, угрозы и управление задачами.
  2. Аналитика. Интерпретация и обработка этой информации.
  3. Визуализация. Отображение информации о ситуационной осведомленности в визуальной форме.

В разделе 8.4 и разделе 9 обсуждаются инструменты, из которых аналитик черпает информацию, а также SIEM — краеугольный камень аналитики. В области кибер-ситуационной осведомленности визуализация все еще находится в зачаточном состоянии. Несмотря на обширную работу в этой области [48] [49] [50], не существует общепринятой практики для визуализации информации о кибербезопасности.

Для SOC процесс получения и использования ситуационной осведомленности представляет собой цикл: наблюдение, ориентация, принятие решения и действие (цикл OODA), рис. 2 — это самоподдерживающийся процесс принятия решений, первоначально предложенный Джоном Бойдом [51].

 

Цикл: наблюдение, ориентация, принятие решения и действиеРис.2 Цикл OODA

Аналитик постоянно наблюдает за клиентами, сопоставляет эту информацию с уже имеющимися данными и опытом, принимает решения на основе этого синтеза, совершает действия, а затем повторяет этот процесс. Аналитики SOC изучают своих клиентов и сопутствующие им кибер-угрозы в течение разных периодов времени — от нескольких минут до нескольких лет. По мере улучшения их ситуационной осведомленности они становятся более эффективными специалистами. Поскольку наработка хорошей ситуационной осведомленности требует времени, потеря персонала может стать серьезным препятствием для эффективной работы SOC, поэтому SOC важно предпринимать шаги для минимизации и сокращения текучки кадров.

Один из способов — разделить кибер-ситуационную осведомленность на три взаимосвязанные тесно взаимодействующие и одинаково важные области: сеть, миссия и угроза. Для эффективной работы SOC необходимо разбираться во всех трех. Эти области SA описываются следующим образом:

Сеть

Миссия

Угроза

Ситуационная осведомленность может принимать различные формы, в зависимости от уровня, на котором будут приниматься решения о кибербезопасности. На самом низком тактическом уровне, сетевой безопасник имеет осведомленность вплоть до конечного актива и анклава с четким пониманием хостов и пользователей. Над ним на операционном уровне существуют направления бизнеса и крупные сети. На самом верху находится стратегический уровень, на котором предприятие функционирует в целом, а злоумышленники ведут свои долгосрочные компании. В результате, потребность в понимании клиентов и действующих лиц может варьироваться, в зависимости от того, какой уровень осведомленности требуется — от аналитика SOC 1 уровня до ИТ-директора и далее.

Представители клиента, особенно, руководители, естественно обращаются к SOC, чтобы получить ответы на вопросы типа «Что происходит в моей сети?». SOC может выполнить эту задачу, предоставляя клиентам и другим SOC подробную информацию, как в ходе обычного рабочего процесса, так и в случае критического инцидента. Если SOC не будет предоставлять достаточно подробные данные, он может утратить свою значимость или будет завален периодическими запросами на информацию. Если SOC будет предоставлять избыточно детальные сведения, его ресурсы будут растрачены на предоставление ответов на вопросы от руководства клиентов и, следовательно, он не сумеет должным образом выявлять и анализировать вторжения.

Найдя сбалансированный подход к предоставлению отчетности клиентам и другим партнерским SOC, SOC сможет получить признание как ценный ресурс.

Эффективное предоставление отчетности также будет стимулировать партнерские организации, в особенности другие заинтересованные в кибербезопасности стороны, давать обратную связь, укреплять и улучшать ситуационную осведомленность SOC.

Зрелая кибер-ситуационная осведомленность позволит сетевому безопаснику ответить на некоторые важные вопросы:

Дата: 2018-06-13 09:11:18

Источник: https://rvision.pro/blog-posts/2-5-situatsionnaya-osvedomlennost/