Как объединить людей, процессы и технологии для повышения киберустойчивости бизнеса

Бизнeс кoмпaнии ЛИГA:ЗAКOН пoстрoeн нa прeдoстaвлeнии клиeнтaм бeзoпaснoгo дoступa к инфoрмaциoннo-aнaлитичeским сeрвисaм в oблaчнoй срeдe. В нeкoтoрoм рoдe кибeрбeзoпaснoсть мoжнo считaть зaлoгoм успeшнoсти бизнeсa, пoэтoму oтнoшeниe к этoму вoпрoсу здeсь всeгдa былo пoдчeркнутo внимaтeльным. 

Нaпримeр, были внeдрeны ключeвыe тexнoлoгии зaщиты, тaкиe кaк:

  • тexнoлoгия зaщиты пeримeтрa сeти NG-FW Cisco FirePower;
  • систeмa бeзoпaснoгo удaлeннoгo дoступa VPN;
  • зaщитa кoнeчныx тoчeк с испoльзoвaниeм тexнoлoгии EDR — Cisco AMP.

Тaкжe в кoмпaнии былa рaзвeрнутa:

  • инфрaструктурa Microsoft сo всeми ключeвыми сeрвисaми;
  • виртуaльнaя инфрaструктурa;
  • внутрeнниe и внeшниe бизнeс-критичныe сeрвисы (core-бизнeс кoмпaнии);
  • срeдa рaзрaбoтки и пр.

Кoмпaния умeлa рeaгирoвaть нa прoстыe угрoзы, а назначение КБ была выделена и подчинена напрямую СЕО.

В целом но к моменту прихода в нашу бытие пандемии COVID 19 в соответствии с пирамидой киберустойчивости Octava Defence Союз:ЗАКОН находилась на первом уровне зрелости системы КБ. Древний подход к реализации функции КБ, тот или другой, тем не менее, соответствовал потребностям организации держи момент трансформации.

Все изменилось с наступлением новой реальности. Требований итак больше, а ресурсов меньше. И зато хорошо роль CISO как держателя систем КБ несравненно возросла, это влияние малограмотный результировало в автоматическое появление новых рычагов усиления функции киберзащиты и дополнительных бюджетов. 

К тому а появился дополнительный риск. Экстериоризация на дистанционную работу размыл граница, и статистика по инцидентам выразительно заявила о проблеме удаленных пользователей, «невыгодный прикрытых» существующими решениями КБ. 

3 сценария усиления функции КБ через ЛИГА:ЗАКОН

В этой ситуации Лукьяненко Сергуня, CISO ЛИГА:ЗАКОН, рассматривал сколько-нибудь альтернативных сценариев усиления функции КБ. 

Инвестируем в технические ресурсы защиты

Первый, самый азбучный, — продолжать инвестировать в технические собственность защиты. 

Его бесспорный плюс — видимость наращивания «оборонительной» реликвия. 

Минус — отлучка реального повышения качества реализации функции КБ. 

Действие в том, что распознавание сложных кибератак требует маловыгодный только технических средств защиты, однако и кибераналитиков, которые в наборе, получай первый взгляд, несвязанных событий смогут снять покров угрозу. В противном случае прием КБ остается «слепой». 

Начальственно также то, что комплексный администратор, IT-специалист или даже если специалист по системам киберзащиты неважный (=маловажный) всегда способен качественно совершать работу по анализу событий, выявлению потенциальных инцидентов, расследованию и реагированию.

Во (избежание этого необходимо иметь заметный опыт эксплуатации как базовых систем киберзащиты, просто так и более продвинутых (SOC-ready), знать толк в решениях инфраструктурного (Windows / Linux) и сетевого уровня (DNS, HTTPS, PROXY, DHCP, mail и т.д.).

Одна с ошибок многих компаний — вложить в технические средства, но ничуть не думать о том, Кто именно и КАК ЭФФЕКТИВНО будет сп с этими системами, решать появляющиеся проблемы и инциденты.

Создаем находящийся в личной собственности SOC

CISO ЛИГА:ЗАКОН в полной мере отдавал себя отчет, что не хочет настричь чемодан без ручки. Ему была нужна работающая режим, обеспечивающая киберустойчивость бизнеса. 

Суще знакомым с моделью Security Operational Center, которую в соответствии с праву считают лучшим способом консолидации усилий ровно по достижению киберустойчивости, Сергей Лукьяненко задумался о реализации собственного полноценного SOC. 

Его плюсы — полная эскиз событий, обнаружение сложных распределенных киберугроз в режиме реального времени, гальванотропизм на инциденты и устранение их причин и оставшиеся.

Минусы — отложенный отправная точка (до 6 месяцев) реальной реализации функции в новом усиленном формате, значительные вклады как в дополнительное оборудование, бесцельно и в расширение команды, которую с учетом дефицита кадров до сего времени попробуй собрать и удержать.

SOC в духе услуга

Все вышеперечисленные минусы нивелирует проплазма предоставления SOC в формате управляемой обслуживание. 

В то время наравне создание и обслуживание собственного SOC требует значительных финансовых, временных и человеческих ресурсов, которые далече не всегда доступны, SOC в формате управляемой служба от Octava Defence:

  • позволяет подниматься в воздух быстро;
  • превращает капитальные издержки в прогнозируемые операционные;
  • предоставляет посещение к технологиям, опытным специалистам, актуальным практикам и стандартам кибербезопасности;
  • учитывает индивидуальные особенности бизнеса заказчика.

SOC as a Service — интеллектуальная мезонин, которая не может заступить, но значительно усиливает и дополняет собственную службу КБ заказчика. Его сотрудники после-прежнему выполняют ключевую функция в вопросах эксплуатации технических средств защиты, в ведь время как профессиональные кибераналитики Octava Defence работают держи уровне журналов событий, сработок, которые сии технические средства генерируют. Выполняют нормализацию событий и удаление false/positive, специфический улучшение настроек технических средств перед потребности бизнеса клиента. Судьбоносный аспект — трансфер знаний, какой является неизбежным следствием сотрудничества. В такой мере или иначе, Octava Dеfence повышает мастерский уровень специалистов своих клиентов уникальными навыками в сфере КБ.

В случае Союз государств:ЗАКОН после ряда консультаций, оценки рисков и стоимости новых технических средств защиты, пишущий эти строки оцифровали все три сценария, выполнили оценку бюджета проекта. Сергею посчастливилось донести бизнесу преимущества модели SOC as a Service и сообразовать бюджет именно на данный сценарий.

Как Octava Defence усилила функцию КБ в Община:ЗАКОН

ЛИГА:ЗАКОН пользуется услугами SOC Octava Defence еще больше года. За сие время мы переместили систему КБ заказчика с первого уровня пирамиды киберустойчивости возьми второй с элементами третьего. Сие значит, что нами обеспечены наблюдаемость событий и находка потенциальных сложных угроз 24/7, гальванотропизм в проактивном режиме и предупреждение кибератак.

Таким образом, в разрезе трех составляющих SOC точь в точь экосистемы мы сделали следующее: 

  • Технологии. Повысили производительность использования существующих технических средств КБ и дополнили существующую инфраструктуру 3 решениями, необходимыми для того качественного перехода КБ-системы для более высокие уровни: Vulnerability management, EDR угоду кому) удаленных пользователей и Cyber Deception. 

  • Процессы. Смешанно с клиентом создали процедуры получения уведомлений, расследования и реагирования.  Осуществляем 24/7 наблюдение критичных сервисов (включая собрание журналов событий их промер и разработку контролей) и управление уязвимостями, уведомляем о потенциальных угрозах, проводим расследования и помогаем с реагированием получи инциденты, а также предоставляем ежемесячную отчетность. 

  • (потомки. Способствовали появлению четких функциональных зон (цена IT — обеспечение доступности сервисов; обязанности КБ — повышение безопасности и устойчивости бизнеса). Оптимизировали затрачивание на персонал через аутсорсинг квалифицированных кибераналитиков Octava Defence и за глазами затрат на набор, останавливание и развитие кибераналитиков ЛИГА:Указ. Повышаем компетенции специалистов Организация:ЗАКОН в формате обучения нате рабочем месте. 

Взаимное обаяние, которое оказывают три составляющих SOC, в случае их параллельного развития дают заслуживающий доверия результат — значительное долгосрочное крепчание киберустойчивости бизнеса вне зависимости с типов угроз. 

Риски могут переменяться, Octava Defence как телефонистка кибербезопасности создает системы КБ, которые могут конфронтировать значительно большему количеству и качеству потенциальных угроз и возникающих рисков.

В так же время проект продолжает развертываться в параллель развитию бизнеса Община:ЗАКОН, и этот процесс следует) что-то сделать оставаться перманентным. Защита через завтрашних целенаправленных атак — итог постоянной ежедневной работы кибераналитиков, сканирующих систему КБ и работающих по-над ее  улучшением.

Свяжитесь с нами, даже если такая задача актуальна на вашего бизнеса: infosec@octava.ua.

Сашура Волощук, СОО Octava Defence

Комментирование и размещение ссылок запрещено.

Обсуждение закрыто.