Николай Нашивочников
Заместитель генерального директора — технический директор ООО «Газинформсервис»
Автоматизация в SOC
синергия людей и систем
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
Несмотря на рост уровня автоматизации в центрах мониторинга (SOC), аналитики по кибербезопасности перегружены постоянными предупреждениями, сработками от разных систем мониторинга. Эта проблема усугубляется непрерывной интеграцией с новыми источниками данных, которые генерируют дополнительные предупреждения о безопасности, и, конечно же, ситуация еще больше ухудшается за счет существующей нехватки квалифицированных аналитиков.
На ближайшие 12 месяцев я прогнозирую дальнейший рост уровня автоматизации мониторинга ИБ в SOC
Однако хочу обратить внимание коллег на то, что такой уровень и такое количество сообщений на одного оператора в SOC приводит к тому, что у аналитиков снижается уровень концентрации. Рискну предположить, что в какой-то момент в течение года каждый руководитель SOC или даже начальники служб по обеспечению безопасности могут столкнуться с таким явлением, как пропуск предупреждений или игнорирование сообщений о безопасности линейным персоналом. Это, по сути, обратная сторона медали: мы сводим все источники и все сообщения в единый центр мониторинга, нам так удобнее администрировать ИБ. Хорошие BI-системы для управления данными мало где внедрены, не стоит забывать, что конечный пользователь — человек, и у оператора может сформироваться своеобразный иммунитет к «спаму».
Предположим, что какое-то средство защиты информации «шумит» или иногда выдает ложные срабатывания — аналитик перестает обращать внимание, бывает, что и отключает уведомления, из-за чего в ключевой момент бизнес пропускает атаку. Поэтому, я считаю, что в этом году нам всем необходимо подумать над повышением эффективности операций в SOC путем объединения человеческого опыта и интуиции с мощью и скоростью автоматизированных систем.
На пути решения проблемы есть несколько препятствий: во-первых, это недостаточный уровень знаний и навыков работы с системами мониторинга у молодых кадров в ИБ, во-вторых, это недостаток человеко-ориентированных интерпретаций получаемых сообщений.
По сути, существующие метрики оценки эффективности работы СЗИ для специалиста ИБ уровня L1 слишком абстрактные, особенно это заметно в оценках, которые выдают анализаторы с машинном обучением под капотом. То, что очевидно для специалиста Data Science или аналитика кибербезопасности с большим набором компетенций и опытом, невозможно требовать от оператора на первой линии.
Итак, мы приходим к выводу, что в SOC должны внедряться технологии для поддержки принятия решения специалистом с невысоким уровнем базовой подготовки в кибербезопасности. Также необходимо научиться преодолевать разрыв в уровне подготовки новых кадров с тем, что на самом деле сейчас требуется от киберзащитников. И я вижу, что в ближайшей перспективе на эту задачу многие крупные игроки на рынке ИБ обратят свое пристальное внимание.
“
Рискну предположить, что в какой-то момент в течение года каждый руководитель SOC или даже начальники служб по обеспечению безопасности могут столкнуться с таким явлением, как пропуск предупреждений или игнорирование сообщений о безопасности линейным персоналом
Чтобы преодолевать разрыв между уровнем базовой подготовки операторов L1 в SOC и держать аналитика в курсе событий, я считаю, что для SOC-операторов всех линий необходимо проводить регулярные тренировки. И я вижу идеальным решением киберигры, кибербитвы, киберчемпионаты, на которых операторы (по сути, киберзащитники) должны сами настраивать средства защиты информации, выбирать источники данных и оценивать эффективность и качество СЗИ, которые они выбирают для тренировочной кибербитвы.
Это важно, так как традиционно в центрах мониторинга установкой и настройкой СЗИ занимаются инженеры, не операторы и не аналитики. И это становится причиной разрыва в уровне компетенций. Если оператор не знает и не понимает, как работает СЗИ, то он принимает ошибочные решения на основе тех данных о событиях безопасности, которые видит на мониторе.
Прогнозы на этот год следующие:
- Рост автоматизации в SOC и, как следствие — рост автоматизации в отечественных средствах защиты информации.
- Появление новых технологий поддержки принятия решений в SOC, ориентированных на специалиста с низким уровнем компетенций в ИБ.
- Развитие кибербитв и киберчемпионатов, разворот стратегий соревнований от прокачивания навыков атакующих к тренировкам защитников.
- Объединение усилий специалистов по разработке, исследователей и аналитиков для достижения синергетического эффекта и решения текущих проблем.
Прогноз на 3 года
Киберустойчивость в эпоху революции цифровых платформ
В прогнозе на горизонт одного года выделил этапы модернизации, больше связанные с автоматизацией процессов обнаружения и с автоматизацией обработки киберинцидентов. Считаю, что основная цель развития центров в краткосрочный период — это увеличение производительности. Но в горизонте трех лет рискну предположить, что количество атак будет еще боль расти, и на новый уровень выйдет и объем атак со стороны хактивистов. Одновременно будет возрастать и критичность киберинцидентов, в итоге фокус внимания бизнеса и профессионального ИБ-сообщества сместится на скорость обнаружения, точнее, совсем скоро время обнаружения и реагирования на киберинциденты станет ключевым фактором в обеспечении информационной безопасности.
По сути, будут приниматься меры в ответ на изменение характера атак (ландшафта угроз): от вымогателей к хактивистам. Параллельно будут развиваться цифровые платформы, все больше бизнес-процессов, сервисов, связанных с обеспечением жизнедеятельности государства и общества, будут зависеть от уровня доступности цифровых сервисов, платформ, важным показателем станет киберустойчивость в информационной безопасности.
Рассмотрим два вектора развития событий: положительный и отрицательный.
- Положительный вектор
Современный цифровой мир на данном этапе идет в сторону развития технологии искусственного интеллекта для решения рутинных задач: для SOC на горизонте трех лет — это развитие методов обучения моделей машинного обучения на децентрализованных данных, так называемое федеративное обучение, внедрение ИИ-помощников и ассистентов для поддержки принятия решения аналитиками ИБ в целях обучения кадров и снижения «порога входа» для новичков.
Предположу, что через пару лет мы увидим «нулевую» линию мониторинга событий безопасности, на которой будет находиться машина, а оператору первой линии в свою очередь на вход будут подаваться лишь сообщения об аномалиях в поведении объектов наблюдения или потенциально критичные события информационной безопасности, которые требуют дальнейшего анализа и масштабной реакции со стороны системы. То есть та модель, которая сейчас есть у аналитиков на второй линии, перейдет на первую, а вот мониторинговые функции с первой линии будут отданы на откуп технологиям.
Также уверен, что уже скоро мы увидим, как оператор или аналитик советуется с ИИ — ассистентом по разным вопросам: определение, является ли аномалия следствием осуществления атаки злоумышленником или нет, в случае если факт атаки подтвержден, получение рекомендации по реагированию на инцидент или эскалированию реагирования на следующую линию с предобогащением карточки инцидента контекстом из разных систем.
- Отрицательный вектор
Главная проблема, с которой столкнутся разработчики технологий для SOC-центров в течение трех лет, — это нехватка данных для обучения моделей, так как имеющиеся на данный момент открытые датасеты не способны отразить полную картину действий злоумышленника, а сами данные собраны без учета спецификации инфраструктур, с которыми мы работаем. Поэтому если не появятся свои наборы, то не появятся и свои качественные и доверенные технологии искусственного интеллекта в информационной безопасности.
Еще одна проблема, которая обращает на себя внимание, — это негативное влияние от делегирования задач аналитиков машине (ИИ-технологиям)
Представим, что система для мониторинга дала сбой или была сама атакована злоумышленником. С начала этого периода и до момента, когда это заметят специалисты ИБ, будут пропущены аномальные события или будут созданы ложные события, что послужит причиной потери киберустойчивости в конечном счете. А последствия атаки могут нанести вред, который будет измеряться не только финансовыми потерями, но и человеческими жизнями.
С этим что-то надо делать, это новый вид угроз информационной безопасности. Думаю, нам предстоит многое проанализировать, создать, придумать для обеспечения безопасности самих технологий искусственного интеллекта в ближайшие три года.
В общем, предлагаю верить в лучшее, но готовиться к худшему, объединять усилия для оперативного решения новых задач.
