Корпоративный Центр кибербезопасности (далее – ЦК) предназначен для мониторинга информационной безопасности (далее – ИБ) корпоративной информационной системы и технологических информационных систем (при наличии).

Организационная структура, регламент работы, функции и задачи ЦК, перечень и назначение его программных компонентов соответствуют требованиям Приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 25.07.2023 № 130.

На протяжении 5 лет наша команда продвигала концепцию Центров управления информационной безопасностью (ЦУИБ), опирающуюся на автоматизацию процессов детектирования инцидентов ИБ (на базе решений класса SIEM (Security Information and Event Management) и реагирования на инциденты ИБ (на базе решения класса SOAR (Security Orchestration, Automation and Response)).

Сегодня опыт, накопленный при внедрении связки SIEM+SOAR в составе ЦУИБ, успешно используется нами при создании ЦК. Этот опыт лег в основу разработанной компанией концепции создания ЦК, включающей две стратегии:

ЦКБыстро!

ЦКПлавно

Обе стратегии предполагают создание полноценного Центра кибербезопасности в течение двух лет.

При этом реализация стратегии «ЦКБыстро» позволяет за 6 месяцев спроектировать информационную систему (далее – ИС) ЦК, развернуть, настроить и интегрировать ее компоненты, разработать необходимую эксплуатационную документацию и регламенты, обучить персонал эксплуатации, спроектировать, создать и аттестовать систему защиты информации (далее – СЗИ) ИС ЦК, подготовить ЦК к аттестации.

На практике предлагается несколько вариантов реализации ЦК:

  1. ЦК в одном шкафу (под ключ).
  2. Развертывание программных компонентов ЦК на оборудовании заказчика.
  3. Смешанный вариант (часть оборудования ЦК поставляется компанией, другая часть – предоставляется заказчиком).

При разработке архитектурного решения ЦК мы определяем объем необходимых лицензий для средств защиты информации и других программных компонентов, а также потребность в вычислительных ресурсах.

Модель «ЦК в одном шкафу» предполагает поставку единого программно-аппаратного комплекса с настройкой программных компонентов, в который, в том числе, могут быть включены автоматизированные рабочие места персонала ЦК.

Заказчику в данном варианте реализации ЦК необходимо обеспечить подключение шкафа к локальной вычислительной сети организации, позаботиться об электропитании шкафа и отводе тепла (при необходимости исходные данные для создания инженерных подсистем могут быть предоставлены в ходе проектирования ЦК).

Примерный перечень оборудования, входящего в шкаф:

  • Сервер;
  • Система хранения данных;
  • Коммутатор;
  • Межсетевой экран;
  • Источник бесперебойного питания.

Модель «ЦК на оборудовании заказчика» предполагает, что проектирование ЦК осуществляется с учетом предоставленных заказчиком вычислительных ресурсов.

Вне зависимости от варианта реализации аппаратная составляющая ЦК проектируется минимум на 3-х физических серверах и системе хранения данных (далее – СХД), объединенных в отказоустойчивый кластер, что позволяет функционировать ЦК без потери производительности даже при выходе из строя одного из серверов.

Программная часть ЦК строится на системе виртуализации. Виртуальные машины и хранилище данных располагаются на отдельной СХД, что обеспечивает более надежное хранение данных и позволяет создать отказоустойчивый кластер.

Для резервирования информации ЦК предусмотрен сервер резервного копирования.

Подключение серверов и СХД выполняется по отказоустойчивой схеме, это же требование реализуется для межсетевых экранов и подключения ЦК к локальной вычислительной сети организации.

Независимо от варианта реализации мы рекомендуем отделять оборудование ЦК от действующей ИТ-инфраструктуры, в том числе не допускать размещение на оборудовании ЦК решений, не имеющих отношение к функционированию ЦК.

Процесс создания Центра Кибербезопасности в соответствии с концепцией «ЦКБыстро!» разбивается на следующих 3 этапа:

1 Первый этап включает поставку, установку и настройку систем класса SIEM и SOAR. Развертывание этих систем и их интеграция между собой уже на начальном этапе позволят автоматизировать такие функции ЦК, как сбор, обработка, накопление, систематизация и хранение сведений о событиях ИБ и данных о киберинцидентах, поступающие от объектов информационной инфраструктуры, мероприятий по выявлению и регистрации киберинцидентов. Данный этап можно выполнять на тестовом оборудовании (если оборудование ЦК еще не приобретено) с последующим переносом систем и данных на основное оборудование.

2 На втором этапе выполняется поставка и настройка платформы управления информацией об угрозах (Threat Intelligence Platform), ее интеграция с уже имеющимися системами ЦК, проектирование СЗИ ИС ЦК. Данный этап также подразумевает развитие систем SIEM и SOAR путем добавления источников информации, устранения false positive, разработки и отладки сценариев реагирования.

3 На третьем этапе внедряем и формируем процессы, связанные с «песочницей» и сканером, создаем и аттестуем СЗИ ИС ЦК.

Затем аттестованный ЦК переводится в режим функционирования, в ходе которого персонал эксплуатации при нашей консалтинговой поддержке продолжает работы по тщательной отладке процессов, подключению объектов мониторинга, разработке новых правил корреляции, совершенствованию регламентов, повышению квалификации персонала эксплуатации и т.д.

Стратегия «ЦКПлавно» предполагает создание ЦК в срок до двух лет путем постепенного приобретения и внедрения необходимых программных компонентов, отладки их функционирования, интеграции и подготовки персонала эксплуатации. Эта стратегия позволяет распределить во времени необходимые инвестиции, уделить больше внимания отладке каждого компонента, однако увеличивает интервал времени, через который ЦК может перейти в режим полноценного мониторинга ИБ.

Стратегии «ЦКБыстро!» и «ЦКплавно» содержат также рекомендации по последовательности и темпам набора и подготовки специалистов команды эксплуатации ЦК.

Обе стратегии предполагают, что работы по проектированию и созданию ЦК выполняются вместе со специалистами заказчика, входящими в команду эксплуатации ЦК. На каждом из этапов со специалистами заказчика проводятся теоретические и практические занятия, а по окончании соответствующего этапа – тестирование знаний и навыков.

В рамках технической поддержки ЦК мы обеспечиваем поставку и проведение обновлений программных компонентов ЦК, оказываем консультационную помощь по вопросам его эксплуатации.