20 июля, 2018, BIS Journal №3(30)/2018

Второй SOC Сбербанка


Валуйских Сергей

управляющий директор – начальник (Центр киберзащиты Сбербанка)

Тюнинг или новая модель?

Модернизацию Security Operation Centre Сбербанка в самом Сбербанке называют одним из крупнейших в Европе и самым масштабным в России проектом трансформации SOC. Речь идёт не только о технологических новшествах, но и о вещах фундаментальных: внедряется абсолютно новая процессная модель, вводится новая оргштатная структура и, самое главное, меняется профессиональное сознание людей, так или иначе участвующих в проекте.

На вопросы ведущего рубрики "SOCи России" Александра Бодрика о причинах и предпосылках этой инициативы, структуре и взаимодействии SOC 2.0 со смежными подразделениями отвечает управляющий директор – начальник центра киберзащиты Сбербанка Сергей Валуйских.

ИСТОРИЯ, СТРУКТУРА И ЗАДАЧИ  

До последнего времени не вызывал сомнения тот факт, что SOC Сбербанка справляется со своими задачами и имеет запас прочности на несколько лет вперёд. Расскажите, пожалуйста, историю формирования SOC Сбербанка вообще и историю возникновения SOC 2.0 в частности?

- SOC в том или ином виде существует в банке давно, и пока Сбербанк был классическим банком, работающая в нём система кибербезопасности полностью соответствовала выдвигаемым требованиям.

Трансформация Сбербанка в серьезную и мощную технологическую компанию связанная с растущей диджитализацией, выходом на рынок цифровых услуг и созданием цифровых платформ, повлекла за собой необходимость перехода функции безопасности в новое качество. SOC, который до этого устраивал компанию, перестал отвечать на новые вызовы.

SOC 2.0 часто называют Intelligence-Driven SOC, однако чёткого определения не существует. Для кого-то это просто внедрение новых технологий, таких, как UBA (User Behavior Analytics). Для нас же это понятие выходит за рамки внешнего «тюнинга» и означает глубокую трансформацию на всех уровнях: в процессах, технологиях и, самое важное, в сознании людей.

Минимизация ущерба от масштабных инцидентов требует координации усилий многих подразделений. Какая структура у вашей службы кибербезопасности?

- В состав службы кибербезопасности входят крупные операционные подразделения, в первую очередь, центр киберзащиты и управление противодействия кибермошенничеству. Они полностью отвечают за инцидент-менеджмент и выполняют все оперативные функции реагирования на инциденты. В зону ответственности управления методологии кибербезопасности входит нормативная база — стандарты, регламенты, политики. Центр внутрикорпоративного взаимодействия — связующее звено между кибербезопасностью и бизнес-подразделениями банка. Управление экспертизы кибербезопасности участвует в разработке программных продуктов. Дирекция программ и проектов отвечает за реализацию проектов по кибербезопасности. Лаборатория кибербезопасности проводит перспективные исследования в области кибербезопасности.

Как структурирован сам SOC? В чём отличие структур и функционального назначения SOC и SOC 2.0?

- SOC Сбербанка географически распределён. Основные подразделения расположены в Москве, но существуют ещё четыре региональных сервисных центра. Все они имеют чёткую структуру:

Круглосуточная дежурная смена отвечает за мониторинг событий кибербезопасности и реагирование на инциденты в режиме 24/7.
Отдел реагирования на инциденты кибербезопасности, в котором трудятся высококвалифицированные эксперты, подключается, когда компетенций дежурной службы оказывается недостаточно.
Отдел киберугроз (Cyber Threat Intelligence) занимается аналитикой в сфере киберугроз и ранним предупреждением о рисках возникновения угроз и инцидентов.
Отдел средств защиты администрирует все системы, стоящие «в разрыв», то есть непосредственно влияющие на предоставление сервисов банка, к примеру, межсетевые экраны.
Отдел мониторинга сопровождает все остальные средства и системы защиты, например, все системы поддержки процессов SOC, такие как SIEM, Ticketing, Reporting и многие другие.

Основное отличие SOC и SOC 2.0 с точки зрения оргштатной структуры — в наличии подразделения Cyber Threat Intelligence. Оно должно заменить реактивную модель SOC на проактивную: пресечь возможный инцидент до его возникновения.

Занимается ли служба кибербезопасности мониторингом доступности и эффективности бизнес-процессов силами SOC?

- Эффективность — нет, но бизнес-метрики мониторим. Обеспечение доступности сервисов — одна из задач cлужбы кибербезопасности. И если, скажем, среднестатистический показатель числа пользователей, использующих Сбербанк Онлайн, вдруг резко уменьшается, это может быть признаком снижения доступности. Другой пример — при защите от DDoS-атак мы постоянно отслеживаем метрики доступности атакуемых систем.

Развитые SOC часто идут по пути технического улучшения, например, форензики, реверс-инжиниринга и киберразведки. Какие из этих практик применяются в Сбербанке?

- Все. Киберразведкой занимается, в частности, подразделение Cyber Threat Intelligence. Реверс-инжинирингом — отдел реагирования. Кстати, реверс-инжиниринг активно применялся при разборе нашумевших вирусных эпидемий WannaCry, NotPetya, Bad Rabbit, и используется ежедневно при реагировании на фишинговые атаки. Форензика входит в задачи отдела расследований центра киберзащиты, который привлекается для сбора цифровых доказательств в случае крупных, резонансных инцидентов. Кроме этого, в составе центра киберзащиты работает команда Red Team. Она производит постоянную оценку защищенности систем банка, тестируя их на проникновение. Это важное направление, которое является, в том числе элементом SOC 2.0.

Входит ли в SOC служба фрод-мониторинга?

- Сейчас нет, но с внедрением модели Fusion Сentre дежурная служба фрод-мониторинга войдет в его состав. Сейчас же дежурная служба SOC и фрод-мониторинга активно сотрудничают.

Многие крупные корпорации при создании SOC выносят операционное ядро в регионы, надеясь снизить затраты и получить доступ к менее конкурентным, чем московский, рынкам труда. Как распределяются по регионам подразделения вашего SOC?

- Как я уже отметил, SOC географически распределён. Частично это действительно связано с некоторой экономией, но это не единственная причина такого решения. В Москве часто приходится иметь дело с чем-то глобальным, а в регионах дефицит информации стимулирует желание разобраться в предмете детальнее.

На базе региональных SOC мы создаем центры компетенций, каждый из которых отвечает за определенную зону защиты (к примеру, периметр сети) и является уникальным подразделением в структуре SOC.

ТЕХНОЛОГИЧЕСКОЕ ОБЕСПЕЧЕНИЕ SOC

Сбербанк известен высокой степенью автоматизации SOC. Какие ключевые системы вы бы выделили? Чем в этом смысле отличается SOC 2.0?

- Применительно к SOC я бы выделил, в первую очередь, системы поддержки процессов SOC. Прежде всего, Ticketing System и Reporting System. Они полностью внедрены в SOC. Также сейчас мы активно внедряем Threat Intelligence Platform и Incident Response Platform — системы, которых не было в SOC и которые являются неотъемлемой частью SOC 2.0.

Главной проблемой баз данных управления конфигурации (Configuration Management Database) обычно является их быстро устаревающее наполнение. Как эта проблема решается у вас?

- Проблема присуща всем системам CMDB, особенно в компаниях с развитой инфраструктурой. Мы используем ту же CMDB, что и в IT. Уровень её актуальности достаточно высок и для её поддержания в IT выделено целое подразделение. Чтобы наполнение не устаревало, необходимо соблюдать своего рода «гигиенический» IT-минимум: каждый сотрудник как владелец определенного ресурса должен следовать инструкции и поддерживать свои записи в базе в актуальном состоянии. Это должно войти в привычку: внёс изменения — сделал запись. Иначе никакой отдел не поможет.

Для служб кибербезопасности характерна проблема приоритетности задач по доработке Service Desk для IT над задачами кибербезопасности. Вы используете общий с IT Service Desk или отдельный?

- Для работы с инцидентами кибербезопасности мы используем свою тикетинг- систему, о которой я уже говорил. Почему свою? В рамках проекта модернизации SOC в условиях сжатых сроков и необходимости автоматизации многих процессов было необходимо динамично её дорабатывать. Это очень сложно, когда вы не являетесь владельцем системы. Кроме того, в силу специфики, доступ к нашей информации должен быть ограничен для остальных сотрудников. В одном решении сложно соблюсти все условия, поэтому пока используем своё. Возможно, в будущем, если мы найдем продукт, который удовлетворит требованиям обоих подразделений, ИБ и IT, в том числе по разграничению прав доступа, мы сможем использовать общее решение.

Ведёте ли вы разработку ПО для потребностей SOC?

- Да. Как я уже говорил, Сбербанк — высокотехнологичная компания, и это касается и кибербезопасности. У нас есть команды разработчиков, которые занимаются только нашим специализированным ПО.

Используются ли решения на базе Open Source?

- Да, как основу для ряда решений мы используем компоненты открытого программного обеспечения. В дальнейшем мы конечно их кастомизируем, но как база они активно используются.

Как вы решаете проблему контроля регионов, учитывая слабые каналы связи там?

- Все подразделения банка работают онлайн с централизованными IT-системами, поэтому проблемы каналов связи у нас нет.

ПРОЦЕССЫ РАБОТЫ SOC

Как распределяются полномочия в SOC в рамках мониторинга угроз?

- Основная нагрузка выпадает на дежурную смену, которая состоит из трёх линий. На первой линии проводится, собственно, мониторинг угроз. Анализируется подозрение на инцидент на предмет ложного срабатывания и, в случае реальной угрозы, заводится инцидент и передается на вторую линию. Вторая линия занимается категоризацией и маршрутизацией инцидентов. Нужно правильно определить приоритет и направить его в соответствующую группу реагирования. Зачастую инцидент происходит на стыке групп реагирования, и важно понять, какая из групп должна взять инцидент в работу. Третья линия непосредственно реагирует на инцидент.

Какой ролевой модели работы вы придерживаетесь? Изменится ли она с появлением SOC 2.0?

- Помимо этих трёх линий есть определенная модель эскалации инцидента, когда подключаются более квалифицированные специалисты, руководство. Есть дополнительные роли, связанные с Threat Intelligence и Use Case Management, работающие с проактивной компонентой реагирования. Именно последнее, на мой взгляд, и является признаком SOC 2.0 с точки зрения ролей.

Какие основные критерии влияют на решение о критичности инцидента?

- У нас разработана политика реагирования на инциденты. Есть матрицы принятия решений как по приоритетам, так и по эскалациям. Критериев много. Основные из них связаны с ущербом — потенциальным или реальным. Пока влияние потенциальное, мы работаем в нижнем диапазоне приоритетов (низкий, средний, высокий). При реальном влиянии на сервис банка приоритет синхронизируется с приоритетом соответствующего ИТ-инцидента. В случае реального влияния возможен переход в верхний диапазон приоритетов (очень важно, критический, широкомасштабный).

Насколько у вас высок уровень формализации процессов?

- Все процессы в SOC подробно расписаны и формализованы. Все действия сотрудников тоже стандартизованы: заводится инцидент, фиксируется время и действия. Это важно, в том числе для оценки операционных показателей работы SOC и сбора статистики для принятия управленческих решений, корректировки деятельности, повышения эффективности.

Сейчас очень популярна тема обмена информацией (Data Sharing). Происходит ли у вас такой обмен?

- Обязательно. После прошлогодних мощных атак все поняли: только объединив усилия, можно эффективно противостоять угрозам, и информационный голод — самое страшное в таких обстоятельствах. Реагируя на тот или иной инцидент, в отчёте по угрозе мы формируем открытую и закрытую части. Открытая часть может использоваться для распространения. Мы подписали соглашения по взаимодействию со многими организациями, чтобы обмениваться информацией.

О КАДРАХ И НОУ-ХАУ

Как в SOC решается кадровый вопрос? Чем мотивируете, удерживаете людей, как развиваете потенциал сотрудников?

- Проблема дефицита технических специалистов стоит довольно остро, особенно для крупных подразделений кибербезопасности. Но если человек к нам попадает,  Сбербанку есть чем его удержать — интересные проекты и задачи сами по себе неплохо мотивируют. Кроме того, у нас предусмотрена программа обучения и сертификации специалистов, причём обязательная. Сбербанк заключил соглашения с несколькими крупными вузами — это один из источников поиска сотрудников среди молодых специалистов.

Как происходит набор людей для SOC 2.0?

- В SOC 2.0 используются уникальные технологии, пока не очень распространенные в России, поэтому в основном мы используем собственные кадровые ресурсы. Кроме того, мы сотрудничаем с крупными производителями решений, в том числе в части обучения сотрудников.

Какие ноу-хау, присущие только Сбербанку, используются в работе SOC и SOC 2.0?

- У нас есть ряд уникальных проектов, в том числе в области искусственного интеллекта и обработки больших данных, но на сегодняшний день основное ноу-хау — это люди. В прошлом году команда кибербезопасности создала очень серьезную, проработанную до мелочей процессную модель. В ходе работы над ней изменилась профессиональная культура команды. Мы считаем это важным достижением, которое повлияет на наше развитие в будущем.