EN

Что такое SOC и для чего он нужен компаниям

Быстро реагировать на киберугрозы, комплексно защищать компьютерные сети и управлять безопасностью организации в режиме реального времени – лишь малая часть задач, которые решают с помощью SOC. Какие люди и технологии стоят за обеспечением безопасности и как компании приступить к внедрению этого инструмента, разбираемся в статье. 

 Определение и задачи SOC

SOC (Security Operations Center, или Центр обеспечения безопасности) – то, что объединяет людей, процессы и технологии в достижении глобальной цели: снижение рисков через повышение киберзащиты в организации. Но прежде всего SOC – это команда экспертов по безопасности, которые вооружены технологиями обнаружения, анализа, подготовки отчетов и предотвращения киберугроз.

SOC можно сравнить с работой команды пожарных или медиков на скорой помощи. Киберспециалисты в SOC, как и сотрудники экстренных служб, помогают в чрезвычайной ситуации: оперативно появляются в нужном месте, анализируют угрозы и принимают соответствующие меры. Еще их объединяет стремление не допустить подобные инциденты.

SOC – это непрерывные потоки информации, которые обрабатывают и компьютерные системы, и эксперты

Задачи SOC

  • Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
  • Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
  • Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
  • Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.

Самое трудоемкое в работе SOC – постоянно анализировать большие объемы данных. Центр обеспечения безопасности собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности ежедневно. Не забываем, что все это контролируют эксперты: они включаются в работу, когда нужно решить, что делать с найденной угрозой.

Зачем SOC нужен компаниям?

Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.

Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно. Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю. 

Подразделения организации совместно решают вопросы безопасности. Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения. 

Сокращаются риски для организации. Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки. 

Снижаются затраты на кибербезопасность. Неважно, что вы защищаете: небольшой ЦОД, облачную инфраструктуру или гибридную среду  – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности. 

 Как внедрить SOC в организации

Создание современного Центра обеспечения безопасности требует намного большего, чем просто поиск подходящего оборудования и специалистов. Работа над SOC превратится в непрерывный процесс, он поможет организации оперативно реагировать на постоянно возникающие угрозы безопасности, идти в ногу с технологиями и создавать комфортную среду, в которой легко поддерживать безопасность и производительность. С чего начать?

Оцените потенциал организации

Перед тем, как строить собственный Центр обеспечения безопасности, оцените потенциал организации и составьте подробный план по рискам. Приготовьтесь к тому, что столкнетесь с непрерывным потоком предупреждений о безопасности, в том числе ложных. А команда экспертов будет перегружена данными об угрозах и не всегда сможет эффективно их нейтрализовать и предупреждать.

Чтобы оценить потенциальные угрозы, ответьте на три ключевых вопроса: 

Какие угрозы опасны для бизнеса?

Как выглядит каждая из этих угроз?

Как SOC будет их обнаруживать и блокировать?

Организация должна быть заинтересована в том, чтобы определить источники данных, которые помогут оперативно обнаруживать, блокировать и в будущем предупреждать угрозы. Основная информация поступает через события безопасности и сетевую активность, средства анализа угроз, инструменты авторизации. Дальше они попадают на платформу разведки безопасности, которая консолидирует сведения об угрозах, сопоставляет, идентифицирует и предупреждает о них экспертов SOC. И на последнем этапе в работу включается система управления и регистрации тикетов. 

Помните о том, что нет организаций с неограниченными ресурсами для постоянной поддержки SOC. Рабочая нагрузка на Центр будет расти, и вам придется разрабатывать свои инструменты, которые позволят как минимум различать реальные и ложные инциденты безопасности.

 Приготовьтесь к тому, что информационная нагрузка на экспертов увеличится

 Соберите команду экспертов

Работа команды экспертов по безопасности зависит от организации, ее целей и потребностей. Это может быть служба безопасности, постоянная команда внутри организации, внешняя команда ИТ-специалистов и специалистов по кибербезопасности или комбинированный вариант. 

В Центр обеспечения безопасности следует нанимать квалифицированный и сертифицированный персонал. Так как проблемы и угрозы постоянно меняются, вам нужны люди, которые быстро учатся, легко адаптируются и могут мыслить нестандартно там, где нужно оперативно принимать решения. Лучше всего привлекать в SOC действующих сотрудников из IT-подразделения.

 Будьте в курсе новых угроз

Следите за тенденциями в среде компьютерной безопасности и держите руку на пульсе актуальных отраслевых практик. Старайтесь в числе первых узнавать о новых угрозах и обеспечьте необходимыми знаниями и навыками команду Центра. Методы обнаружения и защиты, которые были эффективными два-три года назад, вероятно, потеряли актуальность и не соответствуют текущим угрозам.

Разработайте модель работы SOC

SOC может работать централизованно или децентрализованно. В первом случае в Глобальный центр обеспечения безопасности (GSOC) компании из отдельных офисов поступают оповещения, видео с камер наблюдения и другая разведывательная информация. В децентрализованной модели региональные SOC функционируют обособленно и передают в главный офис только важную информацию. В любом случае вам нужно установить тесные связи между командами экспертов по безопасности, сотрудниками IT и других подразделений.

Обеспечьте инфраструктуру для поддержки SOC

Оборудование для SOC включает системы контроля доступа, системы обнаружения вторжений, консоли и другое оборудование, а связующим звеном выступает специализированное программное обеспечение. Полностью укомплектованный Центр обеспечения безопасности должен работать в режиме 24/7, иначе в нем нет смысла. 

Из инструментов для реализации SOC потребуются:

  • Инструменты сбора данных.
  • Решения для защиты конечных устройств.
  • Решения для обеспечения безопасности информации и управления событиями (SIEM).
  • Инструменты оркестровки и автоматизации безопасности.

Удобно использовать их не по отдельности, а комплексно, предварительно интегрировав в бизнес-процессы организации. 

Если вы серьезно настроены на внедрение SOC, рекомендуем ознакомиться с электронной книгой Ten Strategies of a World-Class Cybersecurity Operations Center Карсона Циммермана. Обратите внимание на Приложение В с тестом «Нужен ли вам SOC?». Уделите ему 20 минут, и вы поймете, чего стоит ожидать от Центра обеспечения безопасности и насколько вы готовы к его внедрению. 

«ИТ Гильдия» предлагает внедрение услуги «Управление обеспечением безопасности» — приложение от ServiceNow поможет выявлять и оперативно реагировать на инциденты безопасности и уязвимости. Оформите заявку на сайте компании, и наши эксперты ответят на интересующие вопросы.  

Также рекомендуем к прочтению: Как SecOps превращается в инструмент поддержки любых бизнес-операций

Оставайтесь в курсе событий

Подписывайтесь на рассылку новых материалов блога по почте

Нажимая на кнопку «Отправить», Вы соглашаетесь с условиями «Политики конфиденциальности»
Cookie.
Мы используем файлы cookie для оптимизации скорости и содержания сайта, персонализации сервисов и удобства пользователей.