Быстро реагировать на киберугрозы, комплексно защищать компьютерные сети и управлять безопасностью организации в режиме реального времени – лишь малая часть задач, которые решают с помощью SOC . Какие люди и технологии стоят за обеспечением безопасности и как компании приступить к внедрению этого инструмента, разбираемся в статье.
Определение и задачи SOC
SOC (Security Operations Center, или Центр обеспечения безопасности) – то, что объединяет людей, процессы и технологии в достижении глобальной цели: снижение рисков через повышение киберзащиты в организации. Но прежде всего SOC – это команда экспертов по безопасности, которые вооружены технологиями обнаружения, анализа, подготовки отчетов и предотвращения киберугроз.
SOC можно сравнить с работой команды пожарных или медиков на скорой помощи. Киберспециалисты в SOC, как и сотрудники экстренных служб, помогают в чрезвычайной ситуации: оперативно появляются в нужном месте, анализируют угрозы и принимают соответствующие меры. Еще их объединяет стремление не допустить подобные инциденты.
SOC – это непрерывные потоки информации, которые обрабатывают и компьютерные системы, и эксперты
Задачи SOC
- Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
- Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
- Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
- Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.
Самое трудоемкое в работе SOC – постоянно анализировать большие объемы данных. Центр обеспечения безопасности собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности ежедневно. Не забываем, что все это контролируют эксперты: они включаются в работу, когда нужно решить, что делать с найденной угрозой.
Зачем SOC нужен компаниям?
Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.
Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно. Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю.
Подразделения организации совместно решают вопросы безопасности. Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения.
Сокращаются риски для организации. Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки.
Снижаются затраты на кибербезопасность. Неважно, что вы защищаете: небольшой ЦОД , облачную инфраструктуру или гибридную среду – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности.
Как внедрить SOC в организации
Создание современного Центра обеспечения безопасности требует намного большего, чем просто поиск подходящего оборудования и специалистов. Работа над SOC превратится в непрерывный процесс, он поможет организации оперативно реагировать на постоянно возникающие угрозы безопасности, идти в ногу с технологиями и создавать комфортную среду, в которой легко поддерживать безопасность и производительность. С чего начать?
Оцените потенциал организации
Перед тем, как строить собственный Центр обеспечения безопасности, оцените потенциал организации и составьте подробный план по рискам. Приготовьтесь к тому, что столкнетесь с непрерывным потоком предупреждений о безопасности, в том числе ложных. А команда экспертов будет перегружена данными об угрозах и не всегда сможет эффективно их нейтрализовать и предупреждать.
Чтобы оценить потенциальные угрозы, ответьте на три ключевых вопроса:
Какие угрозы опасны для бизнеса?
Как выглядит каждая из этих угроз?
Как SOC будет их обнаруживать и блокировать?
Организация должна быть заинтересована в том, чтобы определить источники данных, которые помогут оперативно обнаруживать, блокировать и в будущем предупреждать угрозы. Основная информация поступает через события безопасности и сетевую активность, средства анализа угроз, инструменты авторизации. Дальше они попадают на платформу разведки безопасности, которая консолидирует сведения об угрозах, сопоставляет, идентифицирует и предупреждает о них экспертов SOC. И на последнем этапе в работу включается система управления и регистрации тикетов.
Помните о том, что нет организаций с неограниченными ресурсами для постоянной поддержки SOC. Рабочая нагрузка на Центр будет расти, и вам придется разрабатывать свои инструменты, которые позволят как минимум различать реальные и ложные инциденты безопасности.
Приготовьтесь к тому, что информационная нагрузка на экспертов увеличится
Соберите команду экспертов
Работа команды экспертов по безопасности зависит от организации, ее целей и потребностей. Это может быть служба безопасности, постоянная команда внутри организации, внешняя команда ИТ-специалистов и специалистов по кибербезопасности или комбинированный вариант.
В Центр обеспечения безопасности следует нанимать квалифицированный и сертифицированный персонал. Так как проблемы и угрозы постоянно меняются, вам нужны люди, которые быстро учатся, легко адаптируются и могут мыслить нестандартно там, где нужно оперативно принимать решения. Лучше всего привлекать в SOC действующих сотрудников из IT-подразделения.
Будьте в курсе новых угроз
Следите за тенденциями в среде компьютерной безопасности и держите руку на пульсе актуальных отраслевых практик. Старайтесь в числе первых узнавать о новых угрозах и обеспечьте необходимыми знаниями и навыками команду Центра. Методы обнаружения и защиты, которые были эффективными два-три года назад, вероятно, потеряли актуальность и не соответствуют текущим угрозам.
Разработайте модель работы SOC
SOC может работать централизованно или децентрализованно. В первом случае в Глобальный центр обеспечения безопасности (GSOC) компании из отдельных офисов поступают оповещения, видео с камер наблюдения и другая разведывательная информация. В децентрализованной модели региональные SOC функционируют обособленно и передают в главный офис только важную информацию. В любом случае вам нужно установить тесные связи между командами экспертов по безопасности, сотрудниками IT и других подразделений.
Обеспечьте инфраструктуру для поддержки SOC
Оборудование для SOC включает системы контроля доступа, системы обнаружения вторжений, консоли и другое оборудование, а связующим звеном выступает специализированное программное обеспечение. Полностью укомплектованный Центр обеспечения безопасности должен работать в режиме 24/7, иначе в нем нет смысла.
Из инструментов для реализации SOC потребуются:
- Инструменты сбора данных.
- Решения для защиты конечных устройств.
- Решения для обеспечения безопасности информации и управления событиями (SIEM) .
- Инструменты оркестровки и автоматизации безопасности.
Удобно использовать их не по отдельности, а комплексно, предварительно интегрировав в бизнес-процессы организации.
Если вы серьезно настроены на внедрение SOC, рекомендуем ознакомиться с электронной книгой Ten Strategies of a World-Class Cybersecurity Operations Center Карсона Циммермана. Обратите внимание на Приложение В с тестом «Нужен ли вам SOC?». Уделите ему 20 минут, и вы поймете, чего стоит ожидать от Центра обеспечения безопасности и насколько вы готовы к его внедрению.
«ИТ Гильдия» предлагает внедрение услуги «Управление обеспечением безопасности» — приложение от ServiceNow поможет выявлять и оперативно реагировать на инциденты безопасности и уязвимости. Оформите заявку на сайте компании, и наши эксперты ответят на интересующие вопросы.
Также рекомендуем к прочтению: Как SecOps превращается в инструмент поддержки любых бизнес-операций