SOC (Security Operations Center) выступает как центр противодействия кибератакам на любом этапе инцидента, от разведки и выявления интереса злоумышленников к компании до реагирования и ликвидации последствий.
Автор: Максим Степченков, совладелец компании RuSIEM
Одно из важнейших преимуществ SOC заключается в осуществлении непрерывного контроля всей инфраструктуры компании. Ведь главный вопрос заключается не в том, взломают вас или нет, а в том, когда это произойдет. Рост количества информационных систем и сложность используемых технологий рождает проблему одновременного контроля множества каналов, а также организации централизованной обработки и хранения данных о вторжениях и киберугрозах. Атаки стали более комплексными, в связи с чем требуется введение определенных бизнес-процессов и увеличение их скорости – самые критичные активы необходимо защищать в первую, но не единственную очередь.
В настоящее время SOC бывают собственными, гибридными и аутсорсными. SOC – единый механизм, который держится на трех базовых принципах: команда, процессы (функционал), технологии.
Чем занимается команда:
К процессам относятся:
К технологиям относятся:
К задачам можно отнести:
Ядром SOC, как правило, выступает SIEM-система, так как решения именно этого класса позволяют анализировать огромные объемы данных в режиме реального времени. Для минимизации человеческого фактора при расследовании и реагировании на инциденты подходят IRP- и SOAR-системы. Они позволяют автоматизировать процесс реагирования на инциденты и предоставляют наборы плейбуков (шаблонов с рекомендациями по реагированию), которые существенно облегчают работу Incident Response – команды.
То есть в первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. После того как этот этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии центра управления информационной безопасностью. Если в Security Operations Center правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен.
Говоря о повышении эффективности работы SOC, необходимо отметить, что одними из наиболее значимых инструментов являются SOAR-системы, так как они предлагают множество техник для автоматизации процесса реагирования.
Своевременное выявление инцидентов информационной безопасности и оперативное реагирование на них является важнейшей задачей для компаний из любой сферы деятельности. Финансовые организации, безусловно, больше подвержены хакерским атакам, так как представляют наибольший интерес для злоумышленников. Именно поэтому построение единого центра реагирования и управления информационной безопасностью может стать эффективным решением для финансовой организации.
На текущий момент на базе SIEM-системы RuSIEM построены несколько коммерческих SOC, предлагаемых на рынке ПАО "МегаФон", Эр-Телеком, Калуга Астрал и Информационный Центр. Решения внедрены у ряда заказчиков и успешно выполняют поставленные задачи.
Что касается полноценных альтернатив SOC, то их практически нет. Даже если заказчик внедряет SIEM-систему для выявления и расследования инцидентов ИБ – это уже не столько альтернатива, сколько первый шаг к построению своего SOC.
Существует несколько причин, почему наблюдается рост интереса именно к коммерческим SOC.
В ноябре 2022 г. компания RuSIEM официально выпустила новый модуль собственной разработки RuSIEM Monitoring, который позволяет контролировать работу ИТ-решений заказчиков. С его помощью можно следить за параметрами всех компонентов, оповещать специалистов, если их значения оказываются вне заданных рамок, детально анализировать производительность оборудования, оперативно устранять и предотвращать сбои в его работе.
Новый модуль позволяет заказчикам компании RuSIEM решать следующие задачи:
Модуль RuSIEM Monitoring прост во внедрении и использовании. Он не требует установки агентов на серверы (запуск системы в работу осуществляется за 10 минут), а подключение к серверам и сетевому оборудованию совершается в прямом смысле в один клик. Предусмотрена удаленная поддержка пользователей через внутреннюю систему HelpDesk с доменной авторизацией и подключением к пользователю в один клик из тикета.