Security Operations Center
В SOC входят сотрудники компании, обладающие необходимыми навыками в сфере ИБ. Основные инструменты для работы подразделения — это SIEM (Security Information and Event Management), IRP (Incident Response Platform), SOAR (Security Orchestration, Automation and Response) и SGRS (Security Governance, Risk-management and Compliance).
Все эти системы помогают сотрудникам SOC проводить анализ и мониторинг событий, реагировать на угрозы и ложные срабатывания, организовывать превентивные меры, а также предоставлять отчеты и автоматизировать действия.
Сфера применения
Подразделение SOC:
- контролирует информационные системы и инфраструктуру как внутри компании, так и переданные на аутсорсинг третьим лицам;
- проводит превентивные мероприятия для снижения риска утечки конфиденциальной информации;
- совершает мониторинг событий в онлайн-режиме и своевременно реагирует на инциденты;
- регулярно проверяет инфраструктуры предприятия на наличие уязвимостей, слабых зон, а также анализирует нарушения в сфере ИБ;
- фильтрует ложные угрозы или некорректные срабатывания средств защиты информации;
- анализирует произошедшие инциденты для предотвращения подобных случаев в будущем;
- предоставляет отчеты об актуальном состоянии инфраструктуры и защите информации в компании.
Создание SOC в организации приносит и экономическую выгоду: снижаются затраты на обеспечение информационной безопасности предприятия, уменьшаются риски кражи информации.
Внедрение
Интегрировать SOC в текущую инфраструктуру организации можно двумя способами: внутренним или внешним.
В первом случае подразделение создается собственными силами внутри компании. Предварительно проводится анализ текущего состояния, оцениваются риски для организации в случае утечки информации. Для SOC предоставляется отдельное помещение, приобретается специализированное ПО и оборудование.
Если у организации нет опыта создания подобного центра, то стоит сразу перейти ко второму варианту. В противном случае можно потратить ресурсы, но не достигнуть поставленной цели.
Во втором случае организация создает SOC при помощи аутсорсинга. Мониторингом и анализом событий в этом случае занимаются сотрудники внешней компании, которая обладает необходимыми сертификатами и квалификацией.
Security Operations Center необходим тем организациям, которые стремятся снизить риск утечки конфиденциальной информации. SOC можно создать как собственными ресурсами, так и при помощи сторонних организаций.