Один из способов защиты ИТ-инфраструктуры компании — организация SOC (Security Operations Center, Центр информационной безопасности). Первые такие центры появились в конце 70-х в США, за эти 30 лет индустрией накоплен большой опыт. Рассмотрим, как устроен SOC, какие у него задачи и когда оправдано использование таких Центров.
Что такое SOC
Фактически, это действительно Центр: группа специалистов по информационной безопасности круглосуточно мониторит состояние ИТ-инфраструктуры компании на предмет потенциальных взломов и других угроз. Для этого они используют современные технологии обнаружения, анализа и предотвращения инцидентов: к примеру, SIEM-системы для анализа событий ИБ, технологию киберразведки Threat Intelligence и другие.
Группа работает по правилам настоящих экстренных служб, только в мире ИТ. Ее задача — не допускать никаких инцидентов в сфере ИБ, а если они случились, то оперативно устанавливать и устранять причины. Глобальная цель — повышение уровня защиты корпоративной сети и, соответственно, снижение рисков.
Что конкретно делает SOC
Основная задача, которую выполняют специалисты Центра — постоянный анализ больших объемов информации. Каждый день нужно обрабатывать и анализировать множество событий безопасности. И среди всего этого, нередко огромного, количества данных нужно вовремя распознать настоящую угрозу и устранить ее. Вот список основных обязанностей специалистов SOC.
- Постоянный поиск, мониторинг и анализ вторжений.
- Проактивное предотвращение угроз.
- Проверка сетей компании на уязвимость и анализ инцидентов безопасности.
- Фильтрация ложных срабатываний и быстрая реакция на подтвержденные инциденты.
- Подготовка отчетов об актуальном состоянии ИТ-инфраструктуры, зарегистрированных инцидентах и действиях потенциальных злоумышленников.
Преимущества SOC
Как и у любого решения, у SOC есть свои плюсы. Если большинство из них важны для вас, стоит задуматься о внедрении SOC в компании.
Контроль всех ИТ-систем компании
Если у вас есть внутренние ИТ-системы, которые вы передали на аутсорсинг, а также внешняя техническая поддержка, SOC будет для вас эффективным средством их контроля.
Единая схема работы с данными
Благодаря аккумулированию информации об инцидентах в одном месте, снижается риск потери критических данных. Ведь хакерские методы постоянно совершенствуются и важно знать о поведении злоумышленников все.
Согласованная работа экспертов
Любой SOC строится так, чтобы специалисты работали вместе. Метод «коллективного разума» здесь очень эффективен. Так легче вовремя заметить подозрительную активность, правильно ее интерпретировать и предотвратить вторжение в сеть. Никакой разрозненности и противоречивых решений.
Постоянная защита, днем и ночью
Если ваша организация представляет интерес для злоумышленников, логично ожидать, что они начнут действовать в неурочное время. SOC всегда организован так, чтобы работать круглосуточно. Любая подозрительная активность тут же будет замечена и пресечена.
Расходы на ИБ в перспективе станут ниже
Несмотря на то, что это решение не из дешевых, оно одно из самых эффективных. За счет устранения проблем на ранних этапах, расходы на ИБ при использовании SOC снизятся.
Соответствие стандартам
Если вашей компании необходимо выполнять требования ФЗ-187 по интеграции с ГосСОПКА, создание SOC обязательно.
Внедрение SOC
Существуют два варианта: либо создать такой Центр самостоятельно, либо обратиться к профессионалам, у которых есть опыт создания SOC для разных организаций. Разберем оба.
Создание SOC своими силами
Начать следует с составления подробного плана рисков, описав ключевые угрозы для вашего бизнеса. После того, как вы найдете специалистов, установите оборудование и настроите нужное ПО, вас буквально завалит огромным количеством нотификаций о потенциальных опасностях. Значительная часть из них будет ложными. И задача вашего SOC — научиться быстро их фильтровать.
Из оборудования вам понадобятся инструменты автоматизации безопасности и оркестровки, системы обнаружения вторжений, контроля доступа, сбора данных и защиты конечных устройств, а также решения для обеспечения безопасности информации и управления событиями (SIEM).
Начать создавать SOC без опыта — значит, потратить намного больше сил и ресурсов, чем нужно. Это как раз тот случай, когда лучше не пытаться сделать работу самостоятельно и с самого начала поручить ее профессионалам. По данным исследовательского центра Ponemon Institute, средняя ежегодная стоимость собственного SOC — около 2,86 млн. долл. США. Будет нерационально потратить эту сумму дважды.
SOC как услуга
Если сейчас вы думаете, что проще и дешевле поручить создание SOC подрядчику, то так и есть. Намного эффективнее делегировать эту задачу профессионалам, которые имеют большой опыт в создании таких решений. Они уже накопили достаточно данных об инцидентах в сфере ИБ: знают, как выстроить процессы, какие инструменты и как использовать, чтобы SOC был по-настоящему эффективным. Без профильного опыта создавать собственный SOC очень тяжело. Но дальнейшая работа с созданным SOC — уже ваша зона ответственности.
В завершении еще подчеркнем: главная задача SOC — быть вашим полноценным центром быстрого реагирования, который оперативно устраняет любые проблемы ИБ, угрожающие вашей компании.