SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности

Структура современных компаний достаточно разветвленная. В зависимости от направления деятельности и размеров она может состоять из десятков разных направлений и разделов, которые объединены в общую структуру.

Один из таких отделов – это центр мониторинга информационной безопасности, который часто сокращается как СОК (от анг. SOC, Security Operation Center). Задача такого центра – обеспечение защиты сетевой инфраструктуры компании от разного рода киберугроз, будь то хакер, внутренний нарушитель или неопытный разработчик.

В этой статье будут рассмотрены основные составляющие центра мониторинга киберугроз, разница между внутренним и коммерческим центрами, какие существуют маркеры эффективности и критерии выбора SOC.

Что такое SOC?

Если проводить аналогию, то SOC – это отдел отдел безопасности, только для цифрового пространства. В роли замков выступают защитные инструменты, вместо ключей и пропусков – системы аутентификации. Функции сигнализации исполняют системы мониторинга и предупреждения, а роль « секьюрити» – сами ИБ-специалисты.

Если говорить о коммерческом SOC, то принцип тот же – это условный «киберЧОП», который работает сразу с несколькими компаниями, осуществляет мониторинг их инфраструктуры и реагирует на инциденты.

Что существенно отличает центры мониторинга кибербезопасности от охранных предприятий и отделов – это количество инцидентов. Если желающих произвести физический взлом и проникнуть в офис компании достаточно немного, ввиду высокого риска попасться, то киберпреступники регулярно остаются безнаказанными, а значит – практически безбоязненно готовы атаковать инфраструктуру компаний, о чем и говорит растущее год от года количество кибератак, которое фиксируют все профильные исследователи.

Как и у любой структуры, у SOC есть свои критерии эффективности, по которым руководство компании может понять результативность работы центра мониторинга информационной безопасности.

Игорь Ландырев

Специалист по тестированию на проникновения Awillix

Для оценки можно использовать совокупность метрик, например, время, за которое был обнаружен инцидент, время реакции и смягчения инцидента. Самая простая в анализе метрика — количество инцидентов, по этому показателю легко отследить динамику изменения возникающих и закрытых инцидентов.

Наиболее показательный критерий – это количество выявленных инцидентов за отчетный период (как правило, за месяц). При этом, менеджер или руководитель SOC должен уметь оперировать этими данными и доносить их до руководителя компании.

Технические составляющие SOC

Конкретный список технический решений и инструментов может отличаться в зависимости от сферы деятельности компании и особенностей ее сетевой инфраструктуры, но в общем виде содержит следующие элементы:

средства защиты на конечных точках и на уровне сети;
системы детектирования, обнаружения и сканирования;
средства обработки, анализа и оповещения.

Дмитрий Иванов

Руководителя ИТ департамента ООО «Аурига»

Все сильно зависит от размера и финансовых возможностей компании, но в первую очередь важна антивирусная защита и защита периметра локальной сети. Для средних и крупных компаний в обязательном порядке необходимы средства защиты от вторжений (IDS, IPS), системы резервного копирования для защиты от потери данных, а также многофакторная система аутентификации для доступа к чувствительным и данным и для внешних подключений к локальной сети. Желательно также иметь систему защиты от утечки данных (DLP), систему контроля привилегированных учетных записей и системы обнаружения уязвимостей в локальной сети и на внешних ресурсах компании.

Экосистемный подход на данном этапе развития ИБ-инструментов считается самым эффективным, поскольку позволяет существенно повысить вероятность детектирования инцидентов и скорость реагирования.

Роман Ламинин

Ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress

Инструменты SOC должны в идеале стать единой экосистемой. Не самая лучшая практика внедрить SIEM-систему, и считать, что ситуационный центр уже развернут.

Оптимально SOC должен включать инструменты для обработки логов (SIEM или EM), инструменты оркестровки (SOAR, IRP), средства киберразведки (TI), сервисдески, средства резервного копирования и многие другие. И, соответственно, сами источники логов — межсетевые экраны, системы обнаружения и предотвращения вторжений, антивирусы, «песочницы», EDR/TDR и т.д.

Однако, это не избавляет от необходимости в людских ресурсов в контексте разбора реальных инцидентов от ложноположительных срабатываний и принятии решений в тех случаях, когда у «машины» нет подходящего алгоритма реагирования на инцидент.

Штат специалистов SOC

Если говорить о внутреннем SOC, то вариации могут быть самые разные. Многое зависит от таких факторов, как оснащение центра мониторинга и бюджета на кибербезопасность. В этом случае бюджет (или квота по штату) напрямую регламентируют количество и квалификацию специалистов.

В случае с коммерческими SOC ситуация также может разниться. Здесь главные факторы – это наличие собственных программных продуктов и развитость услуг компании. Исходя из них, в список сотрудников SOC могут входить и DevOps-специалист, и юридический консультант, и ряд других специалистов.

Но если говорить об «усредненных значениях», то в список сотрудников центра мониторинга информационной безопасности входят:

Сетевой администратор. Инженер, который настраивает ИС безопасности и отвечает за непрерывность обмена данными между ними, а также вывод из них.
Специалист по настройке правил. Этот сотрудник отвечает за формулировку правил для SIEM и других похожих систем.
Аналитик 1 уровня (L 1). Его задача заключается в первичной обработке инцидента, отделении ложноположительных срабатываний от реальных угроз. Он принимает первые действия по реагированию, согласно с установленным в компании регламентом.
Аналитик 2 уровня (L 2). Если специалист первого уровня не знает, что предпринять, в дело вступает аналитик второго уровня. Это опытный ИБ-специалист, который может разобраться в сложной ситуации и принять «креативное» решение, без опоры на правила реагирования.
Специалист по реверс-инжинирингу. Это эксперт с высокими компетенциями в разработке, который обладает знаниями и навыками, которые позволяют разобраться в ВПО, которое незнакомо ни аналитику L2, ни вспомогательным системам (TI).
Эксперт по форензике. Независимо от того, чем закончился инцидент, его нужно расследовать: оценить нанесенный ущерб, описать поведение вредоноса, отследить путь хакеров до точки входа в инфраструктуру. Всем этим занимается форензик-эксперт или же специалист по компьютерной криминалистике.
Специалист по киберразведке. Задача этого эксперта – проверка информационных систем на предмет скрытой хакерской активности. Например, APT-атак. Она включает как мониторинг систем, так и изучения данных с хакерских форумов.

Александр Щетинин

Генеральный директор Xello

Существует три уровня угроз, с которыми обычно сталкиваются SOC. Самые простые – известные угрозы (вредоносные программы, черви и вирусы), которые, вероятно, существуют уже много лет. Их можно легко выявить и устранить с помощью различных проверенных патчей.

Затем следуют более сложные вредоносные программы и атаки нулевого дня.

На другом конце спектра находятся изощренные угрозы. Это целенаправленные атаки, при которых решительная APT-группировка готова терпеливо координировать нападение на организацию в течение длительного времени. И из-за того, что аналитики тратят слишком много времени на обработку больших объемов информации об угрозах, поступающих от автоматизированных средств защиты (сетевых средств защиты информации, систем защиты конечных точек и т.д.), компании могут в течение длительного времени не подозревать о наличии вредоносной активности в их сети. Согласно данным Mandiant, медианное время незаметного присутствия злоумышленника в инфраструктуре составляет 21 день.

Несмотря на столь внушительный список, на практике нередки случаи, когда в штате компании SOC состоит из 1-3 специалистов, которые либо отвечают за все одновременно сами, либо пользуются услугами аутсорс-компаний в случае необходимости, если это предусмотрено бюджетом организации.

Критерии выбора SOC

Условно все критерии можно поделить на две большие группы. Первая – это субъективные факторы. Например, ориентированность ИБ-компании на какой-то конкретный сектор или отрасль. У коммерческого SOC могут быть клиенты из преимущественно отраслей производства, или большое количество ИТ-ориентированных компаний. Такая спецификация может говорить о том, что у поставщика услуг есть большой опыт защиты смежных с клиентской инфраструктур и комплексное понимание их проблематики.

Владимир Зуев

Руководитель направления развития коммерческого SOC МегаФона

Необходимость перехода от внешнего SOC к внутреннему очень индивидуальна и здесь каждая компания должна принимать решение самостоятельно. В первую очередь необходимо понять, почему не устраивает внешний провайдер услуг и на сколько реально сделать внутри сервис лучше и более подходящий под собственные потребности. Но при принятии такого решения в компании нужны люди, понимающие процесс работы SOC т.к. это не типовая услуга и из "коробки" она не заработает.

Плюс необходимо здраво оценивать все издержки этого процесса, связанные с подбором команды, внедрением и сопровождением всех процессов SOC - как аналитиков и специалистов по реагированию, так и инженеров, знакомых с решениями, применяемыми для целей SOC. И необходимо время. Такого рода проекты, в зависимости от объема инфраструктуры, могут идти годами. И это нормально.

Главное строить сразу целевое состояние, потому что любые временные решения легко становятся постоянными. И такие практики в дальнейшем очень тяжело менять. При выборе коммерческого SOC следует опираться в первую очередь на собственную потребность.

Нужно понимать какие задачи компания хочет решить с помощью провайдера SOC и с этим знанием приступать к выбору. Важно оценить стоимость владения данной услугой, какой SLA будет при оказании, какие пакеты реагирования включены в услугу, какие есть дополнительные сервисы, готов ли SOC сервис работать с имеющимся SIEM или настойчиво предлагает использовать конкретного производителя. Может ли он предлагать услуги SOC в облачной инфраструктуре, что сейчас важно в условиях сложностей с поставками оборудования для оснащения дата-центров.

В этом контексте важно упомянуть о недопустимых событиях. Можно привести следующие примеры по направлениям деятельности:

Для СМИ и информационных порталов. Для этой отрасли характерна угроза дефейса, поскольку злоумышленники нередко используют медийные ресурсы для распространения разного рода заявлений.
Для учебных учреждений и EdTech-компаний. Для сферы образования характерны «сезонные риски». Например, этим летом многие ВУЗы подверглись DDoS-атакам с целью сорвать работу приемных комиссий.
Для производителей. Наибольшие риски для таких компаний лежат в области атак на производственное оборудование и системы управления предприятием.
Для перевозчиков и транспортных компаний. В этой отрасли наиболее критичны инциденты с системами распределения грузов, маршрутизацией и логистикой.Компания должна понимать, что основной упор должен делаться на защиту бизнес-процессов, а не защиту инфраструктуры ради защиты инфраструктуры. И исходя из этого подбирать центр мониторинга кибербезопасности.

Второй фактор – это объективные характеристики SOC, в которые входит уровень и актуальность технического оснащения, количество и уровень специалистов, другая специфика.

Майя Пасова

Аналитик информационной безопасности в компании R-Vision

Сначала руководству компании надо сформулировать потребность: что они хотят от работы с коммерческим SOC и к какому результату предполагают прийти, необходима ли реализация активного реагирования или достаточно выдачи рекомендаций, требуется ли дальнейшее расследование инцидентов или нужно только первичное реагирование, насколько компания готова погружать SOC в свою информационную инфраструктуру и т.д.

При выборе коммерческого SOC лучше всего опираться на актуальность используемых инструментов и технологий в работе с инцидентами ИБ, уровень подготовки команды аналитиков, а также практический опыт и кейсы, которые уже были решены силами SOC.

Если говорить о сугубо бизнес-критериях, то это стоимость оказания услуг и их комплектность. Важно сказать, что современный уровень развития рынка ИБ-услуг позволяет клиентам получать весь спектр ИБ-услуг от одной компании, по модели Sec-as-a-service. Если же говорить о топах отрасли, то они могут предложить практически весь арсенал, какой только есть в кибербезопасности, вплоть до подключения к платформе bug bounty и консалтинга на уровне CISO.

Два вида SOC: преимущества и недостатки

Центры мониторинга принято разделять на две группы:

Внутренний. Это полноценная структура внутри компании, со штатными специалистами и ситуационным центром, в котором происходит администрирование системы безопасности и реагирование на инциденты.
Внешний. Компания обращается к вендору и получает все функции в формате комплексной услуги.

Большинство различий с точки зрения компании стандартны в контексте выбора между «свое» или «аутсорс». Если говорить кратко, то аутсорс проще для компании с точки зрения всех уровней кибербезопасности, начиная с формирования политики ИБ и заканчивая регламентом реагирования на инцидент, экспертизой.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

ИБ и SOC – это поддерживающая функция организации. Она поддается общему правилу экономической целесообразности. Пока стоимость владения ниже собственного SOC с таким же уровнем обслуживания, а качество услуг SOC приемлемо, лучше использовать SOC как услугу. При этом:

SOC как услуга обладает меньшей гибкостью: коммерческий SOC незначительно подстраивается под процессы организации. Это масс-маркет, балансирующий между эффективностью, достаточной для выполнения SLA и снижением собственных издержек.

Коммерческий SOC – это операционные, а не капитальные расходы, которыми проще управлять.

Емкость персонала и запас прочности для обеспечения непрерывности в коммерческом SOC изначально выше: большой штат и процессы управления знаниями приземляются на множество клиентов. Во внутреннем SOC решение этих аспектов, с учетом дефицита кадров на рынке, может стоить очень дорого.

Создавать собственный SOC пора, когда есть уверенность в своих силах, компетенциях и ресурсах или в случае, когда поставщики услуг SOC не могут удовлетворить потребность, которую компания-заказчик считает критически важной.

Создание собственного центра мониторинга и реагирования на киберугрозы актуально для крупных компаний, которые достаточно зрелы с позиции ИБ, достаточно знакомы с инструментами защиты, а главное – четкие представления о том, сколько ресурсов и времени потребуется на создание собственного центра с достаточным штатом и оснащением.