Структура современных компаний достаточно разветвленная. В зависимости от направления деятельности и размеров она может состоять из десятков разных направлений и разделов, которые объединены в общую структуру.
Один из таких отделов – это центр мониторинга информационной безопасности, который часто сокращается как SOC (расшифровка — Security Operation Center). Задача такого центра – обеспечение защиты сетевой инфраструктуры компании от разного рода киберугроз, будь то хакер, внутренний нарушитель или неопытный разработчик.
В этой статье расскажем, зачем нужен SOC, остановимся на основных составляющих центра мониторинга киберугроз, разнице между внутренним и коммерческим центрами, а также раскроем секрет, какие существуют маркеры эффективности и критерии выбора SOC.
Если проводить аналогию, то SOC – это отдел отдел безопасности, только для цифрового пространства. В роли замков выступают защитные инструменты, вместо ключей и пропусков – системы аутентификации. Функции сигнализации исполняют системы мониторинга и предупреждения, а роль « секьюрити» – сами ИБ-специалисты.
Если говорить о коммерческом SOC, то принцип тот же – это условный «киберЧОП», который работает сразу с несколькими компаниями, осуществляет мониторинг их инфраструктуры и реагирует на инциденты.
Что существенно отличает центры мониторинга кибербезопасности от охранных предприятий и отделов – это количество инцидентов. Если желающих произвести физический взлом и проникнуть в офис компании достаточно немного, ввиду высокого риска попасться, то киберпреступники регулярно остаются безнаказанными, а значит – практически безбоязненно готовы атаковать инфраструктуру компаний, о чем и говорит растущее год от года количество кибератак, которое фиксируют все профильные исследователи.
Как и у любой структуры, у SOC центра есть свои критерии эффективности, по которым руководство компании может понять результативность работы центра мониторинга информационной безопасности.
Игорь Ландырев
Специалист по тестированию на проникновения Awillix
Для оценки можно использовать совокупность метрик, например, время, за которое был обнаружен инцидент, время реакции и смягчения инцидента. Самая простая в анализе метрика — количество инцидентов, по этому показателю легко отследить динамику изменения возникающих и закрытых инцидентов.
Наиболее показательный критерий – это количество выявленных инцидентов за отчетный период (как правило, за месяц). При этом, специалист SOC должен уметь оперировать этими данными и доносить их до руководителя компании.
Конкретный список технический решений и инструментов может отличаться в зависимости от сферы деятельности компании и особенностей ее сетевой инфраструктуры, но в общем виде содержит следующие элементы:
Дмитрий Иванов
Руководителя ИТ департамента ООО «Аурига»
Все сильно зависит от размера и финансовых возможностей компании, но в первую очередь важна антивирусная защита и защита периметра локальной сети. Для средних и крупных компаний в обязательном порядке необходимы средства защиты от вторжений (IDS, IPS), системы резервного копирования для защиты от потери данных, а также многофакторная система аутентификации для доступа к чувствительным и данным и для внешних подключений к локальной сети. Желательно также иметь систему защиты от утечки данных (DLP), систему контроля привилегированных учетных записей и системы обнаружения уязвимостей в локальной сети и на внешних ресурсах компании.
Экосистемный подход на данном этапе развития ИБ-инструментов считается самым эффективным, поскольку позволяет существенно повысить кибербезопасность компании, а также вероятность детектирования инцидентов и скорость реагирования.
Роман Ламинин
Ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress
Инструменты SOC должны в идеале стать единой экосистемой. Не самая лучшая практика внедрить SIEM-систему, и считать, что ситуационный центр уже развернут.
Оптимально SOC должен включать инструменты для обработки логов (SIEM или EM), инструменты оркестровки (SOAR, IRP), средства киберразведки (TI), сервисдески, средства резервного копирования и многие другие. И, соответственно, сами источники логов — межсетевые экраны, системы обнаружения и предотвращения вторжений, антивирусы, «песочницы», EDR/TDR и т.д.
Если говорить о внутреннем SOC, то вариации могут быть самые разные. Многое зависит от таких факторов, как оснащение центра мониторинга и бюджета на кибербезопасность. В этом случае бюджет (или квота по штату) напрямую регламентируют количество и квалификацию специалистов.
В случае с коммерческими SOC ситуация также может разниться. Здесь главные факторы – это наличие собственных программных продуктов и развитость услуг компании. Исходя из них, в список сотрудников SOC могут входить и DevOps-специалист, и юридический консультант, и ряд других специалистов.
Но если говорить об «усредненных значениях», то в список сотрудников центра мониторинга информационной безопасности входят:
Александр Щетинин
Генеральный директор Xello
Существует три уровня угроз, с которыми обычно сталкиваются SOC. Самые простые – известные угрозы (вредоносные программы, черви и вирусы), которые, вероятно, существуют уже много лет. Их можно легко выявить и устранить с помощью различных проверенных патчей.
Затем следуют более сложные вредоносные программы и атаки нулевого дня.
На другом конце спектра находятся изощренные угрозы. Это целенаправленные атаки, при которых решительная APT-группировка готова терпеливо координировать нападение на организацию в течение длительного времени. И из-за того, что аналитики тратят слишком много времени на обработку больших объемов информации об угрозах, поступающих от автоматизированных средств защиты (сетевых средств защиты информации, систем защиты конечных точек и т.д.), компании могут в течение длительного времени не подозревать о наличии вредоносной активности в их сети. Согласно данным Mandiant, медианное время незаметного присутствия злоумышленника в инфраструктуре составляет 21 день.
Несмотря на столь внушительный список, на практике нередки случаи, когда в штате компании SOC состоит из 1-3 специалистов, которые либо отвечают за все одновременно сами, либо пользуются услугами аутсорс-компаний в случае необходимости, если это предусмотрено бюджетом организации.
Условно все критерии можно поделить на две большие группы. Первая – это субъективные факторы. Например, ориентированность ИБ-компании на какой-то конкретный сектор или отрасль. У коммерческого SOC могут быть клиенты из преимущественно отраслей производства, или большое количество ИТ-ориентированных компаний. Такая спецификация может говорить о том, что у поставщика услуг есть большой опыт защиты смежных с клиентской инфраструктур и комплексное понимание их проблематики.
Владимир Зуев
Руководитель направления развития коммерческого SOC МегаФона
Необходимость перехода от внешнего SOC к внутреннему очень индивидуальна и здесь каждая компания должна принимать решение самостоятельно. В первую очередь необходимо понять, почему не устраивает внешний провайдер услуг и на сколько реально сделать внутри сервис лучше и более подходящий под собственные потребности. Но при принятии такого решения в компании нужны люди, понимающие процесс работы SOC т.к. это не типовая услуга и из "коробки" она не заработает.
Плюс необходимо здраво оценивать все издержки этого процесса, связанные с подбором команды, внедрением и сопровождением всех процессов SOC - как аналитиков и специалистов по реагированию, так и инженеров, знакомых с решениями, применяемыми для целей SOC. И необходимо время. Такого рода проекты, в зависимости от объема инфраструктуры, могут идти годами. И это нормально.
Главное строить сразу целевое состояние, потому что любые временные решения легко становятся постоянными. И такие практики в дальнейшем очень тяжело менять. При выборе коммерческого SOC следует опираться в первую очередь на собственную потребность.
Нужно понимать какие задачи компания хочет решить с помощью провайдера SOC и с этим знанием приступать к выбору. Важно оценить стоимость владения данной услугой, какой SLA будет при оказании, какие пакеты реагирования включены в услугу, какие есть дополнительные сервисы, готов ли SOC сервис работать с имеющимся SIEM или настойчиво предлагает использовать конкретного производителя. Может ли он предлагать услуги SOC в облачной инфраструктуре, что сейчас важно в условиях сложностей с поставками оборудования для оснащения дата-центров.
В этом контексте важно упомянуть о недопустимых событиях. Можно привести следующие примеры по направлениям деятельности:
Майя Пасова
Аналитик информационной безопасности в компании R-Vision
Сначала руководству компании надо сформулировать потребность: что они хотят от работы с коммерческим SOC и к какому результату предполагают прийти, необходима ли реализация активного реагирования или достаточно выдачи рекомендаций, требуется ли дальнейшее расследование инцидентов или нужно только первичное реагирование, насколько компания готова погружать SOC в свою информационную инфраструктуру и т.д.
При выборе коммерческого SOC лучше всего опираться на актуальность используемых инструментов и технологий в работе с инцидентами ИБ, уровень подготовки команды аналитиков, а также практический опыт и кейсы, которые уже были решены силами SOC.
Если говорить о сугубо бизнес-критериях, то это стоимость оказания услуг и их комплектность. Важно сказать, что современный уровень развития рынка ИБ-услуг позволяет клиентам получать весь спектр ИБ-услуг от одной компании, по модели Sec-as-a-service. Если же говорить о топах отрасли, то они могут предложить практически весь арсенал, какой только есть в кибербезопасности, вплоть до подключения к платформе bug bounty и консалтинга на уровне CISO.
Центры мониторинга принято разделять на две группы:
Большинство различий с точки зрения компании стандартны в контексте выбора между «свое» или «аутсорс». Если говорить кратко, то аутсорс проще для компании с точки зрения всех уровней кибербезопасности, начиная с формирования политики ИБ и заканчивая регламентом реагирования на инцидент, экспертизой.
Стоит отметить, что объем рынка коммерческих SOC в России в 2023 г. вырос на 50-60%. Эти темпы роста соответствуют увеличению всего рынка ИБ-сервисов в России и отражают востребованность внешних центров мониторинга. При этом компании, предпочитающие получать функции SOC на аутсорсе, делают выбор по ряду критериев:
Успешное сотрудничество со внешним поставщиком информационных услуг во многом зависит от эффективного взаимодействия между командами заказчика и провайдера. Каждый участник должен чётко понимать свои обязанности и ответственность в области информационной безопасности. Кроме того, постоянный контакт и обмен данными между сторонами являются ключевыми элементами успешного сотрудничества.
Сергей Кривошеин
Директор центра развития продуктов NGR Softlab
ИБ и SOC – это поддерживающая функция организации. Она поддается общему правилу экономической целесообразности. Пока стоимость владения ниже собственного SOC с таким же уровнем обслуживания, а качество услуг SOC приемлемо, лучше использовать SOC как услугу. При этом:
Создавать собственный SOC пора, когда есть уверенность в своих силах, компетенциях и ресурсах или в случае, когда поставщики услуг SOC не могут удовлетворить потребность, которую компания-заказчик считает критически важной.
- SOC как услуга обладает меньшей гибкостью: коммерческий SOC незначительно подстраивается под процессы организации. Это масс-маркет, балансирующий между эффективностью, достаточной для выполнения SLA и снижением собственных издержек.
Коммерческий SOC – это операционные, а не капитальные расходы, которыми проще управлять.
Емкость персонала и запас прочности для обеспечения непрерывности в коммерческом SOC изначально выше: большой штат и процессы управления знаниями приземляются на множество клиентов. Во внутреннем SOC решение этих аспектов, с учетом дефицита кадров на рынке, может стоить очень дорого.
Создание собственной системы мониторинга информационной безопасности и реагирования на киберугрозы актуально для крупных компаний, которые достаточно зрелы с позиции ИБ, достаточно знакомы с инструментами защиты, а главное – имеют четкие представления о том, сколько ресурсов и времени потребуется на создание собственного центра с достаточным штатом и оснащением.
Процесс организации SOC состоит из нескольких основных этапов:
Комплексное использование перечисленных компонентов с их предварительной интеграцией в бизнес-процессы компании поможет сделать работу SOC более удобной, эффективной и оперативной.
Российские технологии информационной безопасности позволяют построить полнофункциональный центр реагирования на киберугрозы или воспользоваться услугами внешний SOC центров. Процессы и инструменты могут в деталях отличаться, но все ключевые функции будут сохранены. Впереди у отечественных компаний, вендоров и интеграторов много работы по построению новых SOC для организаций, которые ранее не испытывали потребности в них. Для этого у игроков рынка есть все: нужные компетенции и экспертиза, опыт, сотрудники и, наконец, вполне зрелые разработки.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться