Эффективная система информационной безопасности – не только гарантия сохранности данных и обеспечения хорошей репутации компании. Каждая действующая организация сталкивается с угрозами информационным ресурсам, а методы «работы» преступников в этой сфере постоянно совершенствуются.
Только оперативное реагирование на инциденты, комплексная защита компьютерной сети и управление системой мониторинга и защиты в режиме онлайн позволяет обеспечить высокий уровень информационной безопасности компании. Для того, чтобы решить эту сложную задачу, существуют центры мониторинга событий информационной безопасности или SOC.
Что такое «Центр мониторинга событий информационной безопасности»
Подобный центр в компании обычно называют краткой аббревиатурой SOC, что расшифровывается как «Security Operations Center» («Центр операций по безопасности» или «Ситуационный центр информационной безопасности»).
SOC состоит из трех основных «компонентов»:
Технологии – для непрерывного мониторинга, сканирования компьютерных сетей, формирования отчетов об инцидентах, выявления поведенческих моделей киберпреступников, хранения и анализа событий безопасности;
Процессы – для организации эффективного взаимодействия между экспертами по ИБ, технологиями и заинтересованными структурными подразделениями (СП) компании;
Люди – сюда относятся профессионалы в сфере ИБ (они «включаются» в работу, когда нужно оперативно решить проблему с выявленной киберугрозой или проработать вопросы ИБ с другими СП) и специалисты всех СП компании.
По сути SOC представляет собой «центр» мониторинга, анализа и оперативного реагирования на инциденты. Его задача – обеспечить защиту информационной безопасности компании, то есть отразить все возникающие угрозы и предотвратить новые.
Задачи SOC в организации – зачем нужно внедрениеКогда речь заходит об информационной безопасности, центры мониторинга в компании не могут функционировать «от случая к случаю». Их работа должна быть постоянной и системной. Внедрение SOC позволяет решить следующий комплекс задач:
1. Централизованное хранение и обработка данных об инцидентах (угрозах, вторжениях и ложных срабатываниях).SOC – единая база данных. В этой базе сводятся данные обо всех событиях, представляющих собой реальную или потенциальную угрозу информационной безопасности компании. Это позволяет учесть абсолютно все критически значимые данные о вторжениях и угрозах. Риск упустить нечто значимое в такой ситуации близок к нулю.
2. Организация взаимодействия СП по вопросам ИБ.
Если в компании внедрен SOC, эксперты из разных СП будут работать скоординированно. Ситуация, при которой специалисты принимают решения, противоречащие друг другу, исключается. Все заинтересованные подразделения прорабатывают вопросы безопасности совместно.
3. Обеспечение непрерывного контроля за ИБ компании.
Инцидент может произойти в любой момент. Преступник не будет ждать, пока наступит утро, в компании закончится обеденный перерыв или сотрудники вернутся с новогодних «каникул». Это значит, что мониторинг киберугроз и сканирование сетевой активности должны осуществляться в режиме 24/7. Чем быстрее компания реагирует на инцидент – тем меньше у злоумышленника шансов добиться успеха. Для обеспечения непрерывного контроля и мониторинга SOC – лучшее решение.
4. Снижение рисков в части информационной безопасности.
С внедрением SOC в компании появляется набор удобных и эффективных инструментов анализа киберугроз. Уходит намного меньше времени и сил на выявление причин, поиск уязвимостей и разработку мер, направленных на предотвращение кибератак и других подобных происшествий.
Как внедрить SOC в компанииДля создания эффективного центра мониторинга событий ИБ недостаточно закупить современное оборудование и нанять несколько высококлассных специалистов. SOC – динамичная структура. Она постоянно развивается, дорабатывается, улучшается. Только в этом случае центр будет выполнять свою основную задачу – обеспечивать информационную безопасность компании. Схема «Внедрить и забыть» в данном случае не сработает.
Процесс внедрения SOC состоит из нескольких основных этапов:
1. Оценка возможностей компании и подготовка плана по рискам.
SOC требует постоянной поддержки, нагрузка на экспертов постоянно растет. Неограниченными ресурсами для беспрерывного расширения штата ни одна компания не располагает. Ей нужно быть готовой не только пройти этап внедрения и обеспечить SOC всем необходимым на начальной стадии работы, но также разрабатывать и внедрять новые инструменты ИБ. В первую очередь потребуется проработать методы фильтрации ложных и реальных инцидентов. Далее необходимо действовать с учетом специфики рисков компании.
Если нужно обеспечить эффективную работу SOC, компания должна располагать достаточным потенциалом для его планомерной и стабильной поддержки.
2. Формирование экспертной группы / команды.
От профессионализма, обучаемости, скорости реакции и способности экспертов к нестандартному мышлению во многом зависит работоспособность SOC в целом. Так что экономить на персонале или мириться с неукомплектованным штатом здесь не стоит.
Вопрос с формированием экспертной команды компании решают по-разному. Есть три основных варианта:
постоянное СП в штате компании (самый простой вариант – укомплектовать SOC действующими сотрудниками ИТ-подразделений);
заключение договора со сторонней компанией, оказывающей необходимые услуги;
комбинированный вариант – в штате компании создается постоянное СП, ориентированное на решение оперативных повседневных задач, а для развития, доработки и решения проблем повышенной сложности привлекаются специалисты со стороны.
Ни один из вариантов нельзя назвать универсальным. Делать выбор стоит, исходя из возможностей компании, выявленных рисков и особенностей сферы деятельности компании.
3. Создание модели работы центра.
Модель работы SOC может быть:
централизованной – формируется глобальный центр GSOC, где консолидируется вся информация по безопасности и проходит ее анализ;
децентрализованной – в компании действует несколько локальных SOC, которые передают в центральный офис только особо важные и критичные сведения.
Вне зависимости от выбранной модели важно организовать тесное оперативное взаимодействие между экспертной командой, ИТ-подразделениями и сотрудниками других СП.
4. Создание инфраструктуры для поддержки работы SOC.
Чтобы внедрить SOC успешно, центр нужно обеспечить:
инструментами – для сбора данных, оркестровки, организации процессов по автоматизации;
решениями – по защите конечных устройств, а также SIEM (обеспечение ИБ и управление событиями;
оборудованием – в том числе консоли, контроль доступа, обнаружение вторжений;
специализированным ПО.
Комплексное использование перечисленных компонентов с их предварительной интеграцией в бизнес-процессы компании поможет сделать работу SOC более удобной, эффективной и оперативной.
