Что такое Security Operations Center (SOC)?

Что такое Security Operations Center (SOC)?
Еще одна заметку в тему предстоящего через пару дней SOC-Forum. На этот раз на тему того, что же такое SOC и является ли обернутый  в процессы SIEM-продукт таким SOCом?

Вообще, если посмотреть на программу  форума, то можно увидеть интересную тенденцию, все выступления (если не брать те, которые непосредственно касаются SOCов) концентрируются вокруг либо SIEM, либо реагирования на инциденты. Когда речь заходит о SOCах (Security Operation Center), то почему-то обычно все уходят в крайности - либо такой центр занимается только мониторингом (поэтому не случайно так часто термины SOC и SIEM сосуществуют рука об руку), либо он занимается борьбой с последствиями успешных атак.

Так многие воспринимают Security Operations Center
Никто не будет спорить, что и мониторинг, и реагирование, - это operations (повседневные операции), которыми занимаются службы ИБ. Вот только возникает логический вопрос - а остальные операции куда пропали? Управление уязвимостями, управление патчами, управление средствами защиты, управление криптографическими ключами и сертификатами, управление учетными записями… Куда попадают эти операции? В SOC? Если следовать буквальному термину, то да. Но почему тогда про них мало кто говорит в контексте SOC?

Почему некоторые компании, установив у себя SIEM, говорят о том, что у них теперь есть SOC? Только потому, что они еще и некоторые SIEM-процессы внедрили? Или потому что на каждый отфильтрованный сигнал тревоги запускается процедура разбора полетов? А как насчет других повседневных операций? Почему все концентрируются только вокруг SIEM, как витрины SOC, или вокруг реагирования на инциденты? Что же все-таки такое Security Operations Center, которому будет посвящен предстоящий форум? Надо будет обсудить это на форуме.

Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться