Один из таких отделов – это центр мониторинга информационной безопасности, который часто сокращается как СОК (от анг. SOC, Security Operation Center). Задача такого центра – обеспечение защиты сетевой инфраструктуры компании от разного рода киберугроз, будь то хакер, внутренний нарушитель или неопытный разработчик.
В этой статье будут рассмотрены основные составляющие центра мониторинга киберугроз, разница между внутренним и коммерческим центрами, какие существуют маркеры эффективности и критерии выбора SOC.
Что такое SOC?
Если проводить аналогию, то SOC – это отдел отдел безопасности, только для цифрового пространства. В роли замков выступают защитные инструменты, вместо ключей и пропусков – системы аутентификации. Функции сигнализации исполняют системы мониторинга и предупреждения, а роль « секьюрити» – сами ИБ-специалисты.
Если говорить о коммерческом SOC, то принцип тот же – это условный «киберЧОП», который работает сразу с несколькими компаниями, осуществляет мониторинг их инфраструктуры и реагирует на инциденты.
Что существенно отличает центры мониторинга кибербезопасности от охранных предприятий и отделов – это количество инцидентов. Если желающих произвести физический взлом и проникнуть в офис компании достаточно немного, ввиду высокого риска попасться, то киберпреступники регулярно остаются безнаказанными, а значит – практически безбоязненно готовы атаковать инфраструктуру компаний, о чем и говорит растущее год от года количество кибератак, которое фиксируют все профильные исследователи.
Как и у любой структуры, у SOC есть свои критерии эффективности, по которым руководство компании может понять результативность работы центра мониторинга информационной безопасности.
[...]
Штат специалистов SOC
Если говорить о внутреннем SOC, то вариации могут быть самые разные. Многое зависит от таких факторов, как оснащение центра мониторинга и бюджета на кибербезопасность. В этом случае бюджет (или квота по штату) напрямую регламентируют количество и квалификацию специалистов.
В случае с коммерческими SOC ситуация также может разниться. Здесь главные факторы – это наличие собственных программных продуктов и развитость услуг компании. Исходя из них, в список сотрудников SOC могут входить и DevOps-специалист, и юридический консультант, и ряд других специалистов.
Но если говорить об «усредненных значениях», то в список сотрудников центра мониторинга информационной безопасности входят:
- Сетевой администратор. Инженер, который настраивает ИС безопасности и отвечает за непрерывность обмена данными между ними, а также вывод из них.
- Специалист по настройке правил. Этот сотрудник отвечает за формулировку правил для SIEM и других похожих систем.
- Аналитик 1 уровня (L 1). Его задача заключается в первичной обработке инцидента, отделении ложноположительных срабатываний от реальных угроз. Он принимает первые действия по реагированию, согласно с установленным в компании регламентом.
- Аналитик 2 уровня (L 2). Если специалист первого уровня не знает, что предпринять, в дело вступает аналитик второго уровня. Это опытный ИБ-специалист, который может разобраться в сложной ситуации и принять «креативное» решение, без опоры на правила реагирования.
- Специалист по реверс-инжинирингу. Это эксперт с высокими компетенциями в разработке, который обладает знаниями и навыками, которые позволяют разобраться в ВПО, которое незнакомо ни аналитику L2, ни вспомогательным системам (TI).
- Эксперт по форензике. Независимо от того, чем закончился инцидент, его нужно расследовать: оценить нанесенный ущерб, описать поведение вредоноса, отследить путь хакеров до точки входа в инфраструктуру. Всем этим занимается форензик-эксперт или же специалист по компьютерной криминалистике.
- Специалист по киберразведке. Задача этого эксперта – проверка информационных систем на предмет скрытой хакерской активности. Например, APT-атак. Она включает как мониторинг систем, так и изучения данных с хакерских форумов.
[...]
Два вида SOC: преимущества и недостатки
Центры мониторинга принято разделять на две группы:
- Внутренний. Это полноценная структура внутри компании, со штатными специалистами и ситуационным центром, в котором происходит администрирование системы безопасности и реагирование на инциденты.
- Внешний. Компания обращается к вендору и получает все функции в формате комплексной услуги.
Большинство различий с точки зрения компании стандартны в контексте выбора между «свое» или «аутсорс». Если говорить кратко, то аутсорс проще для компании с точки зрения всех уровней кибербезопасности, начиная с формирования политики ИБ и заканчивая регламентом реагирования на инцидент, экспертизой.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
ИБ и SOC – это поддерживающая функция организации. Она поддается общему правилу экономической целесообразности. Пока стоимость владения ниже собственного SOC с таким же уровнем обслуживания, а качество услуг SOC приемлемо, лучше использовать SOC как услугу. При этом:
- SOC как услуга обладает меньшей гибкостью: коммерческий SOC незначительно подстраивается под процессы организации. Это масс-маркет, балансирующий между эффективностью, достаточной для выполнения SLA и снижением собственных издержек.
- Коммерческий SOC – это операционные, а не капитальные расходы, которыми проще управлять.
- Емкость персонала и запас прочности для обеспечения непрерывности в коммерческом SOC изначально выше: большой штат и процессы управления знаниями приземляются на множество клиентов. Во внутреннем SOC решение этих аспектов, с учетом дефицита кадров на рынке, может стоить очень дорого.
Создавать собственный SOC пора, когда есть уверенность в своих силах, компетенциях и ресурсах или в случае, когда поставщики услуг SOC не могут удовлетворить потребность, которую компания-заказчик считает критически важной.
Создание собственного центра мониторинга и реагирования на киберугрозы актуально для крупных компаний, которые достаточно зрелы с позиции ИБ, достаточно знакомы с инструментами защиты, а главное – четкие представления о том, сколько ресурсов и времени потребуется на создание собственного центра с достаточным штатом и оснащением.
Подробнее на сайте издания по ссылке.