SOC: что это такое и зачем оно нужно?

Какие задачи у SOC?

• Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
• Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
• Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
• Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.

Самое трудоемкое в работе SOC – постоянно анализировать большие объемы данных. Центр обеспечения безопасности собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности ежедневно. Не забываем, что все это контролируют эксперты: они включаются в работу, когда нужно решить, что делать с найденной угрозой.

Зачем SOC нужен компаниям?

1. Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.
2. Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно. Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю. 
3. Подразделения организации совместно решают вопросы безопасности. Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения. 
4. Сокращаются риски для организации. Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки. 
5. Снижаются затраты на кибербезопасность. Неважно, что вы защищаете: небольшой ЦОД, облачную инфраструктуру или гибридную среду  – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности. 

Распространенные ошибки

Статистика из прошлых отчетов Micro Focus SIOC показывает, что только 25% проектов создания SOC добились выполнения поставленных целей. При этом, если привести шесть наиболее часто встречающихся ошибок, то можно увидеть следующее: 

1. Недостаток поддержки.
   SOC не подвешен в вакууме. Его сотрудникам приходится каждый день взаимодействовать с большинством подразделений организации. Без поддержки руководства и четко определенной цели обеспечить эффективную работу по расследованию инцидентов невозможно; 
2. Упор на технические решения.
   Наиболее частой причиной проблем является перекос бюджетов в сторону внедрений технических решений, что приводит к недостаточной квалификации и количеству специалистов. Большинство современных угроз требует серьезной квалификации аналитика, а также высокого уровня организации работы по расследованию инцидентов; 
3. Нарушение принципа «от простого к сложному».
   Проблемы с решением базовых задач информационной безопасности обязательно приводят к затруднениям при решении задач более высокого уровня. Управление информационными активами, корреляция кадровой информации, категоризация информационных активов – вся эта информация является ключевой при расследовании инцидентов;
4. Отсутствие фокуса.
   Решение несвойственных, второстепенных задач оказывает существенное негативное влияние на результаты работы ситуационного центра;
5. Работа «ради галочки».
   К сожалению, решение задач по обеспечению формального соответствия требованиям регуляторов или стандартам не всегда приводит к существенному повышению уровня защищенности;
6. Отсутствие процессного подхода.
   Финансирование ситуационных центров зачастую заканчивается на этапе внедрения. Обеспечение ресурсами их повседневной работы зачастую крайне недостаточно, однако совершенно необходимо для их эффективной работы.

В заключение стоит отметить, что понятие Security Operations Center в развитых странах Европы, Америки, Азии уже давно стало реальностью. Насколько будет близким этот путь покажет время. Пока отметим лишь тот факт, что в Украине большая часть и государственных, и коммерческих организаций ещё не дозрели даже до «просто» внедрения SIEM-системы.