SOC: що це таке і навіщо воно потрібне?

Які завдання у SOC?

• Виконувати моніторинг, шукати і аналізувати вторгнення в режимі реального часу.
• Запобігати кіберзагрози, діючи на випередження: безперервно сканувати комп’ютерні мережі на уразливості і аналізувати інциденти безпеки.
• Швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування.
• Формувати звіти про стан безпеки, кіберінцідентах і патернах поведінки противника.

Саме трудомістке в роботі SOC – постійно аналізувати великі обсяги даних.  Центр забезпечення безпеки збирає, зберігає і аналізує від десятків до сотень мільйонів подій безпеки щодня. Не забуваємо, що все це контролюють експерти: вони включаються в роботу, коли потрібно вирішити, що робити з знайденої загрозою.

Навіщо SOC потрібен компаніям?

1. Безперервний контроль за безпекою організації. У кіберзагроз та кіберзлочинців, які за ними стоять, немає робочого часу, вихідних та обідніх перерв. Оперативно виявляти інциденти безпеки допоможуть тільки постійний моніторинг і сканування мережевої активності. Чим швидше організація реагує на кібератаки, тим менше вона ризикує безпекою.
2. Відомості про вторгнення і кіберзагрози зберігають і обробляють централізовано. Центр забезпечення безпеки стає єдиною базою знань про всі мережеві інциденти. Імовірність того, що значущі дані про атаки або кіберзагрози будуть втрачені з поля зору, прагне до нуля.
3. Підрозділи організації спільно вирішують питання безпеки. Одночасно виключається ситуація, коли експерти всередині однієї компанії працюють розрізнено і приймають суперечливі рішення.
4. Скорочуються ризики для організації. Компанії, що впровадили SOC, мають все, що спрощує аналіз мережевих загроз, дозволяє зрозуміти їх причини та запобігти повторні атаки.
5. Знижуються витрати на кібербезпеку. Неважливо, що ви захищаєте: невеликий ЦОД, хмарну інфраструктуру або гібридну середу – в довгостроковій перспективі SOC допоможе знизити витрати на забезпечення безпеки.

Поширені помилки

Статистика з минулих звітів Micro Focus SIOC показує, що тільки 25% проектів створення SOC домоглися виконання поставлених цілей. При цьому, якщо привести шість найбільш розповсюджених помилок, то можна побачити наступне:

1. Недостатня підтримка.
   SOC не підвішений в вакуумі. Його співробітникам доводиться щодня взаємодіяти з більшістю підрозділів організації. Без підтримки керівництва і чітко визначеної мети забезпечити ефективну роботу з розслідування інцидентів неможливо;
2. Наголос на технічні рішення.
   Найбільш частою причиною проблем є перекіс бюджетів в бік впроваджень технічних рішень, що призводить до недостатньої кваліфікації і кількості фахівців. Більшість сучасних загроз вимагає серйозної кваліфікації аналітика, а також високого рівня організації роботи з розслідування інцидентів;
3. Порушення принципу «від простого до складного».
   Проблеми з рішенням базових задач інформаційної безпеки обов’язково призводять до ускладнень при вирішенні завдань більш високого рівня.  Управління інформаційними активами, кореляція кадрової інформації, категоризація інформаційних активів – вся ця інформація є ключовою при розслідуванні інцидентів;
4. Відсутність фокусу.
   Рішення невластивих, другорядних завдань має суттєвий негативний вплив на результати роботи ситуаційного центру;
5. Робота «заради галочки».
   На жаль, вирішення завдань щодо забезпечення формальної відповідності вимогам регуляторів або стандартами не завжди призводить до суттєвого підвищення рівня захищеності;
6. Відсутність процесного підходу.
   Фінансування ситуаційних центрів найчастіше закінчується на етапі впровадження. Забезпечення ресурсами їх повсякденної роботи часто вкрай недостатньо, проте абсолютно необхідно для їх ефективної роботи.

На закінчення варто відзначити, що поняття Security Operations Center в розвинених країнах Європи, Америки, Азії вже давно стало реальністю.  Наскільки буде близьким цей шлях покаже час. Поки відзначимо лише той факт, що в Україні велика частина і державних, і комерційних організацій ще не дозріли навіть до “просто” впровадження SIEM-системи.