Что такое soc

Что такое SOC и для чего он нужен компаниям

Быстро реагировать на киберугрозы, комплексно защищать компьютерные сети и управлять безопасностью организации в режиме реального времени – лишь малая часть задач, которые решают с помощью SOC . Какие люди и технологии стоят за обеспечением безопасности и как компании приступить к внедрению этого инструмента, разбираемся в статье.

Определение и задачи SOC

SOC (Security Operations Center, или Центр обеспечения безопасности) – то, что объединяет людей, процессы и технологии в достижении глобальной цели: снижение рисков через повышение киберзащиты в организации. Но прежде всего SOC – это команда экспертов по безопасности, которые вооружены технологиями обнаружения, анализа, подготовки отчетов и предотвращения киберугроз.

SOC можно сравнить с работой команды пожарных или медиков на скорой помощи. Киберспециалисты в SOC, как и сотрудники экстренных служб, помогают в чрезвычайной ситуации: оперативно появляются в нужном месте, анализируют угрозы и принимают соответствующие меры. Еще их объединяет стремление не допустить подобные инциденты.

SOC – это непрерывные потоки информации, которые обрабатывают и компьютерные системы, и эксперты

Задачи SOC

• Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
• Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
• Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
• Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.

Самое трудоемкое в работе SOC – постоянно анализировать большие объемы данных. Центр обеспечения безопасности собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности ежедневно. Не забываем, что все это контролируют эксперты: они включаются в работу, когда нужно решить, что делать с найденной угрозой.

Зачем SOC нужен компаниям?

Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.

Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно . Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю.

Подразделения организации совместно решают вопросы безопасности . Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения.

Сокращаются риски для организации . Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки.

Снижаются затраты на кибербезопасность . Неважно, что вы защищаете: небольшой ЦОД , облачную инфраструктуру или гибридную среду – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности.

Управление обеспечением ИТ безопасности
Оставить заявку

Как внедрить SOC в организации

Создание современного Центра обеспечения безопасности требует намного большего, чем просто поиск подходящего оборудования и специалистов. Работа над SOC превратится в непрерывный процесс, он поможет организации оперативно реагировать на постоянно возникающие угрозы безопасности, идти в ногу с технологиями и создавать комфортную среду, в которой легко поддерживать безопасность и производительность. С чего начать?

Оцените потенциал организации

Перед тем, как строить собственный Центр обеспечения безопасности, оцените потенциал организации и составьте подробный план по рискам. Приготовьтесь к тому, что столкнетесь с непрерывным потоком предупреждений о безопасности, в том числе ложных. А команда экспертов будет перегружена данными об угрозах и не всегда сможет эффективно их нейтрализовать и предупреждать.

Чтобы оценить потенциальные угрозы, ответьте на три ключевых вопроса:

Какие угрозы опасны для бизнеса?

Как выглядит каждая из этих угроз?

Как SOC будет их обнаруживать и блокировать?

Организация должна быть заинтересована в том, чтобы определить источники данных, которые помогут оперативно обнаруживать, блокировать и в будущем предупреждать угрозы. Основная информация поступает через события безопасности и сетевую активность, средства анализа угроз, инструменты авторизации. Дальше они попадают на платформу разведки безопасности, которая консолидирует сведения об угрозах, сопоставляет, идентифицирует и предупреждает о них экспертов SOC. И на последнем этапе в работу включается система управления и регистрации тикетов.

Помните о том, что нет организаций с неограниченными ресурсами для постоянной поддержки SOC. Рабочая нагрузка на Центр будет расти, и вам придется разрабатывать свои инструменты, которые позволят как минимум различать реальные и ложные инциденты безопасности.

Приготовьтесь к тому, что информационная нагрузка на экспертов увеличится

Соберите команду экспертов

Работа команды экспертов по безопасности зависит от организации, ее целей и потребностей. Это может быть служба безопасности, постоянная команда внутри организации, внешняя команда ИТ-специалистов и специалистов по кибербезопасности или комбинированный вариант.

В Центр обеспечения безопасности следует нанимать квалифицированный и сертифицированный персонал. Так как проблемы и угрозы постоянно меняются, вам нужны люди, которые быстро учатся, легко адаптируются и могут мыслить нестандартно там, где нужно оперативно принимать решения. Лучше всего привлекать в SOC действующих сотрудников из IT-подразделения.

Будьте в курсе новых угроз

Следите за тенденциями в среде компьютерной безопасности и держите руку на пульсе актуальных отраслевых практик. Старайтесь в числе первых узнавать о новых угрозах и обеспечьте необходимыми знаниями и навыками команду Центра. Методы обнаружения и защиты, которые были эффективными два-три года назад, вероятно, потеряли актуальность и не соответствуют текущим угрозам.

Разработайте модель работы SOC

SOC может работать централизованно или децентрализованно. В первом случае в Глобальный центр обеспечения безопасности (GSOC) компании из отдельных офисов поступают оповещения, видео с камер наблюдения и другая разведывательная информация. В децентрализованной модели региональные SOC функционируют обособленно и передают в главный офис только важную информацию. В любом случае вам нужно установить тесные связи между командами экспертов по безопасности, сотрудниками IT и других подразделений.

Обеспечьте инфраструктуру для поддержки SOC

Оборудование для SOC включает системы контроля доступа, системы обнаружения вторжений, консоли и другое оборудование, а связующим звеном выступает специализированное программное обеспечение. Полностью укомплектованный Центр обеспечения безопасности должен работать в режиме 24/7, иначе в нем нет смысла.

Из инструментов для реализации SOC потребуются:

• Инструменты сбора данных.
• Решения для защиты конечных устройств.
• Решения для обеспечения безопасности информации и управления событиями (SIEM) .
• Инструменты оркестровки и автоматизации безопасности.

Удобно использовать их не по отдельности, а комплексно, предварительно интегрировав в бизнес-процессы организации.

Если вы серьезно настроены на внедрение SOC, рекомендуем ознакомиться с электронной книгой Ten Strategies of a World-Class Cybersecurity Operations Center Карсона Циммермана. Обратите внимание на Приложение В с тестом «Нужен ли вам SOC?». Уделите ему 20 минут, и вы поймете, чего стоит ожидать от Центра обеспечения безопасности и насколько вы готовы к его внедрению.

«ИТ Гильдия» предлагает внедрение услуги « Управление обеспечением безопасности » — приложение от ServiceNow поможет выявлять и оперативно реагировать на инциденты безопасности и уязвимости. Оформите заявку на сайте компании, и наши эксперты ответят на интересующие вопросы.

SOC (Security Operation Center)

Все больше компаний задумывается о таком решении по кибербезопасности, как Security Operation Center (SOC). Это диктуется необходимостью успешно противостоять многочисленным киберугрозам, которые становятся все более сложными и разнообразными с каждым годом. Наличие эффективного и гибкого инструментария помогает поддерживать информационную безопасность на высоком уровне. При грамотном подходе к организации SOC и его развитию можно добиться впечатляющих результатов.

Что такое SOC (Security Operation Center)

В погоне за кибербезопасностью многие заказчики забывают о том, что это не только технологии и оборудование. Здесь многое решает команда людей, которая обслуживает центр кибербезопасности и работает в таких направлениях, как выявление, анализ угроз, предотвращение и реагирование. Именно из этого складываются конкретные процессы SOC. Они взаимосвязаны и подразумевают тесную кооперацию персонала разных подразделений между собой. Немаловажное значение для полноценной и эффективной работы центра кибербезопасности имеет взаимодействие ИТ- и ИБ-подразделений. Нельзя делать ставку только на технические инструменты и технологии – они лишь часть происходящих процессов, где требуется помимо автоматизации еще и грамотное управление. Профессионально выстроенный и эффективно работающий SOC обязательно включает обученный и подготовленный персонал, отлаженные процессы, высокий технический уровень оснащения. Центр кибербезопасности не может быть построен по какому-то готовому и единому стандарту. Его создают под решение конкретных задач и с учетом индивидуальных особенностей каждой организации.

Как запустить SOC (Security Operation Center) с нуля?

SOC (Security Operation Center): цели, задачи, главные параметры

Для начала необходимо определиться, для каких целей и задач планируется создание SOC. Они должны быть понятны, очевидны, конкретны. В противном случае все сведется к использованию SIEM и может на этом и закончиться. Необходимо начать с проработки таких параметров, как архитектура, функционал, задачи будущего центра кибербезопасности. Причем сделать это не на словах, а в качестве утвержденного проекта или программного документа, с которым будут работать архитекторы. Также особого внимания заслуживают подходы к обнаружению инцидентов, меры реагирования на них, аналитика. Главными параметрами при создании SOC с нуля являются:

• Организационная модель. Здесь учитываются возможный вариант интеграции SOC в другие подразделения, уровень централизации и управления, количество специалистов в команде, их спецификация.
• Функционал. Перечень возможностей и решений для выполнения конкретных задач.
• Уровень полномочий. Насколько глубоким будет вмешательство SOC в работу компании: уведомления, рекомендации, смена конфигурации оборудования, прекращение процессов и т. д.

Главные процессы в SOC

Центр кибербезопасности в готовом варианте способен поддерживать и выполнять более 40 различных функций. Понятно, что это делается не одновременно. Примерно столько же может насчитываться процессов SOC. В данном случае «много» не тождественно «хорошо и надежно», так как лучше настроить 10–15 процессов и регулярно ими пользоваться, чем пытаться задействовать все, но без понимания принципов их работы.

Среди ключевых процессов, которые нужно настроить и запустить, – сбор данных и сигналов об инцидентах, аналитика, система мер реагирования, взаимодействие разных подразделений компаний. Все они требуют тщательной проработки, тестирования, автоматизации. После этого можно переходить к подбору технических средств. Важно, чтобы в итоге процессы стали взаимосвязанными и дополняющими друг друга, а не разрозненными действиями, иначе SOC не будет обеспечивать максимальный уровень безопасности.

Изучение инфраструктуры, подбор технических средств

Большинство центров кибербезопасности работает на базе SIEM-решений. Перед тем как внедрять и настраивать SIEM, лучше всего собрать данные об источниках информации, правилах корреляции, которые предполагается использовать. Для этого прекрасно подходят сканеры уязвимостей. Они быстро и точно проанализируют инфраструктуру, выявят риски. После изучения инфраструктуры необходимо разделить объекты на классы критичности. Объекты с повышенным уровнем критичности подключаются к SIEM сразу. В отношении них устанавливают правила корреляции.

Полезным дополнением для SOC станет Service Desk. Зачастую он уже включен в состав SIEM-решения. Если нет – имеет смысл провести интеграцию. С помощью Service Desk соблюдаются сроки реагирования на инциденты, проводится оценка работы команды. Это своего рода помощник, указывающий на возможные проблемы и необходимость доработки SOC-процессов, если что-то пошло не так.

Подбор команды, выбор рабочих режимов

Человеческие ресурсы при создании и запуске SOC – залог успеха. А это значит, что на ключевых позициях в SOC должны быть лучшие из лучших. Оптимальный вариант – набирать команду еще на стадии создания проекта, чтобы персонал принял участие в отладке, создании процессов и задач SOC. Необходимо сформировать минимум две рабочие линии для распределения обязанностей и контроля результатов:

1. Первая линия. Предназначена для сортировки входящих данных и фактов, указывающих на инциденты. Главная задача сотрудников 1-й линии – своевременно проводить обработку поступающей информации. Они не занимаются глубокой проверкой инцидентов, лишь фиксируют поступающие сведения и передают их в работу дальше.
2. Вторая линия. Здесь работают высококвалифицированные специалисты, они глубоко и детально изучают инциденты, проводят их тщательный анализ и выполняют расследования. Обычно они уже успели поработать на первой линии и имеют соответствующий опыт.

Обучение персонала

В контексте развития компетенций чем больше опыта, тем лучше. Регулярное обучение, посвященное техническим аспектам деятельности, работа в команде, обмен опытом помогут поддерживать актуальность навыков сотрудников и их уровень. Команда должна работать как часы, а сотрудники уметь подменять коллег при внештатных ситуациях. Для этого можно периодически производить ротацию сотрудников на линиях работы, организовывать своевременные тренинги, чтобы поддерживать стабильно высокий уровень эффективности команды.

Использование аутсорсинга

Привлечение опытного сервисного провайдера для запуска SOC – набирающая популярность практика. Первые шаги – самые важные, поэтому лучше воспользоваться услугами тех, кто располагает опытом в области обеспечения безопасности и готов провести запуск проекта в сжатые сроки. Аутсорсинг не исключает вероятности риска утечки данных, поэтому выбор сервис-провайдера – ответственный шаг. Также при привлечении сторонних компаний нужно принимать во внимание два момента. Первый – предложенное оборудование и ПО сервис-провайдера придется оплачивать уже после запуска SOC. Второй – потребуется настройка SIEM под правила корреляции провайдера и наоборот, под свои собственные.

Контроль результатов

Оценка результативности ведется не по затраченному времени и количеству выявленных инцидентов — такой подход субъективен. Нужно вводить KPI работы сотрудников на уровне отдельных компонентов системы, подсистем и всего центра кибербезопасности. Оценивать и анализировать лучше всего конкретные и понятные параметры, которые дают представление о проделанной работе, ее глубине, эффективности. Например, количество просроченных критичных инцидентов, измеренное по определенному уровню или минимуму, или общее время простоя бизнес-процессов, связанное с инцидентами ИБ. KPI поможет обнаружить слабые места в работе команды и процессы, которые нужно доработать и настроить.

Создание SOC (Security Operation Center) – это серьезный вызов, требующий основательного подхода и глубоких компетенций. Чтобы результат соответствовал ожиданиям, а время и средства не были потрачены впустую, лучше выбрать надежного сервис-провайдера и строить SOC в его сопровождении. Таким партнером может стать центр противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», обеспечивающий защиту крупных государственных и коммерческих организаций от киберугроз любого уровня сложности и оказывающий помощь другим корпоративным SOC.

SOC: что это такое и зачем оно нужно?

SOC — это команда, состоящая в основном из аналитиков по безопасности, в задачи которой входит обнаружение и анализ инцидентов кибербезопасности, оперативное реагирование, предотвращение их возникновения и составление отчетности.

Какие задачи у SOC?

• Выполнять мониторинг, искать и анализировать вторжения в режиме реального времени.
• Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
• Быстро реагировать на подтвержденные инциденты и исключать ложные срабатывания.
• Формировать отчеты о состоянии безопасности, киберинцидентах и паттернах поведения противника.

Самое трудоемкое в работе SOC – постоянно анализировать большие объемы данных. Центр обеспечения безопасности собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности ежедневно. Не забываем, что все это контролируют эксперты: они включаются в работу, когда нужно решить, что делать с найденной угрозой.

Зачем SOC нужен компаниям?

1. Непрерывный контроль за безопасностью организации. У киберугроз и киберпреступников, которые за ними стоят, нет рабочего времени, выходных и обеденных перерывов. Оперативно выявлять инциденты безопасности помогут только постоянный мониторинг и сканирование сетевой активности. Чем быстрее организация реагирует на кибератаки, тем меньше она рискует безопасностью.
2. Сведения о вторжениях и киберугрозах хранят и обрабатывают централизованно. Центр обеспечения безопасности становится единой базой знаний обо всех сетевых инцидентах. Вероятность того, что значимые данные об атаках или киберугрозах будут упущены из виду, стремится к нулю.
3. Подразделения организации совместно решают вопросы безопасности. Одновременно исключается ситуация, когда эксперты внутри одной компании работают разрозненно и принимают противоречивые решения.
4. Сокращаются риски для организации. Компании, внедрившие SOC, располагают всем, что упрощает анализ сетевых угроз, позволяет понять их причины и предотвратить повторные атаки.
5. Снижаются затраты на кибербезопасность. Неважно, что вы защищаете: небольшой ЦОД, облачную инфраструктуру или гибридную среду – в долгосрочной перспективе SOC поможет снизить затраты на обеспечение безопасности.

Распространенные ошибки

Статистика из прошлых отчетов Micro Focus SIOC показывает, что только 25% проектов создания SOC добились выполнения поставленных целей. При этом, если привести шесть наиболее часто встречающихся ошибок, то можно увидеть следующее:

1. Недостаток поддержки.
   SOC не подвешен в вакууме. Его сотрудникам приходится каждый день взаимодействовать с большинством подразделений организации. Без поддержки руководства и четко определенной цели обеспечить эффективную работу по расследованию инцидентов невозможно;
2. Упор на технические решения.
   Наиболее частой причиной проблем является перекос бюджетов в сторону внедрений технических решений, что приводит к недостаточной квалификации и количеству специалистов. Большинство современных угроз требует серьезной квалификации аналитика, а также высокого уровня организации работы по расследованию инцидентов;
3. Нарушение принципа «от простого к сложному».
   Проблемы с решением базовых задач информационной безопасности обязательно приводят к затруднениям при решении задач более высокого уровня. Управление информационными активами, корреляция кадровой информации, категоризация информационных активов – вся эта информация является ключевой при расследовании инцидентов;
4. Отсутствие фокуса.
   Решение несвойственных, второстепенных задач оказывает существенное негативное влияние на результаты работы ситуационного центра;
5. Работа «ради галочки».
   К сожалению, решение задач по обеспечению формального соответствия требованиям регуляторов или стандартам не всегда приводит к существенному повышению уровня защищенности;
6. Отсутствие процессного подхода.
   Финансирование ситуационных центров зачастую заканчивается на этапе внедрения. Обеспечение ресурсами их повседневной работы зачастую крайне недостаточно, однако совершенно необходимо для их эффективной работы.

В заключение стоит отметить, что понятие Security Operations Center в развитых странах Европы, Америки, Азии уже давно стало реальностью. Насколько будет близким этот путь покажет время. Пока отметим лишь тот факт, что в Украине большая часть и государственных, и коммерческих организаций ещё не дозрели даже до «просто» внедрения SIEM-системы.

Предыдущий

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности

| Слушать на Apple Podcasts | Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке | Слушать на Castbox | Слушать на Podcast Addict | Слушать на Pocket cast | Руслан Рахметов, Security Vision

Оглавление

Друзья, в предыдущей статье (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) мы обсудили основные понятия информационной безопасности и дали определение некоторым терминам. Разумеется, сфера защиты информации не ограничивается описанными определениями, и по мере появления новых статей мы будем всё больше погружаться в данную область и объяснять специфические термины.

Сейчас же давайте представим, как выглядит практическая работа тех, кто профессионально занимается информационной безопасностью, т.е. специалистов по защите информации. Мы часто слышим, что многие значимые расследования хакерских атак ведутся в Ситуационных центрах информационной безопасности, или Центрах SOC (от англ. Security Operations Center). Что такое SOC? Кто там работает и что делает? Какие обязанности выполняют сотрудники SOC, с какими системами и средствами они работают? Правда ли, что без знаний языков программирования не удастся достичь высот в работе в составе команды SOC-Центра, а навыки администрирования информационных систем нужны специалисту по защите информации как воздух? Поговорим об этом ниже.

Итак, давайте для начала ответим на вопрос: SOC — что это? SOC — это аббревиатура Security Operations Center, что в буквальном переводе с английского означает «Центр операций по безопасности», однако такой дословный перевод не раскрывает смысл данного термина, поэтому в русскоязычной литературе SOC часто переводится как Ситуационный центр информационной безопасности, что яснее отражает специфику работы. В англоязычной литературе также встречается термин CSOC — CyberSecurity Operations Center, а в русскоязычной литературе встречаются такие термины, как SOC — Центр мониторинга кибербезопасности или SOC — Центр обеспечения компьютерной безопасности. Кроме того, термин SOC отечественные специалисты по информационной безопасности также используют в качестве акронима, произнося его как «СОК». В любом случае, это означает одно и то же: SOC — это структурное подразделение, осуществляющее мониторинг работы систем защиты информации и реагирующее на инциденты информационной безопасности. Таким образом, SOC — это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.

Приведем пример: если у вас на домашнем компьютере установлен антивирус, то чем скорее вы увидите предупреждающее сообщение от него, тем выше шанс избежать заражения компьютерным вирусом: антивирус может быть настроен так, что лишь уведомит вас о возможной атаке, а сам вирус может продолжать «жить» в системе, пока вы не дадите команду антивирусу на его удаление. Или другой пример: все мы знаем, что далеко не все угрозы современного интернета обнаруживаются антивирусными средствами и файерволлами: печально известные вирусы WannaCry и NotPetya «не ловились» защитными средствами, поэтому они смогли поразить большое количество компьютеров и серверов. Почему такое происходит? Дело в том, что самые опасные вирусы используют уязвимости штатного функционала операционных систем и программ, что приводит к тому, что антивирус «считает», что происходящее на компьютере после заражения — это нормальное поведение системы, вызванное легитимными действиями пользователя. И как раз в такие моменты сотрудникам Центров SOC очень важно быстро заметить, что в системе происходят аномальные события: слишком большое количество измененных файлов за малый промежуток времени (это признак работы вируса-шифровальщика, который потребует выкуп за восстановление доступа к зашифрованным им файлам), нетипичный интернет-трафик к разным ресурсам (это признак заражения компьютера программой-ботом, которая может осуществлять DDoS-атаки на интернет-сайты от вашего имени), слишком большое потребление системных ресурсов интернет-браузером (это может означать, что вы зашли на сайт, зараженный вирусом-майнером, который за ваш счет добывает криптовалюту) и т.д.

Итак, Центр SOC — это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди — эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способные понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности), IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству). Об этих системах мы подробно поговорим в следующих публикациях.

Пока же нам следует уяснить, из каких специалистов должен состоять Центр SOC? Какие компетенции важны для успешной и плодотворной работы в Ситуационных центрах информационной безопасности? Для начала мы подробнее расскажем, какие именно задачи решаются в SOC-Центрах, поговорим о классификации SOC и о моделях работы и предоставления сервисных услуг заказчикам Ситуационных центров информационной безопасности.

Основная задача SOC-Центра — это обеспечение реагирования на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.

SOC-Центры могут быть внутренними и внешними (их еще называют коммерческими или аутсорсинговыми). Внутренний SOC как правило создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности. При этом, как правило, имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC — это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.

На практике подключение и использование услуг SOC-Центра выглядит следующим образом:

1. Заказчик услуг SOC-Центра, который видит необходимость в аутсорсинге оперативного реагирования на свои инциденты ИБ, обращается к менеджерам SOC с запросом о подключении к сервисам SOC.

2. Менеджеры Центра SOC согласовывают детали подключения информационных и защитных систем заказчика к инфраструктуре SOC-Центра для того, чтобы оперативно обрабатывать поступающие данные без выезда на площадку Заказчика.

3. Инженеры внешнего SOC-Центра подключают источники информации и событий ИБ компании-заказчика в свою внутреннюю систему управления инцидентами — эту роль выполняет, как правило, SOAR или SIEM-система. При этом следует обеспечить надежный и защищенный канал связи между компанией-заказчиком и внешним SOC-Центром для обеспечения оперативного обмена информацией.

4. На площадке Заказчика информационные системы и имеющиеся средства технической защиты настраиваются на пересылку всей значимой с точки зрения ИБ информации во внешний SOC.

5. Во внешнем SOC-Центре входящие данные непрерывно обрабатываются сотрудниками SOC (дежурной сменой), которая состоит, как правило, из следующих специалистов:

Системный администратор или инженер — тот, кто настраивает внутренние системы SOC-Центра, которые используются в обработке инцидентов заказчиков (это системы SIEM, SOAR, IRP и аналогичные), а также отвечает за стабильность получения данных из систем компании-заказчика. Такому специалисту просто необходимо быть «на ты» с различными типами операционных систем, прикладным ПО, разнообразными системами киберзащиты. В случае, если в коммерческом SOC-Центре используется какое-то самостоятельно созданное программное обеспечение, то на системного администратора SOC могут быть возложены еще и функции непрерывной интеграции и настройки такого ПО для обеспечения бесперебойности бизнес-процесса кибербезопасности, связанного с ним (это еще называют DevOps от англ. Development & Operations).

Специалист по настройке правил в системах SIEM, SOAR, IRP получает от Заказчика вводные данные о работе информационных систем и затем составляет правила выявления инцидентов и реагирования на них в используемых в SOC-Центре системах. Это могут быть правила корреляции в системах SIEM, которые отвечают за обработку входящих сообщений от систем безопасности заказчика и за выстраивание этих разнородных событий в логически целостную «историю» для поиска возможной атаки. Также настраиваются правила автоматического реагирования, локализации, восстановления информационных систем при помощи SOAR и IRP решений. В случае, если для защиты Заказчиков используются сигнатурные методы обнаружения угроз, например, антивирусы или системы обнаружения/предотвращения компьютерных вторжений, то данный специалист создает для них сигнатуры, т.е. описывает правила, по которым угроза должна быть обнаружена.

Аналитик 1-го уровня (встречаются также термины L 1 Analyst или Tier 1 Analyst) осуществляет первичную обработку киберинцидентов — так называемый «триаж» или распределение и первичный отсев явных ложных срабатываний систем (такие события и инциденты называются ложноположительными, в английской литературе употребляется термин False Positive). Специалисты 1-го уровня в работе опираются, как правило, на заранее созданные в SOC-Центре сценарии реагирования (англ. Playbooks), в которых указана последовательность шагов, которые надо оперативно предпринять при поступлении того или иного типа инцидента. В случае, если аналитик 1-го уровня может самостоятельно выполнить все действия, он осуществляет реагирование своими силами. Если он столкнулся с необходимостью эскалации инцидента, то он передает его на следующий уровень — аналитику 2-го уровня.

Аналитик 2-го уровня (L2 Analyst или Tier 2 Analyst) получает данные с 1-го уровня реагирования. Ему уже нужно не опираться на какие-то шаблоны реагирования, а анализировать уникальную ситуацию, применяя свою экспертизу и опыт расследования атак, сопоставляя различные события и факты, имеющие отношение к киберинциденту. В случае, если в расследуемой кибератаке применялось ранее неизвестное вредоносное ПО или вообще непонятно, что произошло, аналитик 2-го уровня эскалирует инцидент еще выше — специалисту по реверс-инжинирингу, форензик-эксперту или в специализированные компьютерные лаборатории.

Специалист по реверс-инжинирингу — эксперт высшей категории, как правило, профессиональный программист, решивший посвятить себя изучению образцов вредоносного программного кода для противодействия осуществляемым с их помощью кибератакам. Задача реверс-инженера состоит в том, чтобы понять, что делает и как устроен вирус: запустить вирус в изолированной среде (т.н. песочнице) для анализа его поведения, провести процедуру обратной разработки и получить из файла-образца первоначальный программный код, чтобы уже в нем найти особенности, которые помогут понять, что именно делает данный вирус и как ему лучше противостоять. При этом хакеры знают, что их вирус рано или поздно попадет к такому эксперту на исследование, и поэтому применяют техники запутывания (обфусцирования) кода, чтобы усложнить задачу реверс-инжиниринга.

Форензик-эксперт — это специалист по форензике (англ. forensics), т.е. компьютерной криминалистике. Эти специалисты могут понять, что изменилось в атакованной системе (компьютере, сервере, смартфоне), какие данные были стерты, изменены или похищены вирусом, какие еще системы в компании-заказчике были атакованы. Они даже способны воссоздать полный путь распространения угрозы, например, вируса: определить, на каком компьютере был этот вирус впервые запущен (чаще вирусы отправляют по email невнимательным сотрудникам), что именно он делал на зараженной системе (как правило, сначала вредонос «осматривается», пытаясь понять, куда попал, затем докачивает с сервера злоумышленников дополнительные компоненты, повышает свои права на атакованном ПК и начинает распространяться по сети компании), как затем развивалась атака и как был в итоге нанесен ущерб (чаще всего похищаются либо важная коммерческая информация, либо денежные средства со счетов фирмы).

Специалист по киберразведке (англ. CyberThreat Intelligence) отвечает за поиск ранее не обнаруженных или затаившихся вредоносных программ в системах Заказчиков (например, вирусов-логических бомб, которые срабатывают только при наступлении определенных условий, а до этого никак себя не проявляют). Также такой эксперт ищет в интернете, на специализированных закрытых хакерских форумах информацию о новых вирусах, новых киберпреступных группировках, пытается понять, не планируют ли злоумышленники массированную атаку на компанию-заказчика, нет ли «заказа» на кражу коммерческой информации защищаемой фирмы.

Менеджер SOC — это тот человек, который «переводит» техническую информацию об инциденте с языка ИТ и ИБ-специалистов на язык бизнеса, чтобы руководители компаний-заказчиков могли понять, насколько серьезным был ущерб или какую именно угрозу удалось предотвратить. SOC-менеджер также координируют работу всей команды SOC-Центра, связывает друг с другом заказчиков и исполнителей, выполняет организационную работу.