Что такое центр управления кибербезопасностью (SOC) и зачем он нужен?

Взломы и массовые утечки чувствительных данных (например, учетные записи пользователей, номера банковских карт) являются трендом последних лет во всем мире. При этом, по статистике Cisco, на выявление взлома сети у организации может уходить до полугода.

Таким же трендом в последнее время является и понятие SOC (Security Operations Center), на который возлагаются задачи по борьбе с целевыми кибератаками.

Итак, что же такое SOC? По сути - это Центр управления информационной безопасностью, основными задачами которого являются сбор информации о событиях, связанных с безопасностью из множества источников (операционные системы серверов и рабочих станций, сетевого оборудования, баз данных и др.), проведение ее обобщения, анализа, сопоставления для выявления зависимостей и оповещение в случае выявления инцидентов информационной безопасности. На основе полученных данных персонал SOC реагирует на эти инциденты, проводит расследование причин их возникновения, планируют мероприятия по предотвращению их повторения.

Подпишитесь на канал DELO.UA

Сейчас довольно распространено мнение, что термин SOC эквивалентен термину SIEM (Security Information and Event Management) с "довеском" в лице администраторов, которые "смотрят в консоль". Покупаем SIEM получше, добавляем администраторам функциональных обязанностей и дело в шляпе? Это мнение в корне ошибочно. Никто не отрицает, что SIEM был и пока остается важнейшим компонентом SOC. Но SOC - это, прежде всего, комплекс программно-технических средств, квалифицированного персонала и дежурной смены с выверенными процессами взаимодействия, с точно выписанными параметрами обслуживания (SLA, Service Layer Agreement). Причем, ни одним из компонентов нельзя пренебречь или сделать "перекос" в какую-либо одну сторону. Только все в комплексе.

Присмотреть за "Большим братом": Можно ли проконтролировать системного администратора?

Для того, чтобы сократить разрыв между атакующими и командой безопасников (безопасность по объективным причинам всегда находится в положении догоняющих) в SOC необходимо создать эффективную структуру киберразведки. Не секрет, что известный всем интернет - это лишь верхушка айсберга в глобальной паутине. Есть не менее разветвленные и сложные "темные сети", так называемые DeepWeb, Dark Net. Вот там-то, в основном, и "пасутся" все хакеры-одиночки и хакерские группировки. Именно в этих слоях всемирной сети покупаются и продаются эксплойты, краденные базы данных и учетные записи, принимаются заказы на разработку вредоносного кода и организацию кибератак. Соответственно, что бы киберразведка была действительно эффективной, работать ей нужно будет именно в "темных сетях". Это потребует квалифицированных и обладающих очень специфическими навыками специалистов.

Если строить Центр управления информационной безопасностью - нужно помнить и о других, не менее важных задачах: администрирование средств обеспечения информационной безопасностью, постоянный контроль за уязвимостью периметра и в подконтрольных системах внутри сети, контроль привилегированных пользователей и многие другие.

"Также нет недостатка в программно-техническом оборудовании на рынке. Но специалистов, имеющих профильную экспертизу, найти уже сложно. А еще ведь нужно обеспечить работу системы в режиме 24х7. Все это ставит под вопрос надобность SOC в каждой организации. В финансовом плане, это может быть неподъемная задача даже для крупного, по меркам Украины, бизнеса", - считает специалист и технический директор компании "Октава Киберзахист" Алексей Швачка.

Никакого доверия: что такое концепция Zero Trust и для чего она нужна?

Но все-таки, строить такого рода сложные системы нужно. Особенно, эта задача актуальна для критических инфраструктур, органов государственного управления. Везде, где ущерб от успешной кибератаки может иметь серьезные негативные последствия. При этом, скорее всего, целесообразно создавать не множество отдельных систем, а выстраивать отраслевые SOC-и. Например, в финансовой сфере, в области транспортировки и распределения электроэнергии, в транспорте и др.

"Выход есть и для бизнеса. Постепенно начинает формироваться рынок коммерческих SOC-ов. В данном случае речь идет о своего рода операторских услугах по модели управляемых сервисов безопасности (MSSP, Managed Security Service Provider). Специализированные компании, для которых эксплуатация SOC является основным бизнесом, за приемлемую стоимость могут предоставить его услуги и, таким образом, "рывком" обеспечить поднятие защищенности своих клиентов на качественно новый уровень", - комментирует Алексей Швачка.

В заключение стоит отметить, что понятие Security Operations Center в развитых странах Европы, Америки, Азии уже давно реальность. Насколько будет близким этот путь покажет время. Пока отметим лишь тот факт, что в Украине большая часть и государственных, и коммерческих организаций еще не дозрели даже до "просто" внедрения SIEM-системы.