Услуги коммерческих Security Operations Center (SOC)

Услуги коммерческих Security Operations Center (SOC) представляет собой операционный центр безопасности или, другими словами, центр мониторинга и реагирования на инциденты информационной безопасности (ИБ) и предназначен для автоматизации системы управления определенными процессами ИБ. Необходимо отметить, что SOC включает в себя не только технические, но и организационные меры выявления, анализа и предотвращения инцидентов.

У коммерческих SOC варьируются функции, но зачастую на SOC возлагают задачи, которые можно измерить, формализовать и проконтролировать. Для принятия решения о выполняемых функциях SOC служат следующие факторы:

• специфика и отрасль деятельности компании;
• структура и состояние компании с точки зрения обеспечения ИБ.

Поэтому в одних компаниях внедряется SOC в традиционном понимании (предназначен для выявления от простых до средних угроз, другими словами, общеизвестных кибератак), а в других полноценные центры управления и мониторинга информационной безопасности (предназначен для обнаружения и реагирования на целевые атаки). В общем случае, коммерческие SOC предоставляют следующие услуги:

• Мониторинг и управление инцидентами ИБ. Первоочередная и основанная функция SOC и, как правило, представляющая из себя решение класса Log Management и/или Security Information and Event Management (SIEM). Основная задача, решаемая на данном этапе — централизованный сбор и анализ событий от различных источников, предоставляя возможность выявления инцидентов ИБ.
• Реагирование на инциденты ИБ. На данном этапе применяются инструменты класса Threat Intelligence и Forensics Tool (Network/Endpoint Forensics и Malware Analysis — технические расследования на уровне сети, рабочих станций и анализ вредоносного ПО). Подобного рода инструменты позволяют восстановить конкретные сеансы и передаваемые в них данные в ходе восстановления процесса событий при расследовании инцедентов ИБ.

SOC можно рассматривать полноценным, если он оперирует SLA (Service Level Agreement), которое подразумевает определенное время реагирования на события ИБ. Уровень SOC оценивается на основе модели SOMM (Security Operations Maturity Model).

1. Отсутствующий. Главные показатели SOC отсутствуют (мониторинг и документированные процессы отсутствуют).
2. Начальный. Подразумевает мониторинг и реагирование (документированные процессы не описаны).
3. Базовый. Подразумевает соблюдение требований нормативных документов и актуальных бизнес-требований компании (процессы документированы, изменяются при необходимости).
4. Осмысленный. Постоянная оценка эффективности SOC.
5. Максимальный. Описание каждого процесса, включая план развития SOC.

Помимо рассмотренных функций, полноценный SOC позволяет автоматизировать некоторые процессы управления ИБ:

• управление информационными активами;
• управление рисками, угрозами ИБ и уязвимостями;
• управление соответствием стандартам в области ИБ.

Таким образом, основные функции SOC определяются реальными потребностями компании в обеспечении защиты своих информационных активов и инфраструктуры. Одно лишь едино для всех – необходимо четко понимать, какие активы необходимо защищать.