Новости

Awesome Image
Awesome Image

06.03.2020


Эффективный SOC всегда стоял на трех китах: команда, процессы и технологии. Однако последнее время в сети зарождается мнение, что технологии играют наиболее важную роль в работе SOC, чем другие аспекты.


При построении SOC важно помнить несколько моментов. Security Operation Center — это не только технические средства. В основе любого центра мониторинга и реагирования на инциденты информационной безопасности присутствуют и следующие компоненты:


  • персонал – инженеры, аналитики, архитекторы, администраторы;
  • контент – наборы корреляционных правил, регламенты анализа инцидентов, шаблоны оповещения, базы знаний по различным угрозам и векторам атак;
  • процессы – процедуры разбора инцидента, реагирования, отчетности, эскалации и противодействия инцидентам;
  • мощности и лицензии – размещение платформы SOC, SIEM-системы, средств мониторинга работоспособности, хранилища событий, инцидентов, лицензии SIEM-системы и дополнительных модулей.


Насколько качественно выстроены эти компоненты, будет зависеть эффективность работы SOC. Технические средства являются лишь инструментами, позволяющими автоматизировать часть процессов, которые функционируют в SOC. Во главе же SOC всегда стоит именно команда -  высококвалифицированные сотрудники, которые должны находится на стыке глубоких технических знаний и аналитики.  Поэтому такие составляющие SOC, как персонал, контент и процессы требуют огромного времени и трудозатрат для того, чтобы выполнять следующие задачи:


  1. Мониторинг. Сюда входит анализ инцидентов, включая первичное расследование, фильтрацию falsepositive срабатываний, обогащение инцидента связанными событиями и формирование грамотных конкретных рекомендаций по устранению и противодействию.
  2. Анализ и расследование. В эту группу входят аналитики второй и третьей линии. Они занимаются расследованием сложных инцидентов, разработкой контента для SIEM-систем, выявлением и анализом новых угроз ИБ (Threat Hunting), прогнозированием развития угроз и планированием мер по предупреждению угроз.
  3. Здесь специалист должен обладать хорошим техническим бэкграундом, уметь нестандартно подходить к решению задач и выявлять нетипичные детали. Работу таких экспертов нельзя описать стандартными плейбуками и инструкциями.
  4. Анализ защищенности. В рамках этих задач специалисты занимаются инвентаризацией и анализом уязвимостей информационных ресурсов, проведением и координацией тестов на проникновение.

  5. Администрирование СЗИ. Команда администрирования средств мониторинга и защиты отвечает за установку, обновление и обслуживание программно-технических средств и СЗИ, подключение источников данных и настройку решающих правил.

  6. Развитие сервисов SOC. Команда архитекторов и ведущих экспертов отвечает за сохранение актуальности услуги и профиля мониторинга угроз.


При этом краеугольным камнем в задаче построения центра мониторинга и реагирования на инциденты ИБ являются соответствующие аналитики. Они есть во 2-м и 3-м пункте перечня.  Рассказываем, почему именно они.


Наполнение SIEM-системы контентом является важнейшей задачей, и базовый набор правил «из коробки» не способен закрыть все потенциальные векторы угроз для компании, особенно класса Enterprise. Чтобы решить такую задачу нужен архитектор SIEM-системы.


Он будет выстраивать контент в зависимости от поставленных перед SOC целей, адаптировать его под инфраструктуру, реализовывать сценарии выявления инцидентов в бизнес-приложениях. Также необходимы инженеры для подключения источников и написания коннекторов к приложениям, администратор, обеспечивающий работоспособность и занимающийся «железной» архитектурой.


Не менее важной задачей является и строгое регламентирование процессов обнаружения, анализа инцидентов, оповещение ответственных лиц и выстраивание схем взаимодействия между подразделениями. Необходимо не только обеспечить процедуру уведомления и расследования каждого типа инцидента, но и предусмотреть SLA, эскалацию и отчетность. По инцидентам высокой критичности стоит заранее предусмотреть возможность вмешательства в бизнес-процессы вплоть до остановки последних, оценив риски последствий инцидента и сравнив их с потерями от временного простоя отдельных подразделений.


Подводя итог, хотелось бы сказать, что при выборе коммерческого SOC главное, что получает заказчик – это экспертиза в части мониторинга, реагирования и расследования инцидентов. Экспертиза появляется благодаря наличию необходимых компетенций, поэтому специалисты SOC - высококвалифицированные сотрудники, которые должны находиться на стыке глубоких технических знаний, уметь анализировать большой поток информации и иметь стремление к собственному развитию.