Журнал "Information Security/ Информационная безопасность" #5, 2022

Одно из важнейших пре- имуществ SOC заключается в осуществлении непрерыв- ного контроля всей инфра- структуры компании. SOC – единый механизм, который держится на трех базовых принципах: коман- да, процессы (функционал), технологии. Если в Security Operations Center правиль- но выстроены все процессы, наняты квалифицирован- ные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен. Одно из важнейших преимуществ SOC заключается в осуществ- лении непрерывного контроля всей инфра- структуры компании. Ведь главный вопрос заключается не в том, взломают вас или нет, а в том, когда это произойдет. Рост количества информа- ционных систем и сложность используемых технологий рож- дает проблему одновременного контроля множества каналов, а также организации централи- зованной обработки и хранения данных о вторжениях и кибер- угрозах. Атаки стали более ком- плексными, в связи с чем тре- буется введение определенных бизнес-процессов и увеличение их скорости – самые критичные активы необходимо защищать в первую, но не единственную очередь. В настоящее время SOC бывают собственными, гибрид- ными и аутсорсными. SOC – единый механизм, который дер- жится на трех базовых принци- пах: команда, процессы (функ- ционал), технологии. Ключевые параметры базовых принципов SOC Чем занимается команда: l первая линия – осуществляет анализ SIEM и первичный ана- лиз; l вторая линия – проводит рас- следование инцидентов; l третья линия – осуществляет глубокий анализ инцидентов и артефактов; l аналитики SOC – занимаются написанием плейбуков, правил корреляции и т.д.; l Специалисты по реагирова- нию на инциденты. К процессам относятся: l мониторинг (Security Monito- ring); l управление уязвимостями (Vulnerability Management); l реагирование на инциденты (отработка происшествий); l форензика (криминалисти- ка); l Compliance (соответствие стандартам); l Threat Intelligence (киберраз- ведка); l внутренний пентест (оценка защищенности); l Threat Hunting. К технологиям относятся: l Security Information and Event Management (SIEM); l SOAR (IRP); l Knowledge Database; l Service Desk; l Vulnerability Management; l Threat Hunting Automation (+ EDR); l Threat Intelligence Feeds; l Threat Intelligence Platform; l Forensic Laboratory (Sandbox); l Датчики (IDS/IPS, FW, e-mail, Proxy и т.д.). К задачам можно отнести: l сбор событий с различных источников; l нормализацию; l поиск по событиям; l корреляцию; l управление инцидентами; l систему отчетности; l управление рисками; l аналитику; l UEBA; l управление активами; l управление уязвимостями; l многое другое. Ядром SOC, как правило, выступает SIEM-система, так как решения именно этого клас- са позволяют анализировать огромные объемы данных в режиме реального времени. Для минимизации человеческого фактора при расследовании и реагировании на инциденты подходят IRP- и SOAR-системы. Они позволяют автоматизиро- вать процесс реагирования на инциденты и предоставляют наборы плейбуков (шаблонов с рекомендациями по реагирова- нию), которые существенно облегчают работу Incident Res- ponse – команды. То есть в первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. После того как этот этап будет выполнен в полном объеме, можно задумываться о даль- нейшем развитии центра управления информационной безопасностью. Если в Security Operations Center правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и кор- ректно настроена SIEM-систе- ма, то такой SOC будет эффективен. Говоря о повышении эффек- тивности работы SOC, необхо- димо отметить, что одними из наиболее значимых инструмен- тов являются SOAR-системы, так как они предлагают множе- ство техник для автоматизации процесса реагирования. Своевременное выявление инцидентов информационной безопасности и оперативное реагирование на них является важнейшей задачей для ком- паний из любой сферы дея- тельности. Финансовые орга- низации, безусловно, больше подвержены хакерским ата- кам, так как представляют наи- 22 • СПЕЦПРОЕКТ Использование функционала SIEM для практического построения SOC (Security Operations Center) выступает как центр противодействия кибератакам на любом этапе инцидента, от разведки и выявления интереса злоумышленников к компании до реагирования и ликвидации последствий. SOC Максим Степченков, совладелец компании RuSIEM