Журнал "Information Security/ Информационная безопасность" #5, 2023

SOC может мониторить не только стандартные события информационной безопасности, но и отклоне- ния от нормы в логах, опи- сывающих ход бизнес-про- цесса. Контроль безопасности бизнес-процессов с помощью SOC Любой бизнес-процесс, кото- рый реализован в информа- ционной системе, может быть описан на языке SOC. Если говорить в общем виде, то любой процесс имеет данные на вход, последовательность действий и данные на выход (результат). Все эти этапы имеют свои следы в ИТ-систе- мах. Это значит, что SOC может отслеживать соответствующие логи и выявлять аномалии, то есть фактически вмешатель- ства внутреннего или внешнего злоумышленника в процесс или нарушение его нормального функционирования по иным причинам. Таким образом, SOC может мониторить не только стандартные события инфор- мационной безопасности, но и отклонения от нормы в логах, описывающих ход бизнес-про- цесса. Это позволяет обнару- жить и обезвредить на ранней стадии инциденты, не всегда связанные с кибербезопас- ностью напрямую, но влияющие на бизнес и грозящие ему финансовым ущербом. В качестве наглядного при- мера возьмем процесс предо- ставления сотруднику доступа к информационной системе. В норме процесс имеет сле- дующие этапы: 1. Возникновение бизнес- потребности. 2. Определение необходимо- го уровня доступа. 3. Создание заявки. 4. Согласование заявки. 5. Исполнение заявки. 6. Результат: доступ получен. 7. Использование информа- ционной системы. Аномалии процесса предо- ставления доступа в информа- ционную систему, которые можно рассматривать как инци- денты ИБ, – это, например, получение доступа без оформ- ленной заявки или назначение уровня доступа, не соответ- ствующего запрошенному. Соответственно, правильная последовательность этапов про- цесса может обрабатываться метриками времени, количества и т.п., а отклонения от нормы будут приравниваться к инци- дентам ИБ разной степени кри- тичности. Возьмем другой пример, значимый для компаний, чей бизнес связан с электронной коммерцией. В 2021 г. человек купил через мобильное прило- 14 • СПЕЦПРОЕКТ SOC для защиты бизнес-процессов ассказывая о возможностях своих SOC, большинство сервис- провайдеров фокусируются на технической стороне вопроса. В результате у многих складывается мнение, что область применения SOC – исключительно инфраструктура и мониторить можно только события с систем защиты или операционной системы. Отчасти такое мнение обусловлено и тем, что SIEM – технологическое ядро SOC имеет готовые интеграционные модули, в основном для сбора информации с операционных систем, сетевых сервисов и средств защиты информации. Однако у центров мониторинга есть возможность защищать бизнес не только путем выявления и реагирования на кибератаки, но и путем защиты бизнес- процессов. Р Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED