Журнал "Information Security/ Информационная безопасность" #5, 2023

Несмотря на то что SOC для ИТ-периметра бизнеса является центром монито- ринга и реагирования, необходимо обеспечивать безопасность и его самого. Ряд отечественных реше- ний позволяют проводить поведенческую аналитику доступа, профилирование пользователей и даже само- стоятельно реагировать на инциденты привилегирован- ного доступа. Современный SOC – это синергия между людьми, процессами и технологиями, это больше, чем просто SIEM и SOAR. низовать реально эффективно работающий SOC по причине того, что это требует больших ресурсов. Недостаточно просто внедрить систему и радоваться ее запуску, наивно думая, что теперь "у нас точно будет все безопасно", нужно организовать сам процесс эффективного мониторинга, а также иметь квалифицированный персонал, который будет его обслуживать и развивать. А там, где появляются люди – пусть даже сильная и опытная команда, которая взаимодействует с инфраструктурой, сразу возни- кают вопросы о доступе и конт- роле доступа, фиксации всех действий и операций специа- листов. Несмотря на то что SOC для ИТ-периметра бизнеса является центром мониторинга и реаги- рования, необходимо обеспечи- вать безопасность и его самого. Ввиду критичности систем, рас- полагаемых в таком центре, доступ к нему имеет ограничен- ный круг привилегированных пользователей, и он тоже дол- жен быть организован с учетом всех необходимых мер защиты. Невозможно исключить необходимость контроля досту- па к критически важным объ- ектам инфраструктуры не толь- ко при удаленных подключе- ниях, но и внутри периметра. При этом доступ к объектам "на последней миле" ничем не отличается от вариантов под- ключения при полностью уда- ленном доступе. Таким обра- зом, контроль корректной кон- фигурации систем, обеспечи- вающих сбор, анализ и реаги- рование на потенциальные инциденты в ИТ-структуре, является потенциальной точкой формирования недопустимого события, и оно, в свою очередь, может поставить под вопрос целесообразность существова- ния SOC и вложенных в него ресурсов. Современные PAM-системы обладают функциональными возможностями, которые выхо- дят далеко за пределы фикса- ции доступа и сбора событий. Ряд отечественных решений позволяют проводить поведен- ческую аналитику доступа, про- филирование пользователей и даже самостоятельно реагиро- вать на инциденты привилеги- рованного доступа. Применение этого функционала позволяет бизнесу не только иметь "второе мнение" относительно возни- кающих потенциальных инци- дентов, но и снизить объем ана- лизируемых данных в SIEM (Security Information and Event Management ) за счет превен- тивного анализа посредством РАМ. Подводя итог, стоит отметить, что SOC является важным ком- понентом стратегии обеспечения информационной безопасности компании. Он выступает в роли проактивного и бдительного стража, постоянно мониторя, выявляя и реагируя на угрозы. Современный SOC – это синер- гия между людьми, процессами и технологиями, это больше, чем просто SIEM и SOAR (Security Orchestration, Automation and Response), это система техниче- ских средств не только для ана- лиза внешней инфраструктуры, но и для контроля собственной. Инвестируя в него, бизнес может улучшить свой уровень кибер- безопасности, защитить чувстви- тельные данные и создать устой- чивость к постоянно меняющейся угрозе атак. l • 37 SOC и TI www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 13—15.02 офлайн Месяц безопасности онлайн 2024 ДЛЯ РЕШЕНИЯ ЗАДАЧ ЗАКАЗЧИКОВ САМОГО ВЫСОКОГО УРОВНЯ www.tbforum.ru Реклама