10 ключевых функций, которые выполняет Центр мониторинга и реагирования на инциденты информационной безопасности (SOC)

Что защищает Центр мониторинга и реагирования на инциденты информационной безопасности и как противодействует компьютерным атакам?

Круглосуточный мониторинг ИТ-инфраструктуры, обнаружение, расследование и реагирование на киберугрозы – это то, чем занимается центр операций по обеспечению безопасности (SOC — Security Operations Center). Какого рода активы требуют такой защиты? Это интеллектуальная собственность, персональные данные, бизнес-системы. 

SOC, как правило, строятся на основе звездообразной архитектуры, при этом лучи этой модели могут включать в себя различные системы, такие как решения для оценки уязвимостей, системы управления рисками и соответствия требованиям (GRC), сканеры приложений и баз данных, системы предотвращения вторжений (IPS), аналитика поведения пользователей и сущностей (UEBA), мониторинг и обеспечение безопасности конечных точек (EDR) и платформы анализа угроз (TIP). 

10 ключевых функций, которые выполняет SOC и что защищает

1. Оценка доступных ресурсов ИТ-инфраструктуры

SOC отвечает за два типа активов: различные устройства, процессы и приложения, которые ему поручено защищать, и имеющиеся в его распоряжении средства защиты, помогающие обеспечить эту защиту. 

SOC не может защитить устройства и данные, которые они не могут видеть. Без видимости и контроля от устройства до облака, скорее всего, в системе сетевой безопасности останутся белые пятна, которые можно будет обнаружить и использовать. Таким образом, цель SOC — получить полное представление о ландшафте угроз для бизнеса, включая не только различные типы конечных точек, серверов и локальное программное обеспечение, но также сторонние сервисы и трафик, проходящий между этими активами.

Пример оказания услуг и различную конкретику по функциям security operation center можно найти на сайте ITGLOBAL.COM Security — https://itglobal.com/services/info-security/

2. Подготовка и профилактическое обслуживание

Даже самые хорошо оснащенные и гибкие процессы реагирования не в состоянии предотвратить возникновение проблем. Чтобы удержать злоумышленников на расстоянии, SOC реализует превентивные меры, которые можно разделить на две основные категории.

Члены группы подготовки. Они должны быть в курсе последних инноваций в области безопасности, последних тенденций в области киберпреступности и появления новых угроз на горизонте. Их работа может помочь в создании дорожной карты безопасности, которая определит направление дальнейших усилий компании в области кибербезопасности, а также плана аварийного восстановления, который послужит готовым руководством в наихудшем сценарии.

Превентивное обслуживание. Этот шаг включает в себя все действия, предпринимаемые для того, чтобы затруднить успешные атаки, включая регулярное обслуживание и обновление существующих систем; обновление политик брандмауэра; исправление уязвимостей; а также белый список, черный список и защита приложений.

3. Непрерывный проактивный мониторинг

Инструменты, используемые SOC, сканируют сеть круглосуточно и без выходных, чтобы отметить любые отклонения или подозрительные действия. Круглосуточный мониторинг сети позволяет SOC немедленно получать уведомления о возникающих угрозах, что дает им наилучшие шансы предотвратить или смягчить ущерб.

4. Ранжирование и управление оповещениями

Когда инструменты мониторинга выдают предупреждения, SOC обязан внимательно изучить каждое из них, отбросить все ложные срабатывания и определить, насколько агрессивны любые реальные угрозы и на что они могут быть нацелены.

5. Реагирование на угрозы

Как только инцидент подтвержден, SOC действует как первый ответчик, выполняя такие действия, как отключение или изоляция конечных точек, завершение вредоносных процессов (или предотвращение их выполнения), удаление файлов и многое другое. Цель состоит в том, чтобы реагировать в той мере, в какой это необходимо, оказывая при этом как можно меньшее влияние на непрерывность бизнеса.

6. Восстановление и исправление

В случае инцидента Центр операций по обеспечению безопасности работает над восстановлением систем. Это может включать очистку и перезапуск конечных точек, перенастройку систем или, в случае атак программ-вымогателей, развертывание жизнеспособных резервных копий для обхода программ-вымогателей. В случае успеха этот шаг вернет сеть в состояние, в котором она находилась до инцидента.

7. Управление журналом

SOC отвечает за сбор, ведение и регулярный просмотр журнала всей сетевой активности и коммуникаций для всей организации. Эти данные помогают определить базовый уровень «нормальной» сетевой активности, могут выявить наличие угроз и могут использоваться для исправления и криминалистической экспертизы после инцидента. Команда аналитиков сервиса SOC использует SIEM-системы (Security information and event management) для агрегирования и корреляции потоков данных от приложений, брандмауэров, операционных систем и конечных точек, которые создают свои собственные внутренние журналы.

8. Исследование первопричины

После инцидента SOC отвечает за выяснение того, что именно произошло, когда, как и почему. Во время этого расследования SOC использует данные журнала и другую информацию, чтобы отследить проблему до ее источника, что поможет предотвратить возникновение подобных проблем в будущем.

9. Корректировка и улучшение безопасности

Киберпреступники постоянно совершенствуют свои инструменты и тактики, и, чтобы опережать их, SOC необходимо не отставая внедрять улучшения. 

10. Управление соответствием

Многие процессы SOC руководствуются установленными передовыми практиками, но некоторые регулируются требованиями соответствия. SOC несет ответственность за регулярный аудит своих систем для обеспечения соблюдения таких правил, которые могут быть изданы их организацией, их отраслью или руководящими органами. Примеры этих правил включают GDPR, HIPAA и PCI DSS. Действия в соответствии с этими правилами не только помогают защитить конфиденциальные данные, которые были доверены компании, но также саму ее от ущерба репутации и юридических проблем, возникающих в результате нарушения.