С собственным SOC информационная безопасность компании поднимается на качественно новый уровень. Она уверенно противостоит несанкционированным кибератакам, предупреждает массовые заражения, выявляет инциденты и образцы вредоносного кода на самых ранних этапах.
ОЦИБ отслеживает активность на рабочих станциях, серверах и в сетях, в приложениях, базах данных, на web-сайтах и других корпоративных интернет-ресурсах.
Его задача:
- обнаружить злонамеренные и аномальные действия,
- идентифицировать угрозы,
- провести анализ инцидентов информационной безопасности,
- зарегистрировать и расследовать каждое из событий,
- предотвратить компрометацию корпоративных данных.
Возможности SOC
Толчком к развитию Security Operations Center послужили рост и совершенствование кибератак. Для противодействия угрозам требовался надежный инструмент защиты. Но, чем крупнее компания, чем более разнотипная и географически разнесенная ее IT-инфраструктура, тем сложнее организовать результативный самостоятельный мониторинг событий информационной безопасности. А для среднего и малого бизнеса создание и содержание полноценной службы киберзащиты часто оказывается финансово непосильным.
Структура SOC
Операционный центр информационной безопасности не ограничивается мониторингом и реагированием. Это универсальный рабочий инструмент со множеством взаимосвязанных функций, включающий три обязательных составляющих.
Для эффективного противодействия киберугрозам недостаточно установить программное и аппаратное обеспечение. Необходимо в рамках конкретной компании, с учетом спецификаций бизнеса:
- четко понять логику процессов, связанных с событиями и инцидентами инфобезопасности,
- определить, какие инструменты для реализации защиты будут наиболее эффективные для конкретного клиента.
Архитектура SOC
Все, что мониторит и защищает SOC, называют информационными ресурсами.
С технической точки зрения, работа оперативного центра инфобезопасности строится по схеме:
1. специальные средства защиты информации (системы класса SIM и SIEM) проводят сбор инцидентов: отслеживают и регистрируют все, что происходит с информационными ресурсами компании;
2. собранная информация передается в SOC;
3. команда центра анализирует, реагирует и расследует инциденты информационной безопасности. Для этого используют различные программные и аппаратные средства.
Что лучше собственный SOC или аутсорсинг
Однозначного варианта нет. Операционная модель SOC ИБ подбирается с учетом потребностей и возможностей конкретного
бизнеса:
- собственная. Самый дорогой и долгий по организации и запуску вариант. Его достоинство – центр мониторинга информационной безопасности полностью принадлежит компании;
- аутсорсинговая. Одно из наиболее перспективных направлений среди сервисов киберзащиты. При аренде SOC как услуги все рабочие моменты берет на себя оператор. Клиенту не нужно искать и содержать штат, разрабатывать и внедрять регламенты.
- гибридная. Модель совместного действия. Аппаратно-техническую часть для разворачивания в IT-инфраструктуре заказчик приобретает самостоятельно, а управление осуществляет совместно с провайдером. Объем оборудования, число сервисов и функций рассчитывается в каждом конкретном случае.
