Security Operations Center: что это такое и для чего нужен центр мониторинга информационной безопасности
Что такое мониторинг событий информационной безопасности?
Для чего необходим мониторинг ИБ?
Что такое SOC?
Основные компоненты SOC
Технологии
Люди
Процессы
Функции SOC
Способы организации SOC
Собственный SOC
SOC как услуга (MSSP)
Гибридный SOC
Требования к мониторингу информационной безопасности
Требования к хранению, агрегированию и обработке данных мониторинга
Требования к представлению данных о результатах мониторинга
Требования к защите данных мониторинга
Мониторинг кибербезопасности — это автоматизированный процесс, который помогает организациям выявлять киберугрозы. Для этого помимо технических средств (профильное ПО, сервера, хранилища данных и консоль) также необходимы эксперты, которые будут заниматься анализом событий ИБ и реагированием на них.
Для чего необходим мониторинг ИБ?
Что такое SOC?
Основные компоненты SOC
Технологии
Люди
Процессы
Функции SOC
Способы организации SOC
Собственный SOC
SOC как услуга (MSSP)
Гибридный SOC
Требования к мониторингу информационной безопасности
Требования к хранению, агрегированию и обработке данных мониторинга
Требования к представлению данных о результатах мониторинга
Требования к защите данных мониторинга
Что такое мониторинг событий информационной безопасности?
Мониторинг кибербезопасности — это автоматизированный процесс, который помогает организациям выявлять киберугрозы. Для этого помимо технических средств (профильное ПО, сервера, хранилища данных и консоль) также необходимы эксперты, которые будут заниматься анализом событий ИБ и реагированием на них.
Национальный стандарт ГОСТ Р 59547−2021 выделяет четыре уровня мониторинга ИБ:
— Уровень источников данных
— Уровень сбора данных
— Уровень хранения, агрегирования и обработки данных
— Уровень представления информации и данных мониторинга
На первом этапе процесса мониторинга сведения о событиях и инцидентах ИБ собираются и систематизируются. Затем информация о состоянии корпоративной сети и поведении сотрудников централизованно анализируется в соответствии с заданными политиками и правилами. Данные консолидируются в специальных хранилищах, а для доступа к ним, просмотра журналов событий и управления параметрами обработки и реагирования используется специальная консоль.
Несмотря на то, что современные технологии кибербезопасности включают в себя инструменты на базе искусственного интеллекта, исключить человека из процесса мониторинга невозможно. Во-первых, отсутствуют универсальные решения для любых ситуаций. Во-вторых, при работе систем возможны сбои, что приводит к ложным срабатываниям. В-третьих, ИБ тесно интегрирована с бизнес-процессами, и нужны люди, чтобы круглосуточно обрабатывать входящие сообщения от бизнес-заказчиков.
Для чего необходим мониторинг ИБ?
Если компания не занимается мониторингом инфраструктуры на предмет киберугроз, она может столкнуться с:
— Утечкой или подменой коммерческой информации, что зачастую приводит к серьёзным финансовым потерям и ущербу для репутации;
— Кражей интеллектуальной собственности;
— Нарушением конфиденциальности данных клиентов и партнёров;
— Распространением вредоносного программного обеспечения, которое может нанести ущерб инфраструктуре компании и нарушить работу бизнес-процессов, и т.д.
Помимо этого, с 2022 года ужесточились законы в области информационной безопасности, и теперь часть организаций обязаны уделять внимание защите критической инфраструктуры. Теперь в случае инцидента ИБ, помимо репутационного ущерба и финансовых расходов, связанных с устранением последствий действий злоумышленников, организация обязана будет оплатить серьезный штраф.
С целью установления требований по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности был также введен стандарт ГОСТ Р ИСО/МЭК 27001−2021, который идентичен международному ISO/IEC 27001:2013.
Мониторинг ИБ нацелен на то, чтобы выявить проникновение в сеть злоумышленников или несанкционированные действия сотрудников, которые представляют угрозу, и быстро на них среагировать. При правильной организации процесса вероятность негативных последствий снижается до минимальной.
Что такое SOC?
Процесс мониторинга является сложным и включает в себя множество элементов. Поэтому просто распределить задачи по данному направлению между специалистами ИТ и ИБ-отдела поверх их стандартного функционала недостаточно. У ИТ-отдела есть свои обязанности по обеспечению работоспособности инфраструктуры компании, у ИБ-специалистов — по настройке и обновлению систем защиты. Поэтому зачастую в компаниях организуется отдельное направление — Центр мониторинга кибербезопасности (SOC).
SOC (Security Operation Center) — это центр мониторинга и управления безопасностью, который обеспечивает непрерывный контроль над информационными системами и сетями компании для противодействия киберугрозам. Он занимается обнаружением, анализом и реагированием на инциденты ИБ, а также координацией действий между различными подразделениями и специалистами в области безопасности.
Основные компоненты SOC
Для наглядного объяснения, что такое Security Operation Center, стоит упомянуть о трех компонентах, на которых он строится — это технологии, люди и процессы. Каждый из них является необходимым элементом, и если исключить один — вся система работы SOC будет нарушена.
Технологии
В работе SOC используются такие технологии, как:
— SIEM (Security Information and Event Management) — это специализированное решение для мониторинга и управления событиями безопасности. SIEM собирает информацию о состоянии инфраструктуры, предупреждает о возможных киберинцидентах и помогает отражать или минимизировать последствия кибератак. Это одна из основных технологий, на которых строится Security Operation Center, так как она обеспечивает централизованный сбор, ускоренный анализ и корреляцию событий безопасности из различных источников данных.
— IRP (Incident Response Platform) — это платформа для автоматизации процессов реагирования на инциденты информационной безопасности. Она предоставляет инструменты для выстраивания бизнес-логики взаимодействия участников, учёта активов, характеристик, структуры организации и уязвимостей.
— SOAR — это система для совместной работы аналитиков над инцидентами, формирования базы знаний и интеграции с инструментами киберразведки (Threat Intelligence). Она предлагает инструменты для визуализации данных, углублённого анализа (с использованием методов обработки больших объёмов данных, машинного обучения и искусственного интеллекта) и создания временной шкалы происшествий.
— EDR (Endpoint Detection & Response) — это класс решений для обнаружения и изучения вредоносной активности на конечных точках, таких как рабочие станции, серверы и устройства Интернета вещей.
— XDR (Extended Detection and Response) — это технология, которая расширяет возможности EDR и включает устройства защиты периметра, сетевые коммутаторы, облачные платформы и другие компоненты.
— Сканеры уязвимостей — это программное обеспечение для сканирования информационной инфраструктуры в режиме реального времени. Оно оценивает уровень безопасности и находит уязвимости, а затем администратор устраняет найденные проблемы.
— TI-платформы — это инструмент киберразведки для работы в автоматическом режиме с потоками данных об угрозах и произведения разбора, сортировки, сравнения и хранения информации об инцидентах. Этот класс решений полезен для проведения ретроспективного анализа, так как позволяет искать индикаторы атак в исторически накопленных событиях.
— песочницы (Sandbox) — это технология, используемая для защиты от таргетированных атак, которая реализована в виде виртуальной среды. Она позволяет отделить опасный контент от основной системы безопасности, а также изолировать его для тщательного анализа.
Помимо этого для работы SOC также необходима организационно-техническая база: сетевая инфраструктура, серверы, СХД, системы доставки событий (сеть, VPN, коллекторы), подсистемы безопасности.
Люди
Размер команды SOC может различаться, но в идеале она состоит из:
— системных администраторов или инженеров, отвечающих за настройку систем, стабильность получения данных и связь с бизнес-заказчиком;
— специалистов по настройке правил в системах SIEM, SOAR и аналогичных, которые составляют правила выявления инцидентов и реагирования на них;
— аналитиков 1-го уровня (L1), работающих по заранее созданным сценариям реагирования (Playbooks);
— аналитиков 2-го уровня (L2), которые получают данные от специалистов 1-го уровня и принимают решения по реагированию на инциденты;
— специалистов по киберразведке, занимающихся поиском вредоносных программ и информации о новых угрозах;
— менеджеров и руководителя SOC, которые переводят техническую информацию об инцидентах на язык бизнеса и координируют работу команды центра.
Отслеживание киберинцидентов осуществляется в режиме 24/7, так как атаки могут происходить в любое время суток. В команде должно быть несколько аналитиков уровня L1 и L2, чтобы работать в разные смены. Поэтому для того чтобы SOC приносил компании пользу, команда должна включать в себя примерно от 10 человек.
Процессы
Работа Центра подразумевает коммуникацию с группой поддержки ИТ-инфраструктуры и СЗИ, группой DevOps, ответственными лицами, входящими в группу реагирования на инциденты. Поэтому процессы являются еще одним компонентом, ведь от того, насколько грамотно выстроено взаимодействие между разными подразделениями напрямую зависит эффективность SOC в противодействии угрозам.
В рамках SOC осуществляется управление событиями и инцидентами ИБ, конфигурациями ПО, ресурсами и мощностями, бюджетированием, отчетностью и уровнем доступности.
Функции SOC
Основные функции Security Operation Center:
— Мониторинг: сбор и анализ информации о событиях, происходящих в информационных системах и сетях компании.
— Обнаружение угроз: выявление аномалий и подозрительной активности, которые могут указывать на наличие возможных кибератак.
— Оценка рисков: изучение обнаруженных угроз, определение их характера и степени опасности.
— Реагирование на инциденты ИБ: принятие мер по нейтрализации или минимизации воздействия угроз на информационные системы и сети компании.
— Координация действий: взаимодействие с другими подразделениями и ИБ-специалистами для совместного решения проблем и устранения угроз.
На базовом уровне обеспечивается защита от массовых и простых атак. Продвинутый уровень включает в себя защиту от передовых и целенаправленных атак. И, наконец, экспертный уровень направлен на защиту от сложных и комплексных угроз.
Способы организации SOC
Существуют три основных модели организации SOC: построение собственного Центра внутри компании, подключение SOC как услуги (MSSP), а также использование SOC в гибридном формате. Каждый из вариантов имеет свои достоинства и недостатки, и выбор модели должен осуществляться в соответствии с особенностями работы организации, а также бюджетом и задачами организации.
Собственный SOC
Организовать собственный Security Operation Center можно разными способами: физически расположить его внутри помещения компании, либо создать виртуальный SOC, где сотрудники координируют свои действия удалённо с помощью цифровых инструментов. Вне зависимости от формата, главным преимуществом данной модели является то, что весь процесс управления компания замыкает «на себе», а также может полностью его контролировать. Кроме того, за счет более полного понимания особенностей работы компании, можно настроить более глубокое покрытие.
При этом такой вариант подходит не всем компаниям, так как является наиболее сложным в построении. Во-первых, это самый дорогой из трех вариантов. Необходимо самостоятельно закупить SIEM и другие системы, которые стоят недешево, а также очень требовательны к мощностям СХД. Во-вторых, для работы SOC необходим большой штат специалистов, которых нужно найти в условиях дефицита кадров на рынке ИБ, а в дальнейшем содержать на постоянной основе. В-третьих, могут возникнуть сложности с подключением источников и настройкой области мониторинга на старте. Для этого тоже нужен опыт. Наконец, для создания собственного SOC потребуется в несколько раз больше времени, по сравнению с другими моделями.
SOC как услуга (MSSP)
В данном случае все три компонента SOC находятся в ведении внешнего подрядчика, что значительно упрощает его использование. При выборе использования SOC как услуги, необходимо большое внимание уделить выбору провайдера. Он должен быть надежным, обладать необходимым уровнем экспертизы, так как в данном варианте управление инцидентами ИБ выходит за периметр организации. Кроме того, очень важна тесная коммуникация с подрядчиком на этапе подключения и дальнейшей работы, чтобы решить проблему недостаточной погруженности провайдера в бизнес-процессы компании.
Несмотря на возможные минусы, этот вариант доступен даже для небольших организаций. В первую очередь, у сервисного провайдера есть ресурсы для обеспечения мониторинга: начиная с большого штата специалистов разного уровня, которые обладают большим опытом, заканчивая всем необходимым перечнем технологий для анализа. Заказчику нужно только подключиться к SOC через облако, что значительно быстрее и дешевле. Кроме того, подрядчик может гарантировать определенный уровень SLA. Также клиенту не нужно беспокоиться об обеспечении работоспособности оборудования и управлении командой — эта задача также ложится на плечи провайдера.
Таким образом, этот вариант подходит, если нужна срочная помощь экспертов во время или после инцидентов ИБ. Либо если компания не хочет или не имеет возможности вкладываться в самостоятельное развитие SOC. При этом аутсорсинг помогает сосредоточиться на основном бизнесе.
Гибридный SOC
Такой формат является «золотой серединой» между построением собственного центра мониторинга ИБ и использованием SOC как услуги. В гибридном SOC зоны ответственности распределяются между заказчиком и провайдером. SIEM система закупается заказчиком самостоятельно, размещается и принадлежит ему. Кроме того, заказчик частично несет ответственность за организацию процессов. Сервисным провайдером обеспечиваются технологии (IRP и личный кабинет), команда аналитиков, а также часть процессов.
Этот вариант оптимален, если у заказчика уже имеется внедренная SIEM система, которая требует более тонкой настройки в соответствии с потребностями бизнеса. Также он подходит, если собственной команды специалистов недостаточно для решения всех задач по мониторингу ИБ и развитию SOC.
Требования к мониторингу информационной безопасности
Уже упомянутый в статье ГОСТ Р 59547—2021 регламентирует требования к каждому из уровней мониторинга ИБ. Все они должны соблюдаться при работе SOC. В целом, согласно документу, система должна обладать следующими свойствами:
— Многопараметричность: использование различных форматов сбора, обработки, хранения и представления данных мониторинга для интеграции в организационную структуру управления безопасностью.
— Масштабируемость: возможность добавления новых источников информации и создание многоуровневой иерархической системы.
— Адаптивность: возможность добавления, удаления и изменения правил и процедур анализа.
— Полнота: использование всех возможных источников событий безопасности.
— Доступность: обеспечение возможности получения информации, необходимой для выявления нарушений, угроз и уязвимостей.
— Достоверность: получение неискажённых данных мониторинга.
Требования к хранению, агрегированию и обработке данных мониторинга
В рамках мероприятий по мониторингу информационной безопасности необходимо обеспечивать хранение данных, собранных от источников, а также результатов их обработки. Сроки и формат хранения должны позволять выявлять нарушения безопасности данных.
Также может быть реализовано хранение необработанных данных до проведения фильтрации, нормализации и агрегирования. Для предотвращения потери информации нужно принимать меры, такие как предупреждение администратора, запись новых данных поверх устаревших и резервное копирование на съёмные носители, СХД, специализированные устройства или выделенные серверы.
С целью адаптации к развивающимся типам угроз также необходимо актуализировать правила анализа событий безопасности и данных мониторинга. А сотрудники оператора периодически должны оценивать риски новых угроз безопасности информации.
Требования к представлению данных о результатах мониторинга
Собранные данные должны представляться в удобном формате. Также важно иметь возможность создавать такие отчёты о результатах мониторинга, как:
— статистику собранных данных о событиях безопасности информации;
— отчеты о нарушениях безопасности информации, обнаруженных при анализе событий;
— информацию с описанием найденных уязвимостей;
— отчёты с собранными инвентаризационными данными;
— результаты проверки соответствия настроек программного обеспечения и средств защиты информации установленным требованиям к защите информации (политикам безопасности);
— данные о состоянии источников событий безопасности.
Условия представления информации должны включать возможность управления параметрами мониторинга, в режиме реального времени, а также предоставления данных в текстовом и графическом виде. Важно также информировать ответственных лиц о нарушениях безопасности, уязвимостях, неисправностях и сбоях программно-технических средств.
Требования к защите данных мониторинга
Помимо этого, необходимо защищать данные мониторинга от несанкционированного воздействия. Для этого применяют следующие меры:
— идентификация и аутентификация пользователей при доступе к компонентам мониторинга ИБ;
— управление идентификаторами и средствами аутентификации;
— управление учётными записями;
— управление доступом пользователей к данным и средствам мониторинга;
— ограничение неудачных попыток доступа к компонентам;
— регистрация действий пользователей при доступе к данным.
Безопасность данных должна обеспечиваться с учётом класса защищённости информационных систем.
Связаться
с нами
с нами
