Построение корпоративного security operation center (SOC)
С точки зрения информационной безопасности Security Operation Center начинается с SIEM системы, но ей не ограничивается. Security Operation Center– это совокупность технических средств, сотрудников и процессов информационной безопасности.
К функциям SOC относятся:
- Мониторинг и анализ данных в режиме реального времени
- Управление и работа с инцидентам
- Поддержка работоспособности смежных информационных систем
- Стратегическое планирование
- Сбор, хранение и обработка информации со смежных информационных систем и цифровых устройств в сети
- Расследование случаев внутренних нарушений
- Инструмент ускоренной «эволюции» службы информационной безопасности
- Построение карты сети и отслеживание её состояния
- Оценка защищенности
- Прозрачность при внедрении механизмов ключевых показателей эффективности
- Повышение осведомленности
- Оперативное информирование
- Оперативное управление
За счет выстраивания процессов информационной безопасности, SOC позволяет глубже интегрироваться в процессы смежных подразделений - от ИТ, кадровой службы, производства, до анализа и обучения на основе программируемых логических контроллеров (ПЛК).
Для обеспечения функционирования SOC предлагается следующая модель в подборе обслуживающего персонала:
- Диспетчеры, для оперативной обработки заявок и инцидентов от клиентов, т.е. сотрудников смежных подразделений
- Аналитики для обработки инцидентов, заведенных на первой линии. Обычно к сотрудникам, так называемой второй линии выдвигаются более серьезные требования к квалификации, так как они занимаются разбором инцидентов, продолжительное время, собирая информацию воедино при расследовании инцидентов информационной безопасности
- Специалисты отвечают за функционирование и настройку своих систем, т.к. SOC состоит из нескольких систем информационной безопасности
Организация работы SOC предполагает функционирование в режиме 24\7, но не обязательно увеличивать штат персонала, часть работы, особенно с некритичными инцидентами можно делегировать смежному персоналу, например, диспетчерам или ИТ инженерам.
Обычно, когда возникает вопрос о создании собственного SOC, технические средства защиты информации уже имеются. При этом возникает необходимость роста, оптимизации и централизации. Мы считаем, что минимальный набор технических средств должен включать следующие централизованные средства защиты:
- SIEM система
- UTM решения, для защиты периметра сети
- Антивирусные средства
- Защита виртуализации, при использовании виртуализации
- Управление привилегированными пользователями (PAM) при доступе к критической информации и для доступа подрядчиков
- Средства анализа защищенности
- Песочницы