Обеспечение информационной безопасности любой компании неразрывно связано с процессом мониторинга событий информационной безопасности. И когда речь заходит о мониторинге многим приходит на ум аббревиатура SOC.
Разберемся, что она значит и нужен ли он Вашей компании или нет?
Security Operation Center (SOC) – это Центр мониторинга безопасности, основной целью функционирования которого является обеспечение информационной безопасности компании.
При этом не существует априорно правильного или неправильного SOCа. Также нельзя единовременно построить идеальный SOC. Более того, определение задач, которые должен выполнять SOC, в каждом конкретном случае является индивидуальным процессом.
Security Operation Center (SOC) – это Центр мониторинга безопасности, основной целью функционирования которого является обеспечение информационной безопасности компании.
Например, для формулирования высокоуровневых задач SOC можно обратиться к рекомендациям Национального института стандартов и технологий США, которые определяет следующие области деятельности SOC:
Для более детального описания функций SOC целесообразно воспользоваться рекомендациями MITRE, в которых описаны почти 40 функций
Эффективность SOC зависит в первую очередь от корреляции Ваших ожиданий и возложенных на него задач. В связи с этим работа по построению SOC должна начаться в первую очередь с формирования к нему требований. И вот здесь кроется очень тонкий нюанс: правильно и грамотно определить требования к SOC, с одной стороны, может сотрудник, непосредственно отвечающий за обеспечение безопасности компании, но, с другой – данному сотруднику требуется опыт в построении SOC, чтобы не закладывать «бомб замедленного действия» на этапе проектирования. Это является одной из причин, по которым собственный SOC не нужен абсолютно всем. Здесь уместна избитая фраза «До SOCа нужно дорасти». И это действительно так. А чтобы понять, почему, рассмотрим его составные части.
SOC составляют три важные компоненты: персонал, процессы и технологии. Каждый из элемент этой триады важен. При этом необходимо сбалансированное развитие каждого их них. Излишнее развитие или, наоборот, недостаточное внимание неотвратимо сведет на нет эффективность деятельности SOC.
Рассмотрим каждый из элементов:
Деятельность любого подразделения подлежит оценке. Не миновала сия участь и SOC. Однако, единственной метрики оценки SOC не существуют. Более того, с развитием и ростом SOC необходимо «расти» и метрикам. Если на первоначальных этапах вполне достаточно подсчета зафиксированных компьютерных атак или расследованных инцидентов, то с ростом компетенции эти параметры будут не релевантными.
Приведенное краткое и далеко не полное описание позволяет сделать о том, что SOC -сложный и развивающийся организм, который требует с одной стороны высокой компетенции менеджмента, а с другой – капитальных затрат.
При этом необходимость решения задач, возложенных на SOC, очевидна. В связи с этим возникает логичный вопрос, кто виноват и что делать? как защитить свою инфраструктуру? Одним из выходом может быть использование услуг SOC путем аутсорсинга (об аутсорсинге можно почитать здесь).
Выбор пути защиты за Вами!
Команда «Киберзащиты» готова предоставить услуги SOC, а также помочь построить Ваш собственный!