результативная
информационная безопасность
+7 (495) 150 46 00
+7 (495) 150 46 00

Главная Новости Немного о SOCе

Немного о SOCе

Обеспечение информационной безопасности любой компании неразрывно связано с процессом мониторинга событий информационной безопасности. И когда речь заходит о мониторинге многим приходит на ум аббревиатура SOC.

Разберемся, что она значит и нужен ли он Вашей компании или нет?

Security Operation Center (SOC) – это Центр мониторинга безопасности, основной целью функционирования которого является обеспечение информационной безопасности компании.

При этом не существует априорно правильного или неправильного SOCа. Также нельзя единовременно построить идеальный SOC. Более того, определение задач, которые должен выполнять SOC, в каждом конкретном случае является индивидуальным процессом.

Security Operation Center (SOC) – это Центр мониторинга безопасности, основной целью функционирования которого является обеспечение информационной безопасности компании.

Например, для формулирования высокоуровневых задач SOC можно обратиться к рекомендациям Национального института стандартов и технологий США, которые определяет следующие области деятельности SOC:

  • идентификация
  • защита
  • обнаружение
  • реагирование
  • восстановление

Для более детального описания функций SOC целесообразно воспользоваться рекомендациями MITRE, в которых описаны почти 40 функций

Эффективность SOC зависит в первую очередь от корреляции Ваших ожиданий и возложенных на него задач. В связи с этим работа по построению SOC должна начаться в первую очередь с формирования к нему требований. И вот здесь кроется очень тонкий нюанс: правильно и грамотно определить требования к SOC, с одной стороны, может сотрудник, непосредственно отвечающий за обеспечение безопасности компании, но, с другой – данному сотруднику требуется опыт в построении SOC, чтобы не закладывать «бомб замедленного действия» на этапе проектирования. Это является одной из причин, по которым собственный SOC не нужен абсолютно всем. Здесь уместна избитая фраза «До SOCа нужно дорасти». И это действительно так. А чтобы понять, почему, рассмотрим его составные части.

SOC составляют три важные компоненты: персонал, процессы и технологии. Каждый из элемент этой триады важен. При этом необходимо сбалансированное развитие каждого их них. Излишнее развитие или, наоборот, недостаточное внимание неотвратимо сведет на нет эффективность деятельности SOC.

Рассмотрим каждый из элементов:

  1. Персонал представляет собой основу функционирования SOCа. При чем в нынешних реалиях, к сожалению, подбор персонала для SOCа является далеко не тривиальной задачей. Ведь, с одной стороны, сотрудник SOC даже на наименее требовательном участке работ (если такой вообще можно выделить) должен обладать широкими компетенциями, которые находятся на стыке разных областей знаний: информационной безопасности, программирования, сетевых технологий, администрирования, юриспруденции и т.д.
  2. Процессы позволяют регламентировать деятельность SOC и разграничить зоны ответственности непосредственно внутри команды. Успешность деятельности SOC заключается в оптимальном распределении имеющихся сил и средств. Такая ситуация возможна только в том случае, когда каждый знает «куда бежать».
  3. Технологии определяют технологический базис описанных процессов. При чем взаимосвязь должна быть именно такой. Именно процессы диктуют используемые технологии. Это связано с тем, что процессы являются производной потребностей конкретной организации, а технологии – инструментом. Вместе с тем, технологии играют важнейшую роль в жизнедеятельности SOC. Поэтому крайне важно коррелировать процессы и технологии и выбирать именно те инструменты, которые необходимы.

Деятельность любого подразделения подлежит оценке. Не миновала сия участь и SOC. Однако, единственной метрики оценки SOC не существуют. Более того, с развитием и ростом SOC необходимо «расти» и метрикам. Если на первоначальных этапах вполне достаточно подсчета зафиксированных компьютерных атак или расследованных инцидентов, то с ростом компетенции эти параметры будут не релевантными.

Приведенное краткое и далеко не полное описание позволяет сделать о том, что SOC -сложный и развивающийся организм, который требует с одной стороны высокой компетенции менеджмента, а с другой – капитальных затрат.

При этом необходимость решения задач, возложенных на SOC, очевидна. В связи с этим возникает логичный вопрос, кто виноват и что делать? как защитить свою инфраструктуру? Одним из выходом может быть использование услуг SOC путем аутсорсинга (об аутсорсинге можно почитать здесь).

Выбор пути защиты за Вами!

Команда «Киберзащиты» готова предоставить услуги SOC, а также помочь построить Ваш собственный!

+7 (495) 150 46 00