© 1995-2022 Компания «Инфосистемы Джет»
Сочные тренды – SOC 2.0
Информационная безопасность Информационная безопасность

За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC)

09.03.2016

Посетителей: 72

Просмотров: 72

Время просмотра: 2.3

Авторы

Автор
Андрей Янкин Директор Центра информационной безопасности компании «Инфосистемы Джет»
За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC). Ощущается насыщение: предложение продолжает расти, создаются новые продукты, а спрос несколько падает, так как многие из тех, кому это действительно нужно, уже внедрили у себя такие системы. Мы видим, что к заказчикам стало приходить понимание, что без должной настройки, выстраивания процессов и обучения персонала SIEM превращается в чрезмерно дорогую игрушку, не справляющуюся даже с основной своей функцией – оперативной регистрацией инцидентов ИБ. Что уж говорить обо всем множестве задач, за которые отвечает SOC. На фоне такого взросления темы последние несколько лет мы наблюдаем существенный рост интереса компаний к консалтингу в области построения SOC и прогнозируем его ускорение в ближайшие 2 года.

 

В наших проектах мы предлагаем начинать строительство SOC с четкого определения его целей, задач и архитектуры. Но архитектуры не технической, а процессной. Мы выделяем около 40 типовых процессов обеспечения ИБ, которые могут быть реализованы в SOC. Их выбор, настройка и правильное объединение – непростая, но крайне важная задача. Уже вокруг этого скелета строится техническая архитектура, и под него мы подбираем и обучаем персонал. Но это, к сожалению, идеальный случай. На практике же чаще всего мы приступаем к работе, когда заказчик уже внедрил технические средства и через год понял, что деньги потрачены, а цели не достигнуты. У нас было несколько таких проектов за последнее время. Задача здесь усложняется: как выстроить процессы, при этом подстроив их под то, что уже внедрено, чтобы сократить затраты.

Интересной тенденцией, свидетельствующей о зрелости темы, является возникновение в России SOC следующего уровня. Мы дали им рабочее название SOC 2.0. Сейчас мы принимаем участие в строительстве двух таких центров. В первом случае один из ведущих российских банков решил осуществлять с помощью SOC контроль внутренних и внешних мошеннических операций, во втором крупное промышленное объединение отслеживает в SOC также события технической и физической безопасности. При этом информация от соответствующих систем коррелируются с традиционными событиями ИБ.

 

Такой подход открывает интересные возможности. Например, отслеживая события от СКУД и HR-системы, мы можем обнаружить пользователей, которые не прошли через проходную или находятся в отпуске и при этом входят в систему. Используя логи от СУБД и систем их защиты, можно фиксировать факты мошеннических операций. С помощью данных от систем фрод-мониторинга и собранной SIEM информации можно присмотреться к действиям подозрительного сотрудника. Анализируя сигналы систем технической безопасности, мы можем оперативно получить информацию о развитии сетевой атаки на SCADA-системы.

 

Для построения таких правил необходимо выйти за границы традиционной ИБ и взглянуть на риски компании шире, проанализировать бизнес-процессы. Несмотря на обширный опыт наших консультантов, всего знать невозможно. Мы привлекаем к этой работе специалистов по борьбе с мошенничеством, инженеров АСУ ТП, бизнес-аналитиков. Большое число направлений, которыми занимается наша компания, помогает нам почти всегда найти нужного специалиста среди своих коллег. Подобные проекты показывают возможное направление развития темы SOC в будущем.

Еще один набирающий популярность подход связан с обучением сотрудников SOC и настройкой его технических средств. Все чаще компании проводят «учения» с участием специалистов по тестированию на проникновение. Как генералы всегда готовятся к прошедшей войне, так и SOC зачастую не готов к реальным атакам, которые могут произойти. Здесь возможны разные варианты: от проникновения, когда сотрудники SOC не предупреждаются о проверке, до открытого действия пентестера на отдельном участке для имитации атаки и изучения реакции средств обнаружения атак и защиты информации. Еще ни разу в нашей практике не было случая, когда такая работа не принесла бы ценной информации, позволившей усовершенствовать работу SOC.

Уведомления об обновлении тем – в вашей почте

Open Source в SOC

Тест-драйв Elastic Stack. Что показало тестирование? Плюсы и минусы ПО с открытым кодом.

Облачный SOC - безопасность в аренду

На текущий момент о задаче управления инцидентами ИБ уже сказано очень много ..

Сколько стоит SOC?

В статье мы решили рассмотреть основные статьи затрат на построение SOC, методику оценки количества и стоимости необходимого персонала, а также один из подходов к формированию тарифов при оказании услуг аутсорсинга SOC

Внешняя подушка безопасности

Сегодня уже никому не нужно доказывать, зачем крупной российской компании необходим центр по мониторингу и реагированию на инциденты информационной безопасности (SOC)

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

MaxPatrol 8: универсальное решение может быть индивидуальным

MaxPatrol 8 – выдающийся продукт не только на отечественном рынке, но и на мировом. Это решение, которое успешно ...

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня