Сочные тренды – SOC 2.0
Информационная безопасность Информационная безопасность

За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC)

Информационная безопасность Тренд

Сочные тренды – SOC 2.0

Дата публикации:
09.03.2016
Посетителей:
100
Просмотров:
105
Время просмотра:
2.3

Авторы

Автор
Андрей Янкин Директор Центра информационной безопасности компании «Инфосистемы Джет»
За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC). Ощущается насыщение: предложение продолжает расти, создаются новые продукты, а спрос несколько падает, так как многие из тех, кому это действительно нужно, уже внедрили у себя такие системы. Мы видим, что к заказчикам стало приходить понимание, что без должной настройки, выстраивания процессов и обучения персонала SIEM превращается в чрезмерно дорогую игрушку, не справляющуюся даже с основной своей функцией – оперативной регистрацией инцидентов ИБ. Что уж говорить обо всем множестве задач, за которые отвечает SOC. На фоне такого взросления темы последние несколько лет мы наблюдаем существенный рост интереса компаний к консалтингу в области построения SOC и прогнозируем его ускорение в ближайшие 2 года.

 

В наших проектах мы предлагаем начинать строительство SOC с четкого определения его целей, задач и архитектуры. Но архитектуры не технической, а процессной. Мы выделяем около 40 типовых процессов обеспечения ИБ, которые могут быть реализованы в SOC. Их выбор, настройка и правильное объединение – непростая, но крайне важная задача. Уже вокруг этого скелета строится техническая архитектура, и под него мы подбираем и обучаем персонал. Но это, к сожалению, идеальный случай. На практике же чаще всего мы приступаем к работе, когда заказчик уже внедрил технические средства и через год понял, что деньги потрачены, а цели не достигнуты. У нас было несколько таких проектов за последнее время. Задача здесь усложняется: как выстроить процессы, при этом подстроив их под то, что уже внедрено, чтобы сократить затраты.

Интересной тенденцией, свидетельствующей о зрелости темы, является возникновение в России SOC следующего уровня. Мы дали им рабочее название SOC 2.0. Сейчас мы принимаем участие в строительстве двух таких центров. В первом случае один из ведущих российских банков решил осуществлять с помощью SOC контроль внутренних и внешних мошеннических операций, во втором крупное промышленное объединение отслеживает в SOC также события технической и физической безопасности. При этом информация от соответствующих систем коррелируются с традиционными событиями ИБ.

 

Такой подход открывает интересные возможности. Например, отслеживая события от СКУД и HR-системы, мы можем обнаружить пользователей, которые не прошли через проходную или находятся в отпуске и при этом входят в систему. Используя логи от СУБД и систем их защиты, можно фиксировать факты мошеннических операций. С помощью данных от систем фрод-мониторинга и собранной SIEM информации можно присмотреться к действиям подозрительного сотрудника. Анализируя сигналы систем технической безопасности, мы можем оперативно получить информацию о развитии сетевой атаки на SCADA-системы.

 

Для построения таких правил необходимо выйти за границы традиционной ИБ и взглянуть на риски компании шире, проанализировать бизнес-процессы. Несмотря на обширный опыт наших консультантов, всего знать невозможно. Мы привлекаем к этой работе специалистов по борьбе с мошенничеством, инженеров АСУ ТП, бизнес-аналитиков. Большое число направлений, которыми занимается наша компания, помогает нам почти всегда найти нужного специалиста среди своих коллег. Подобные проекты показывают возможное направление развития темы SOC в будущем.

Еще один набирающий популярность подход связан с обучением сотрудников SOC и настройкой его технических средств. Все чаще компании проводят «учения» с участием специалистов по тестированию на проникновение. Как генералы всегда готовятся к прошедшей войне, так и SOC зачастую не готов к реальным атакам, которые могут произойти. Здесь возможны разные варианты: от проникновения, когда сотрудники SOC не предупреждаются о проверке, до открытого действия пентестера на отдельном участке для имитации атаки и изучения реакции средств обнаружения атак и защиты информации. Еще ни разу в нашей практике не было случая, когда такая работа не принесла бы ценной информации, позволившей усовершенствовать работу SOC.

Уведомления об обновлении тем – в вашей почте

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

SOC за четыре недели? А что, так можно было?

Что такое «быстро SOC»? Создание базовой конфигурации решения. Кейс «100 дней на SOC с нуля».

«Мы возвращаемся, но в параллельное русло»: информационная безопасность в «Русагро»

Как «Русагро» готовится к таргетированным атакам? Успевают ли ИБ-специалисты спать во время кризиса? Какие вызовы встанут перед отраслью в ближайшие годы?

Внешняя подушка безопасности

Сегодня уже никому не нужно доказывать, зачем крупной российской компании необходим центр по мониторингу и реагированию на инциденты информационной безопасности (SOC)

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

«Это напоминает бег по тонкому льду: чем быстрее ты бежишь, тем быстрее под тобой ломается лед… Остановился — утонул»

Готовя этот номер, мы попросили дать интервью Андрея Рыбина, заведующего сектором информационной безопасности Департамента информационных технологий (ДИТ) Москвы.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня