© 1995-2021 Компания «Инфосистемы Джет»
Сочные тренды – SOC 2.0
Информационная безопасность

За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC)

09.03.2016

Посетителей: 108

Просмотров: 120

Время просмотра: 0.9 мин.

За последние годы рынок пережил взрыв интереса к SIEM-системам, традиционному компоненту Security Operation Center (SOC). Ощущается насыщение: предложение продолжает расти, создаются новые продукты, а спрос несколько падает, так как многие из тех, кому это действительно нужно, уже внедрили у себя такие системы. Мы видим, что к заказчикам стало приходить понимание, что без должной настройки, выстраивания процессов и обучения персонала SIEM превращается в чрезмерно дорогую игрушку, не справляющуюся даже с основной своей функцией – оперативной регистрацией инцидентов ИБ. Что уж говорить обо всем множестве задач, за которые отвечает SOC. На фоне такого взросления темы последние несколько лет мы наблюдаем существенный рост интереса компаний к консалтингу в области построения SOC и прогнозируем его ускорение в ближайшие 2 года.

 

В наших проектах мы предлагаем начинать строительство SOC с четкого определения его целей, задач и архитектуры. Но архитектуры не технической, а процессной. Мы выделяем около 40 типовых процессов обеспечения ИБ, которые могут быть реализованы в SOC. Их выбор, настройка и правильное объединение – непростая, но крайне важная задача. Уже вокруг этого скелета строится техническая архитектура, и под него мы подбираем и обучаем персонал. Но это, к сожалению, идеальный случай. На практике же чаще всего мы приступаем к работе, когда заказчик уже внедрил технические средства и через год понял, что деньги потрачены, а цели не достигнуты. У нас было несколько таких проектов за последнее время. Задача здесь усложняется: как выстроить процессы, при этом подстроив их под то, что уже внедрено, чтобы сократить затраты.

Интересной тенденцией, свидетельствующей о зрелости темы, является возникновение в России SOC следующего уровня. Мы дали им рабочее название SOC 2.0. Сейчас мы принимаем участие в строительстве двух таких центров. В первом случае один из ведущих российских банков решил осуществлять с помощью SOC контроль внутренних и внешних мошеннических операций, во втором крупное промышленное объединение отслеживает в SOC также события технической и физической безопасности. При этом информация от соответствующих систем коррелируются с традиционными событиями ИБ.

 

Такой подход открывает интересные возможности. Например, отслеживая события от СКУД и HR-системы, мы можем обнаружить пользователей, которые не прошли через проходную или находятся в отпуске и при этом входят в систему. Используя логи от СУБД и систем их защиты, можно фиксировать факты мошеннических операций. С помощью данных от систем фрод-мониторинга и собранной SIEM информации можно присмотреться к действиям подозрительного сотрудника. Анализируя сигналы систем технической безопасности, мы можем оперативно получить информацию о развитии сетевой атаки на SCADA-системы.

 

Для построения таких правил необходимо выйти за границы традиционной ИБ и взглянуть на риски компании шире, проанализировать бизнес-процессы. Несмотря на обширный опыт наших консультантов, всего знать невозможно. Мы привлекаем к этой работе специалистов по борьбе с мошенничеством, инженеров АСУ ТП, бизнес-аналитиков. Большое число направлений, которыми занимается наша компания, помогает нам почти всегда найти нужного специалиста среди своих коллег. Подобные проекты показывают возможное направление развития темы SOC в будущем.

Еще один набирающий популярность подход связан с обучением сотрудников SOC и настройкой его технических средств. Все чаще компании проводят «учения» с участием специалистов по тестированию на проникновение. Как генералы всегда готовятся к прошедшей войне, так и SOC зачастую не готов к реальным атакам, которые могут произойти. Здесь возможны разные варианты: от проникновения, когда сотрудники SOC не предупреждаются о проверке, до открытого действия пентестера на отдельном участке для имитации атаки и изучения реакции средств обнаружения атак и защиты информации. Еще ни разу в нашей практике не было случая, когда такая работа не принесла бы ценной информации, позволившей усовершенствовать работу SOC.

Уведомления об обновлении тем – в вашей почте

«Это напоминает бег по тонкому льду: чем быстрее ты бежишь, тем быстрее под тобой ломается лед… Остановился — утонул»

Готовя этот номер, мы попросили дать интервью Андрея Рыбина, заведующего сектором информационной безопасности Департамента информационных технологий (ДИТ) Москвы.

Превосходный SOC, или Рецептура решения инцидентов

Как построить оптимальный SOC и грамотно выстроить процесс решения инцидентов

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Внешняя подушка безопасности

Сегодня уже никому не нужно доказывать, зачем крупной российской компании необходим центр по мониторингу и реагированию на инциденты информационной безопасности (SOC)

MaxPatrol 8: универсальное решение может быть индивидуальным

MaxPatrol 8 – выдающийся продукт не только на отечественном рынке, но и на мировом. Это решение, которое успешно ...

«Центр оперативного управления ИБ – гарантия и уверенность в уровне обеспечения информационной безопасности»

На сегодняшний день главной целью злоумышленников является не просто взлом сети или проникновение в систему, а извлечение прибыли.

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня