SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
16.04.2020

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |


Руслан Рахметов, Security Vision


Друзья, в предыдущей статье (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) мы обсудили основные понятия информационной безопасности и дали определение некоторым терминам. Разумеется, сфера защиты информации не ограничивается описанными определениями, и по мере появления новых статей мы будем всё больше погружаться в данную область и объяснять специфические термины.


Сейчас же давайте представим, как выглядит практическая работа тех, кто профессионально занимается информационной безопасностью, т.е. специалистов по защите информации. Мы часто слышим, что многие значимые расследования хакерских атак ведутся в Ситуационных центрах информационной безопасности, или Центрах SOC (от англ. Security Operations Center). Что такое SOC? Кто там работает и что делает? Какие обязанности выполняют сотрудники SOC, с какими системами и средствами они работают? Правда ли, что без знаний языков программирования не удастся достичь высот в работе в составе команды SOC-Центра, а навыки администрирования информационных систем нужны специалисту по защите информации как воздух? Поговорим об этом ниже.


Итак, давайте для начала ответим на вопрос: SOC - что это? SOC - это аббревиатура Security Operations Center, что в буквальном переводе с английского означает «Центр операций по безопасности», однако такой дословный перевод не раскрывает смысл данного термина, поэтому в русскоязычной литературе SOC часто переводится как Ситуационный центр информационной безопасности, что яснее отражает специфику работы. В англоязычной литературе также встречается термин CSOC - CyberSecurity Operations Center, а в русскоязычной литературе встречаются такие термины, как SOC - Центр мониторинга кибербезопасности или SOC - Центр обеспечения компьютерной безопасности. Кроме того, термин SOC отечественные специалисты по информационной безопасности также используют в качестве акронима, произнося его как «СОК». В любом случае, это означает одно и то же: SOC - это структурное подразделение, осуществляющее мониторинг работы систем защиты информации и реагирующее на инциденты информационной безопасности. Таким образом, SOC - это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.


Приведем пример: если у вас на домашнем компьютере установлен антивирус, то чем скорее вы увидите предупреждающее сообщение от него, тем выше шанс избежать заражения компьютерным вирусом: антивирус может быть настроен так, что лишь уведомит вас о возможной атаке, а сам вирус может продолжать «жить» в системе, пока вы не дадите команду антивирусу на его удаление. Или другой пример: все мы знаем, что далеко не все угрозы современного интернета обнаруживаются антивирусными средствами и файерволлами: печально известные вирусы WannaCry и NotPetya «не ловились» защитными средствами, поэтому они смогли поразить большое количество компьютеров и серверов. Почему такое происходит? Дело в том, что самые опасные вирусы используют уязвимости штатного функционала операционных систем и программ, что приводит к тому, что антивирус «считает», что происходящее на компьютере после заражения - это нормальное поведение системы, вызванное легитимными действиями пользователя. И как раз в такие моменты сотрудникам Центров SOC очень важно быстро заметить, что в системе происходят аномальные события: слишком большое количество измененных файлов за малый промежуток времени (это признак работы вируса-шифровальщика, который потребует выкуп за восстановление доступа к зашифрованным им файлам), нетипичный интернет-трафик к разным ресурсам (это признак заражения компьютера программой-ботом, которая может осуществлять DDoS-атаки на интернет-сайты от вашего имени), слишком большое потребление системных ресурсов интернет-браузером (это может означать, что вы зашли на сайт, зараженный вирусом-майнером, который за ваш счет добывает криптовалюту) и т.д.




Итак, Центр SOC - это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди - эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способные понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности), IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству). Об этих системах мы подробно поговорим в следующих публикациях.


Пока же нам следует уяснить, из каких специалистов должен состоять Центр SOC? Какие компетенции важны для успешной и плодотворной работы в Ситуационных центрах информационной безопасности? Для начала мы подробнее расскажем, какие именно задачи решаются в SOC-Центрах, поговорим о классификации SOC и о моделях работы и предоставления сервисных услуг заказчикам Ситуационных центров информационной безопасности.


Основная задача SOC-Центра - это обеспечение реагирования на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.


SOC-Центры могут быть внутренними и внешними (их еще называют коммерческими или аутсорсинговыми). Внутренний SOC как правило создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности. При этом, как правило, имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC - это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.


На практике подключение и использование услуг SOC-Центра выглядит следующим образом:

1. Заказчик услуг SOC-Центра, который видит необходимость в аутсорсинге оперативного реагирования на свои инциденты ИБ, обращается к менеджерам SOC с запросом о подключении к сервисам SOC.

2. Менеджеры Центра SOC согласовывают детали подключения информационных и защитных систем заказчика к инфраструктуре SOC-Центра для того, чтобы оперативно обрабатывать поступающие данные без выезда на площадку Заказчика.

3. Инженеры внешнего SOC-Центра подключают источники информации и событий ИБ компании-заказчика в свою внутреннюю систему управления инцидентами - эту роль выполняет, как правило, SOAR или SIEM-система. При этом следует обеспечить надежный и защищенный канал связи между компанией-заказчиком и внешним SOC-Центром для обеспечения оперативного обмена информацией.

4. На площадке Заказчика информационные системы и имеющиеся средства технической защиты настраиваются на пересылку всей значимой с точки зрения ИБ информации во внешний SOC.

5. Во внешнем SOC-Центре входящие данные непрерывно обрабатываются сотрудниками SOC (дежурной сменой), которая состоит, как правило, из следующих специалистов:


Системный администратор или инженер - тот, кто настраивает внутренние системы SOC-Центра, которые используются в обработке инцидентов заказчиков (это системы SIEM, SOAR, IRP и аналогичные), а также отвечает за стабильность получения данных из систем компании-заказчика. Такому специалисту просто необходимо быть «на ты» с различными типами операционных систем, прикладным ПО, разнообразными системами киберзащиты. В случае, если в коммерческом SOC-Центре используется какое-то самостоятельно созданное программное обеспечение, то на системного администратора SOC могут быть возложены еще и функции непрерывной интеграции и настройки такого ПО для обеспечения бесперебойности бизнес-процесса кибербезопасности, связанного с ним (это еще называют DevOps от англ. Development & Operations).


Специалист по настройке правил в системах SIEM, SOAR, IRP получает от Заказчика вводные данные о работе информационных систем и затем составляет правила выявления инцидентов и реагирования на них в используемых в SOC-Центре системах. Это могут быть правила корреляции в системах SIEM, которые отвечают за обработку входящих сообщений от систем безопасности заказчика и за выстраивание этих разнородных событий в логически целостную «историю» для поиска возможной атаки. Также настраиваются правила автоматического реагирования, локализации, восстановления информационных систем при помощи SOAR и IRP решений. В случае, если для защиты Заказчиков используются сигнатурные методы обнаружения угроз, например, антивирусы или системы обнаружения/предотвращения компьютерных вторжений, то данный специалист создает для них сигнатуры, т.е. описывает правила, по которым угроза должна быть обнаружена.


Аналитик 1-го уровня (встречаются также термины L 1 Analyst или Tier 1 Analyst) осуществляет первичную обработку киберинцидентов - так называемый «триаж» или распределение и первичный отсев явных ложных срабатываний систем (такие события и инциденты называются ложноположительными, в английской литературе употребляется термин False Positive). Специалисты 1-го уровня в работе опираются, как правило, на заранее созданные в SOC-Центре сценарии реагирования (англ. Playbooks), в которых указана последовательность шагов, которые надо оперативно предпринять при поступлении того или иного типа инцидента. В случае, если аналитик 1-го уровня может самостоятельно выполнить все действия, он осуществляет реагирование своими силами. Если он столкнулся с необходимостью эскалации инцидента, то он передает его на следующий уровень - аналитику 2-го уровня.

Аналитик 2-го уровня (L2 Analyst или Tier 2 Analyst) получает данные с 1-го уровня реагирования. Ему уже нужно не опираться на какие-то шаблоны реагирования, а анализировать уникальную ситуацию, применяя свою экспертизу и опыт расследования атак, сопоставляя различные события и факты, имеющие отношение к киберинциденту. В случае, если в расследуемой кибератаке применялось ранее неизвестное вредоносное ПО или вообще непонятно, что произошло, аналитик 2-го уровня эскалирует инцидент еще выше - специалисту по реверс-инжинирингу, форензик-эксперту или в специализированные компьютерные лаборатории.


Специалист по реверс-инжинирингу - эксперт высшей категории, как правило, профессиональный программист, решивший посвятить себя изучению образцов вредоносного программного кода для противодействия осуществляемым с их помощью кибератакам. Задача реверс-инженера состоит в том, чтобы понять, что делает и как устроен вирус: запустить вирус в изолированной среде (т.н. песочнице) для анализа его поведения, провести процедуру обратной разработки и получить из файла-образца первоначальный программный код, чтобы уже в нем найти особенности, которые помогут понять, что именно делает данный вирус и как ему лучше противостоять. При этом хакеры знают, что их вирус рано или поздно попадет к такому эксперту на исследование, и поэтому применяют техники запутывания (обфусцирования) кода, чтобы усложнить задачу реверс-инжиниринга.


Форензик-эксперт - это специалист по форензике (англ. forensics), т.е. компьютерной криминалистике. Эти специалисты могут понять, что изменилось в атакованной системе (компьютере, сервере, смартфоне), какие данные были стерты, изменены или похищены вирусом, какие еще системы в компании-заказчике были атакованы. Они даже способны воссоздать полный путь распространения угрозы, например, вируса: определить, на каком компьютере был этот вирус впервые запущен (чаще вирусы отправляют по email невнимательным сотрудникам), что именно он делал на зараженной системе (как правило, сначала вредонос «осматривается», пытаясь понять, куда попал, затем докачивает с сервера злоумышленников дополнительные компоненты, повышает свои права на атакованном ПК и начинает распространяться по сети компании), как затем развивалась атака и как был в итоге нанесен ущерб (чаще всего похищаются либо важная коммерческая информация, либо денежные средства со счетов фирмы).


Специалист по киберразведке (англ. CyberThreat Intelligence) отвечает за поиск ранее не обнаруженных или затаившихся вредоносных программ в системах Заказчиков (например, вирусов-логических бомб, которые срабатывают только при наступлении определенных условий, а до этого никак себя не проявляют). Также такой эксперт ищет в интернете, на специализированных закрытых хакерских форумах информацию о новых вирусах, новых киберпреступных группировках, пытается понять, не планируют ли злоумышленники массированную атаку на компанию-заказчика, нет ли «заказа» на кражу коммерческой информации защищаемой фирмы.


Менеджер SOC - это тот человек, который «переводит» техническую информацию об инциденте с языка ИТ и ИБ-специалистов на язык бизнеса, чтобы руководители компаний-заказчиков могли понять, насколько серьезным был ущерб или какую именно угрозу удалось предотвратить. SOC-менеджер также координируют работу всей команды SOC-Центра, связывает друг с другом заказчиков и исполнителей, выполняет организационную работу.


 

ИБ для начинающих SOC Подкасты ИБ IRP SOAR SGRC

Рекомендуем

Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение

Рекомендуем

Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение

Похожие статьи

Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
SGRC по закону. КИИ
SGRC по закону. КИИ
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.

Похожие статьи

Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
Построение системы управления информационной безопасностью. Часть 2. Инвентаризация активов – продолжение
SGRC по закону. КИИ
SGRC по закону. КИИ
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.