Security Vision Security Operation Center (SOC)

SOC-Центр обеспечивает реагирование на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.

SOC-Центры могут быть внутренними и внешними (их также называют коммерческими или аутсорсинговыми). Внутренний SOC, как правило, создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности. При этом обычно имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC - это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.

В SOC-Центре агрегируются сведения, поступающие от разнообразных средств и систем защищаемой инфраструктуры – начиная от сетевого оборудования, операционных системам и межсетевых экранов и заканчивая прикладными системами и бизнес-приложениями.

Как уже отмечалось выше, Центр SOC - это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди - эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способны понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа. Одной из таких систем является решение Security Vision SOC.

Security Vision SOC – российский программный продукт для построения ситуационного центра информационной безопасности. Он обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любое время.

Ядро Security Vision SOC представляет собой SIEM-систему, которая имеет конструктор простых правил корреляции. SIEM Security Vision позволяет в рамках сложной инфраструктуры централизованно собирать и анализировать информацию, поступающую от всех источников, для оценки текущего уровня защищенности и выявления нарушений принятых политик безопасности. Также платформа Security Vision поддерживает интеграцию с различными внешними SIEM-системами и зонтичную технологию объединения SIEM. Функционал SIEM Security Vision позволяет настраивать правила обработки информации от источников событий (парсинг, нормализацию, очистку, фильтрацию, дедупликацию), формировать различные правила корреляции и определять типы автоматически создаваемых инцидентов.

Итак, система Security Vision SOC обеспечивает:

• сбор и обработку событий с информационных систем
• инвентаризацию информационных активов
• корреляцию событий информационной безопасности
• выявление атак и инцидентов информационной безопасности (ИБ) на ранних стадиях за счет анализа событий
• сокращение времени реагирования на инциденты ИБ
• консолидацию данных и оперативное предоставление информации для расследования инцидентов ИБ
• формирование аналитической и отчетной информации по обработке инцидентов ИБ.

Выводы

SOC-Центры представляют собой командный центр управления инцидентами информационной безопасности. Центр SOC состоит из технологий, процессов и сотрудников: средства и системы защиты передают в SOC события кибербезопасности, обрабатываемые затем сотрудниками-аналитиками в соответствии с принятыми внутренними методиками и процессами.

Внедрение Security Vision SOC для управления Центрами SOC обеспечивает персонал Ситуационных Центров необходимым инструментарием для эффективной обработки поступающих инцидентов ИБ, управления системами и средствами защиты информации, а также предоставляет функционал корреляции, нормализации, агрегации событий и инцидентов ИБ. Автоматизация действий по расследованию инцидентов и реагированию на них повышает операционную эффективность SOC-Центров и снижает рутинную нагрузку на аналитиков кибербезопасности, позволяя им сосредоточиться на действительно высокоприоритетных инцидентах.