SOC (Security Operations Center): что это такое, центр мониторинга безопасности, аналитик SOC и процесс реагирования

16.04.2020

| Слушать на Mave | Слушать на Яндекс Музыке |

Руслан Рахметов, Security Vision

Security Operation Center (SOC), часто называемый Центром мониторинга информационной безопасности, — это специализированное структурное подразделение ИБ-экспертов, которое отвечает за непрерывный мониторинг систем организации и оперативное реагирование на киберинциденты. Основная цель SOC — максимально быстро обнаруживать, анализировать и нейтрализовывать киберугрозы, такие как хакерские атаки или заражение вирусами, чтобы минимизировать потенциальный ущерб для бизнеса. Для этого команда SOC использует специальные инструменты (SIEM, SOAR) и анализирует события от различных средств защиты в режиме 24/7.

Что такое SOC (Security Operation Center) и зачем он нужен?

Друзья, в предыдущей статье (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) мы обсудили основные понятия информационной безопасности и дали определение некоторым терминам. Разумеется, сфера защиты информации не ограничивается описанными определениями, и по мере появления новых статей мы будем всё больше погружаться в данную область и объяснять специфические термины.

Сейчас же давайте представим, как выглядит практическая работа тех, кто профессионально занимается информационной безопасностью, т.е. специалистов по защите информации. Мы часто слышим, что многие значимые расследования хакерских атак ведутся в Ситуационных центрах информационной безопасности, или Центрах SOC (от англ. Security Operations Center). Что такое SOC? Кто там работает и что делает? Какие обязанности выполняют сотрудники SOC, с какими системами и средствами они работают? Правда ли, что без знаний языков программирования не удастся достичь высот в работе в составе команды SOC-Центра, а навыки администрирования информационных систем нужны специалисту по защите информации как воздух? Поговорим об этом ниже.

Итак, давайте для начала ответим на вопрос: SOC - что это? SOC - это аббревиатура Security Operations Center, что в буквальном переводе с английского означает «Центр операций по безопасности», однако такой дословный перевод не раскрывает смысл данного термина, поэтому в русскоязычной литературе SOC часто переводится как Ситуационный центр информационной безопасности, что яснее отражает специфику работы. В англоязычной литературе также встречается термин CSOC - CyberSecurity Operations Center, а в русскоязычной литературе встречаются такие термины, как SOC - Центр мониторинга кибербезопасности или SOC - Центр обеспечения компьютерной безопасности. Кроме того, термин SOC отечественные специалисты по информационной безопасности также используют в качестве акронима, произнося его как «СОК». В любом случае, это означает одно и то же: SOC - это структурное подразделение, осуществляющее мониторинг работы систем защиты информации и реагирующее на инциденты информационной безопасности. Таким образом, SOC - это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.

Приведем пример: если у вас на домашнем компьютере установлен антивирус, то чем скорее вы увидите предупреждающее сообщение от него, тем выше шанс избежать заражения компьютерным вирусом: антивирус может быть настроен так, что лишь уведомит вас о возможной атаке, а сам вирус может продолжать «жить» в системе, пока вы не дадите команду антивирусу на его удаление. Или другой пример: все мы знаем, что далеко не все угрозы современного интернета обнаруживаются антивирусными средствами и файерволлами: печально известные вирусы WannaCry и NotPetya «не ловились» защитными средствами, поэтому они смогли поразить большое количество компьютеров и серверов. Почему такое происходит? Дело в том, что самые опасные вирусы используют уязвимости штатного функционала операционных систем и программ, что приводит к тому, что антивирус «считает», что происходящее на компьютере после заражения - это нормальное поведение системы, вызванное легитимными действиями пользователя. И как раз в такие моменты сотрудникам Центров SOC очень важно быстро заметить, что в системе происходят аномальные события: слишком большое количество измененных файлов за малый промежуток времени (это признак работы вируса-шифровальщика, который потребует выкуп за восстановление доступа к зашифрованным им файлам), нетипичный интернет-трафик к разным ресурсам (это признак заражения компьютера программой-ботом, которая может осуществлять DDoS-атаки на интернет-сайты от вашего имени), слишком большое потребление системных ресурсов интернет-браузером (это может означать, что вы зашли на сайт, зараженный вирусом-майнером, который за ваш счет добывает криптовалюту) и т.д.

Ключевые задачи SOC-центра и показатели эффективности (SLA, KPI)

Пока же нам следует уяснить, из каких специалистов должен состоять Центр SOC? Какие компетенции важны для успешной и плодотворной работы в Ситуационных центрах информационной безопасности? Для начала мы подробнее расскажем, какие именно задачи решаются в SOC-Центрах, поговорим о классификации SOC и о моделях работы и предоставления сервисных услуг заказчикам Ситуационных центров информационной безопасности.

Основная задача SOC-Центра - это обеспечение реагирования на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.

Внутренний vs Внешний SOC: какой вариант выбрать?

SOC-Центры могут быть внутренними и внешними (их еще называют коммерческими или аутсорсинговыми). Внутренний SOC как правило создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности. При этом, как правило, имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC - это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.

Как работает коммерческий SOC: пошаговый процесс подключения

На практике подключение и использование услуг SOC-Центра выглядит следующим образом:

Заказчик услуг SOC-Центра, который видит необходимость в аутсорсинге оперативного реагирования на свои инциденты ИБ, обращается к менеджерам SOC с запросом о подключении к сервисам SOC.
Менеджеры Центра SOC согласовывают детали подключения информационных и защитных систем заказчика к инфраструктуре SOC-Центра для того, чтобы оперативно обрабатывать поступающие данные без выезда на площадку Заказчика.
Инженеры внешнего SOC-Центра подключают источники информации и событий ИБ компании-заказчика в свою внутреннюю систему управления инцидентами - эту роль выполняет, как правило, SOAR или SIEM-система. При этом следует обеспечить надежный и защищенный канал связи между компанией-заказчиком и внешним SOC-Центром для обеспечения оперативного обмена информацией.
На площадке Заказчика информационные системы и имеющиеся средства технической защиты настраиваются на пересылку всей значимой с точки зрения ИБ информации во внешний SOC.
Во внешнем SOC-Центре входящие данные непрерывно обрабатываются сотрудниками SOC (дежурной сменой), которая состоит, как правило, из следующих специалистов:

Команда SOC-центра: роли и обязанности специалистов

Системный администратор или инженер- тот, кто настраивает внутренние системы SOC-Центра, которые используются в обработке инцидентов заказчиков (это системы SIEM, SOAR, IRP и аналогичные), а также отвечает за стабильность получения данных из систем компании-заказчика. Такому специалисту просто необходимо быть «на ты» с различными типами операционных систем, прикладным ПО, разнообразными системами киберзащиты. В случае, если в коммерческом SOC-Центре используется какое-то самостоятельно созданное программное обеспечение, то на системного администратора SOC могут быть возложены еще и функции непрерывной интеграции и настройки такого ПО для обеспечения бесперебойности бизнес-процесса кибербезопасности, связанного с ним (это еще называют DevOps от англ. Development & Operations).
Специалист по настройке правил в системах SIEM, SOAR, IRPполучает от Заказчика вводные данные о работе информационных систем и затем составляет правила выявления инцидентов и реагирования на них в используемых в SOC-Центре системах. Это могут быть правила корреляции в системах SIEM, которые отвечают за обработку входящих сообщений от систем безопасности заказчика и за выстраивание этих разнородных событий в логически целостную «историю» для поиска возможной атаки. Также настраиваются правила автоматического реагирования, локализации, восстановления информационных систем при помощи SOAR и IRP решений. В случае, если для защиты Заказчиков используются сигнатурные методы обнаружения угроз, например, антивирусы или системы обнаружения/предотвращения компьютерных вторжений, то данный специалист создает для них сигнатуры, т.е. описывает правила, по которым угроза должна быть обнаружена.
Аналитик 1-го уровня(встречаются также термины L 1 Analyst или Tier 1 Analyst) осуществляет первичную обработку киберинцидентов - так называемый «триаж» или распределение и первичный отсев явных ложных срабатываний систем (такие события и инциденты называются ложноположительными, в английской литературе употребляется термин False Positive). Специалисты 1-го уровня в работе опираются, как правило, на заранее созданные в SOC-Центре сценарии реагирования (англ. Playbooks), в которых указана последовательность шагов, которые надо оперативно предпринять при поступлении того или иного типа инцидента. В случае, если аналитик 1-го уровня может самостоятельно выполнить все действия, он осуществляет реагирование своими силами. Если он столкнулся с необходимостью эскалации инцидента, то он передает его на следующий уровень - аналитику 2-го уровня.
Аналитик 2-го уровня(L2 Analyst или Tier 2 Analyst) получает данные с 1-го уровня реагирования. Ему уже нужно не опираться на какие-то шаблоны реагирования, а анализировать уникальную ситуацию, применяя свою экспертизу и опыт расследования атак, сопоставляя различные события и факты, имеющие отношение к киберинциденту. В случае, если в расследуемой кибератаке применялось ранее неизвестное вредоносное ПО или вообще непонятно, что произошло, аналитик 2-го уровня эскалирует инцидент еще выше - специалисту по реверс-инжинирингу, форензик-эксперту или в специализированные компьютерные лаборатории.
Специалист по реверс-инжинирингу- эксперт высшей категории, как правило, профессиональный программист, решивший посвятить себя изучению образцов вредоносного программного кода для противодействия осуществляемым с их помощью кибератакам. Задача реверс-инженера состоит в том, чтобы понять, что делает и как устроен вирус: запустить вирус в изолированной среде (т.н. песочнице) для анализа его поведения, провести процедуру обратной разработки и получить из файла-образца первоначальный программный код, чтобы уже в нем найти особенности, которые помогут понять, что именно делает данный вирус и как ему лучше противостоять. При этом хакеры знают, что их вирус рано или поздно попадет к такому эксперту на исследование, и поэтому применяют техники запутывания (обфусцирования) кода, чтобы усложнить задачу реверс-инжиниринга.
Форензик-эксперт- это специалист по форензике (англ. forensics), т.е. компьютерной криминалистике. Эти специалисты могут понять, что изменилось в атакованной системе (компьютере, сервере, смартфоне), какие данные были стерты, изменены или похищены вирусом, какие еще системы в компании-заказчике были атакованы. Они даже способны воссоздать полный путь распространения угрозы, например, вируса: определить, на каком компьютере был этот вирус впервые запущен (чаще вирусы отправляют по email невнимательным сотрудникам), что именно он делал на зараженной системе (как правило, сначала вредонос «осматривается», пытаясь понять, куда попал, затем докачивает с сервера злоумышленников дополнительные компоненты, повышает свои права на атакованном ПК и начинает распространяться по сети компании), как затем развивалась атака и как был в итоге нанесен ущерб (чаще всего похищаются либо важная коммерческая информация, либо денежные средства со счетов фирмы).
Специалист по киберразведке(англ. CyberThreat Intelligence) отвечает за поиск ранее не обнаруженных или затаившихся вредоносных программ в системах Заказчиков (например, вирусов-логических бомб, которые срабатывают только при наступлении определенных условий, а до этого никак себя не проявляют). Также такой эксперт ищет в интернете, на специализированных закрытых хакерских форумах информацию о новых вирусах, новых киберпреступных группировках, пытается понять, не планируют ли злоумышленники массированную атаку на компанию-заказчика, нет ли «заказа» на кражу коммерческой информации защищаемой фирмы.
Менеджер SOC- это тот человек, который «переводит» техническую информацию об инциденте с языка ИТ и ИБ-специалистов на язык бизнеса, чтобы руководители компаний-заказчиков могли понять, насколько серьезным был ущерб или какую именно угрозу удалось предотвратить. SOC-менеджер также координируют работу всей команды SOC-Центра, связывает друг с другом заказчиков и исполнителей, выполняет организационную работу.

Инструменты SOC: какие системы используются для мониторинга?

Итак, Центр SOC - это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди - эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способные понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности), IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству). Об этих системах мы подробно поговорим в следующих публикациях.

FAQ: Часто задаваемые вопросы о SOC

Что такое SOC простыми словами?

SOC (Security Operation Center) — это команда специалистов по кибербезопасности, которая круглосуточно следит за IT-системами компании, чтобы вовремя заметить и остановить хакерские атаки или другие угрозы.

Какие основные задачи решает SOC?

Основная задача — это непрерывный мониторинг систем безопасности и максимально быстрое реагирование на инциденты ИБ, чтобы предотвратить или минимизировать ущерб от кибератак.

Кто работает в SOC-центре?

Команда обычно состоит из аналитиков 1-го и 2-го уровней, инженеров, специалистов по компьютерной криминалистике (форензике), реверс-инжинирингу, киберразведке и менеджера SOC.

В чем разница между внутренним и внешним SOC?

Внутренний SOC — это собственный отдел в компании. Внешний (коммерческий) SOC — это услуга, которую предоставляет сторонняя компания-провайдер на аутсорсе, что часто бывает экономически выгоднее.

Что такое SIEM и SOAR?

Это ключевые инструменты SOC. SIEM-система собирает и анализирует события безопасности из разных источников, а SOAR-платформа помогает автоматизировать и оркестрировать действия по реагированию на инциденты.

Что делает аналитик SOC L1 (первой линии)?

Аналитик L1 проводит первичную обработку поступающих сигналов (триаж), отсеивает ложные срабатывания и действует по готовым инструкциям (плейбукам). Если инцидент сложный, он передает его на второй уровень.

Почему антивируса недостаточно и зачем нужен SOC?

Современные атаки (например, как WannaCry) могут обходить антивирусы, используя уязвимости легитимных программ. Аналитики SOC могут заметить такие атаки по аномальному поведению в сети, которое антивирус пропустит.

Что такое SLA в контексте SOC?

SLA (Service Level Agreement) — это соглашение об уровне обслуживания, в котором прописываются ключевые параметры работы SOC, например, максимальное время реакции на инцидент определенной критичности.

Что такое форензика в ИБ?

Форензика (компьютерная криминалистика) — это процесс расследования киберинцидента после его совершения, чтобы точно установить, как злоумышленники проникли в систему, что они сделали и какие данные украли.

Что такое Playbook (плейбук) в SOC?

Это заранее разработанный пошаговый сценарий или инструкция для аналитиков, в которой описано, как действовать при возникновении определенного типа инцидента информационной безопасности.

ИБ для начинающих SOC Подкасты ИБ IRP SOAR SGRC