Услуги Security Operation Center (SOC)
Одним из важных и самых непростых для выполнения требований регуляторов практически для всех типов информационных систем (ИСПДн, ГИС, КИИ, АСУ ТП, инфраструктура для перевода денежных средств финансовой кредитной организации и т. д.) является мониторинг событий информационной безопасности, выявление инцидентов и реагирование на них.
Процессы мониторинга событий безопасности, выявления инцидентов и реагирования на них (далее – Мониторинг) важны не только в контексте выполнения требований нормативных правовых актов, но и как важнейшая часть системы практического обеспечения информационной безопасности организации.
Чтобы в полной мере реализовать процессы Мониторинга самостоятельно, в организации необходимо провести следующие мероприятия:
- выделить существенные серверные мощности под SIEM-систему;
- выделить существенные финансовые средства на закупку, настройку и последующее ежегодное обновление лицензии SIEM-системы;
- закупить и осуществить интеграцию SIEM-системы и других сопутствующих продуктов в свою инфраструктуру;
- найти на рынке труда и нанять в штат аналитиков и инженеров, которые будут заниматься поддержкой и сопровождением SIEM-системы и разбором событий ИБ с последующим выявлением инцидентов;
- назначить группу реагирования на выявленные инциденты;
- постоянно совершенствовать правила корреляции событий ИБ с целью сокращения количества ложно-положительных срабатываний.
При таком подходе, даже при наличии неограниченных финансовых ресурсов часто остро встает кадровый вопрос. К сожалению, в настоящий момент, ни ВУЗы, ни частные учебные центры не обучают аналитиков или инженеров SOC.
В случае организации Мониторинга путем подключения к SOC ООО «Информационный центр» организации необходимо реализовать следующие шаги:
- выделить более скромные серверные мощности под log-коллектор (бесплатная лицензия) – централизованный сервер, аккумулирующий события ИБ с различных источников;
- заключить договор с ООО «Информационный центр» на оказание услуг SOC;
- осуществить при непосредственном участии инженеров ООО «Информационный центр» настройку log-коллектора, пересылку событий ИБ с источников и защищенного канала связи с внешним SOC;
- назначить лицо, ответственное за коммуникацию с внешним SOC;
- реагировать на инциденты ИБ на месте.
На первый взгляд может показаться, что при втором подходе пунктов не многим меньше, но все они не являются для организации-заказчика услуг SOC чересчур дорогостоящими или трудозатратными. Ну и, конечно же, снимается вопрос кадрового обеспечения собственного SOC.
Дополнительно SOC ООО «Информационный центр» является центром ГосСОПКА и ФинЦЕРТ. При необходимости организации взаимодействия заказчика с указанными структурами, SOC ООО «Информационный центр» может взять эту задачу на себя.
Для организаций, которые думают о преимуществах и недостатках вариантов своего или стороннего SOC, наши специалисты подготовили сравнительную таблицу преимуществ и недостатков двух подходов.
| Свой SOC | Сторонний SOC | |
| Первоначальные финансовые затраты | Да, первоначальная покупка SIEM, услуги интегратора, услуги HR-агентств по найму специализированного персонала | Нет |
| Периодические финансовые затраты | Да – обновление лицензии SIEM, услуги интегратора, зарплата аналитиков и инженеров | Да – абонентская плата, сравнимая только с затратами на персонал |
| Выделяемые серверные мощности | Существенные – полноценное развертывание SIEM. Пример конфигурации: 16-32 потока CPU (2,4+ GHz), 64-128 RAM, 500 GB SSD для ОС и 1+ TB для БД | Средние – log-коллектор или аренда сервера у интегратора. Пример конфигурации: 4-8 потоков CPU, 16 GB RAM, 150 GB HDD |
| Необходимость разворачивать у себя дополнительные средства обеспечения работы SOC помимо SIEM | Обязательно: — Sandbox; — системы учета инцидентов; — средства анализа защищенности и поиска уязвимостей; — ПО для расследования инцидентов. Опционально в зависимости от масштаба SOC и решаемых задач: — SOAR; — Threat Intelligence; — Honeypot; — и т. д. | Не требуется |
| Кадры | Поиск, обучение, удержание в штате аналитиков и инженеров | Кадровое обеспечение – головная боль стороннего SOC |
| Организация защищенных каналов связи | Не требуется* | Требуется для передачи событий ИБ в сторонний SOC |
| Наличие источников событий ИБ | Чем больше источников событий ИБ и чем они качественнее, тем лучше | Чем больше источников событий ИБ и чем они качественнее, тем лучше |
| Непрерывность работы SOC | Определяется скоростью реакции инженеров на внештатные ситуации и их квалификацией. В случае неработоспособности SOC в течение длительного периода времени – это сугубо ваша проблема | Определяется SLA, в случае недоступности услуг SOC, в течение времени, превышающего условия SLA, сторонний SOC, как правило, обязан предоставить определенные договором периоды бесплатного обслуживания |
| Передача информации о событиях ИБ в стороннюю организацию | Нет | Да. Обязанность стороннего SOC соблюдать конфиденциальность полученной информации определяется соответствующим соглашением |
| Взаимодействие с ГосСОПКА/ФинЦЕРТ (при необходимости) | Своими силами | Силами стороннего SOC |
* — в случае если все источники событий ИБ, серверная часть SOC и каналы передачи данных находятся в пределах одной контролируемой зоны
Итого:
Если вы крупная организация с высокими доходами и очень зрелыми процессами информационной безопасности, если вы готовы решать вопросы кадрового обеспечения своего SOC. То, скорее всего, ваш лучший выбор – построение и развитие собственного SOC. С этим ООО «Информационный центр» также может помочь.
Если вы средняя или небольшая организация, вам необходимо обеспечивать на должном уровне процессы информационной безопасности и/или выполнять требования регуляторов по мониторингу событий безопасности и реагированию на инциденты, то ваш выбор – сторонний коммерческий SOC.
SOC ООО «Информационный центр» по праву и с гордостью носит звание первого коммерческого SOC на Дальнем Востоке РФ.