Мониторинг событий информационной безопасности

Услуги Security Operation Center (SOC)

Одним из важных и самых непростых для выполнения требований регуляторов практически для всех типов информационных систем (ИСПДн, ГИС, КИИ, АСУ ТП, инфраструктура для перевода денежных средств финансовой кредитной организации и т. д.) является мониторинг событий информационной безопасности, выявление инцидентов и реагирование на них.

Процессы мониторинга событий безопасности, выявления инцидентов и реагирования на них (далее – Мониторинг) важны не только в контексте выполнения требований нормативных правовых актов, но и как важнейшая часть системы практического обеспечения информационной безопасности организации.

Чтобы в полной мере реализовать процессы Мониторинга самостоятельно, в организации необходимо провести следующие мероприятия:

  • выделить существенные серверные мощности под SIEM-систему;
  • выделить существенные финансовые средства на закупку, настройку и последующее ежегодное обновление лицензии SIEM-системы;
  • закупить и осуществить интеграцию SIEM-системы и других сопутствующих продуктов в свою инфраструктуру;
  • найти на рынке труда и нанять в штат аналитиков и инженеров, которые будут заниматься поддержкой и сопровождением SIEM-системы и разбором событий ИБ с последующим выявлением инцидентов;
  • назначить группу реагирования на выявленные инциденты;
  • постоянно совершенствовать правила корреляции событий ИБ с целью сокращения количества ложно-положительных срабатываний.

При таком подходе, даже при наличии неограниченных финансовых ресурсов часто остро встает кадровый вопрос. К сожалению, в настоящий момент, ни ВУЗы, ни частные учебные центры не обучают аналитиков или инженеров SOC.

В случае организации Мониторинга путем подключения к SOC ООО «Информационный центр» организации необходимо реализовать следующие шаги:

  • выделить более скромные серверные мощности под log-коллектор (бесплатная лицензия) – централизованный сервер, аккумулирующий события ИБ с различных источников;
  • заключить договор с ООО «Информационный центр» на оказание услуг SOC;
  • осуществить при непосредственном участии инженеров ООО «Информационный центр» настройку log-коллектора, пересылку событий ИБ с источников и защищенного канала связи с внешним SOC;
  • назначить лицо, ответственное за коммуникацию с внешним SOC;
  • реагировать на инциденты ИБ на месте.

На первый взгляд может показаться, что при втором подходе пунктов не многим меньше, но все они не являются для организации-заказчика услуг SOC чересчур дорогостоящими или трудозатратными. Ну и, конечно же, снимается вопрос кадрового обеспечения собственного SOC.

Дополнительно SOC ООО «Информационный центр» является центром ГосСОПКА и ФинЦЕРТ. При необходимости организации взаимодействия заказчика с указанными структурами, SOC ООО «Информационный центр» может взять эту задачу на себя.

Для организаций, которые думают о преимуществах и недостатках вариантов своего или стороннего SOC, наши специалисты подготовили сравнительную таблицу преимуществ и недостатков двух подходов.

Свой SOCСторонний SOC
Первоначальные финансовые затратыДа, первоначальная покупка SIEM, услуги интегратора, услуги HR-агентств по найму специализированного персоналаНет
Периодические финансовые затратыДа – обновление лицензии SIEM, услуги интегратора, зарплата аналитиков и инженеровДа – абонентская плата, сравнимая только с затратами на персонал
Выделяемые серверные мощностиСущественные – полноценное развертывание SIEM. Пример конфигурации: 16-32 потока CPU (2,4+ GHz), 64-128 RAM, 500 GB SSD для ОС и 1+ TB для БДСредние – log-коллектор или аренда сервера у интегратора. Пример конфигурации: 4-8 потоков CPU, 16 GB RAM, 150 GB HDD
Необходимость разворачивать у себя дополнительные средства обеспечения работы SOC помимо SIEMОбязательно: — Sandbox; — системы учета инцидентов; — средства анализа защищенности и поиска уязвимостей; — ПО для расследования инцидентов. Опционально в зависимости от масштаба SOC и решаемых задач: — SOAR; — Threat Intelligence; — Honeypot; — и т. д.Не требуется
КадрыПоиск, обучение, удержание в штате аналитиков и инженеровКадровое обеспечение – головная боль стороннего SOC
Организация защищенных каналов связиНе требуется*Требуется для передачи событий ИБ в сторонний SOC
Наличие источников событий ИБЧем больше источников событий ИБ и чем они качественнее, тем лучшеЧем больше источников событий ИБ и чем они качественнее, тем лучше
Непрерывность работы SOCОпределяется скоростью реакции инженеров на внештатные ситуации и их квалификацией. В случае неработоспособности SOC в течение длительного периода времени – это сугубо ваша проблемаОпределяется SLA, в случае недоступности услуг SOC, в течение времени, превышающего условия SLA, сторонний SOC, как правило, обязан предоставить определенные договором периоды бесплатного обслуживания
Передача информации о событиях ИБ в стороннюю организациюНетДа. Обязанность стороннего SOC соблюдать конфиденциальность полученной информации определяется соответствующим соглашением
Взаимодействие с ГосСОПКА/ФинЦЕРТ (при необходимости)Своими силамиСилами стороннего SOC

* — в случае если все источники событий ИБ, серверная часть SOC и каналы передачи данных находятся в пределах одной контролируемой зоны

Итого:

Если вы крупная организация с высокими доходами и очень зрелыми процессами информационной безопасности, если вы готовы решать вопросы кадрового обеспечения своего SOC. То, скорее всего, ваш лучший выбор – построение и развитие собственного SOC. С этим ООО «Информационный центр» также может помочь.

Если вы средняя или небольшая организация, вам необходимо обеспечивать на должном уровне процессы информационной безопасности и/или выполнять требования регуляторов по мониторингу событий безопасности и реагированию на инциденты, то ваш выбор – сторонний коммерческий SOC.

SOC ООО «Информационный центр» по праву и с гордостью носит звание первого коммерческого SOC на Дальнем Востоке РФ.