Все больше компаний задумывается о таком решении по кибербезопасности, как Security Operation Center (SOC). Это диктуется необходимостью успешно противостоять многочисленным киберугрозам, которые становятся все более сложными и разнообразными с каждым годом. Наличие эффективного и гибкого инструментария помогает поддерживать информационную безопасность на высоком уровне. При грамотном подходе к организации SOC и его развитию можно добиться впечатляющих результатов.

что такое SOC

Что такое SOC (Security Operation Center)

В погоне за кибербезопасностью многие заказчики забывают о том, что это не только технологии и оборудование. Здесь многое решает команда людей, которая обслуживает центр кибербезопасности и работает в таких направлениях, как выявление, анализ угроз, предотвращение и реагирование. Именно из этого складываются конкретные процессы SOC. Они взаимосвязаны и подразумевают тесную кооперацию персонала разных подразделений между собой. Немаловажное значение для полноценной и эффективной работы центра кибербезопасности имеет взаимодействие ИТ- и ИБ-подразделений. Нельзя делать ставку только на технические инструменты и технологии – они лишь часть происходящих процессов, где требуется помимо автоматизации еще и грамотное управление. Профессионально выстроенный и эффективно работающий SOC обязательно включает обученный и подготовленный персонал, отлаженные процессы, высокий технический уровень оснащения. Центр кибербезопасности не может быть построен по какому-то готовому и единому стандарту. Его создают под решение конкретных задач и с учетом индивидуальных особенностей каждой организации.

Как запустить SOC (Security Operation Center) с нуля?

SOC (Security Operation Center): цели, задачи, главные параметры

Для начала необходимо определиться, для каких целей и задач планируется создание SOC. Они должны быть понятны, очевидны, конкретны. В противном случае все сведется к использованию SIEM и может на этом и закончиться. Необходимо начать с проработки таких параметров, как архитектура, функционал, задачи будущего центра кибербезопасности. Причем сделать это не на словах, а в качестве утвержденного проекта или программного документа, с которым будут работать архитекторы. Также особого внимания заслуживают подходы к обнаружению инцидентов, меры реагирования на них, аналитика. Главными параметрами при создании SOC с нуля являются:

  • Организационная модель. Здесь учитываются возможный вариант интеграции SOC в другие подразделения, уровень централизации и управления, количество специалистов в команде, их спецификация.

  • Функционал. Перечень возможностей и решений для выполнения конкретных задач.

  • Уровень полномочий. Насколько глубоким будет вмешательство SOC в работу компании: уведомления, рекомендации, смена конфигурации оборудования, прекращение процессов и т. д.

Главные процессы в SOC

Центр кибербезопасности в готовом варианте способен поддерживать и выполнять более 40 различных функций. Понятно, что это делается не одновременно. Примерно столько же может насчитываться процессов SOC. В данном случае «много» не тождественно «хорошо и надежно», так как лучше настроить 10–15 процессов и регулярно ими пользоваться, чем пытаться задействовать все, но без понимания принципов их работы.

Среди ключевых процессов, которые нужно настроить и запустить, – сбор данных и сигналов об инцидентах, аналитика, система мер реагирования, взаимодействие разных подразделений компаний. Все они требуют тщательной проработки, тестирования, автоматизации. После этого можно переходить к подбору технических средств. Важно, чтобы в итоге процессы стали взаимосвязанными и дополняющими друг друга, а не разрозненными действиями, иначе SOC не будет обеспечивать максимальный уровень безопасности.

Изучение инфраструктуры, подбор технических средств  

Большинство центров кибербезопасности работает на базе SIEM-решений. Перед тем как внедрять и настраивать SIEM, лучше всего собрать данные об источниках информации, правилах корреляции, которые предполагается использовать. Для этого прекрасно подходят сканеры уязвимостей. Они быстро и точно проанализируют инфраструктуру, выявят риски. После изучения инфраструктуры необходимо разделить объекты на классы критичности. Объекты с повышенным уровнем критичности подключаются к SIEM сразу. В отношении них устанавливают правила корреляции.

Полезным дополнением для SOC станет Service Desk. Зачастую он уже включен в состав SIEM-решения. Если нет – имеет смысл провести интеграцию. С помощью Service Desk соблюдаются сроки реагирования на инциденты, проводится оценка работы команды. Это своего рода помощник, указывающий на возможные проблемы и необходимость доработки SOC-процессов, если что-то пошло не так.

запуск security operation center

Подбор команды, выбор рабочих режимов

Человеческие ресурсы при создании и запуске SOC – залог успеха. А это значит, что на ключевых позициях в SOC должны быть лучшие из лучших. Оптимальный вариант – набирать команду еще на стадии создания проекта, чтобы персонал принял участие в отладке, создании процессов и задач SOC. Необходимо сформировать минимум две рабочие линии для распределения обязанностей и контроля результатов:

  1. Первая линия. Предназначена для сортировки входящих данных и фактов, указывающих на инциденты. Главная задача сотрудников 1-й линии – своевременно проводить обработку поступающей информации. Они не занимаются глубокой проверкой инцидентов, лишь фиксируют поступающие сведения и передают их в работу дальше.

  2. Вторая линия. Здесь работают высококвалифицированные специалисты, они глубоко и детально изучают инциденты, проводят их тщательный анализ и выполняют расследования. Обычно они уже успели поработать на первой линии и имеют соответствующий опыт.

Обучение персонала

В контексте развития компетенций чем больше опыта, тем лучше. Регулярное обучение, посвященное техническим аспектам деятельности, работа в команде, обмен опытом помогут поддерживать актуальность навыков сотрудников и их уровень. Команда должна работать как часы, а сотрудники уметь подменять коллег при внештатных ситуациях. Для этого можно периодически производить ротацию сотрудников на линиях работы, организовывать своевременные тренинги, чтобы поддерживать стабильно высокий уровень эффективности команды.

Использование аутсорсинга

Привлечение опытного сервисного провайдера для запуска SOC – набирающая популярность практика. Первые шаги – самые важные, поэтому лучше воспользоваться услугами тех, кто располагает опытом в области обеспечения безопасности и готов провести запуск проекта в сжатые сроки. Аутсорсинг не исключает вероятности риска утечки данных, поэтому выбор сервис-провайдера – ответственный шаг. Также при привлечении сторонних компаний нужно принимать во внимание два момента. Первый – предложенное оборудование и ПО сервис-провайдера придется оплачивать уже после запуска SOC. Второй – потребуется настройка SIEM под правила корреляции провайдера и наоборот, под свои собственные.

аутсорсинг для запуска SOC

Контроль результатов

Оценка результативности ведется не по затраченному времени и количеству выявленных инцидентов — такой подход субъективен. Нужно вводить KPI работы сотрудников на уровне отдельных компонентов системы, подсистем и всего центра кибербезопасности. Оценивать и анализировать лучше всего конкретные и понятные параметры, которые дают представление о проделанной работе, ее глубине, эффективности. Например, количество просроченных критичных инцидентов, измеренное по определенному уровню или минимуму, или общее время простоя бизнес-процессов, связанное с инцидентами ИБ. KPI поможет обнаружить слабые места в работе команды и процессы, которые нужно доработать и настроить.

Создание SOC (Security Operation Center) – это серьезный вызов, требующий основательного подхода и глубоких компетенций. Чтобы результат соответствовал ожиданиям, а время и средства не были потрачены впустую, лучше выбрать надежного сервис-провайдера и строить SOC в его сопровождении. Таким партнером может стать центр противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», обеспечивающий защиту крупных государственных и коммерческих организаций от киберугроз любого уровня сложности и оказывающий помощь другим корпоративным SOC.