-
06.07.2015

SOC: что это такое и зачем он нужен компаниям

Vasil'eva

Автор: Оксана Васильева

Должность: директор Сервисного Центра компании «Информзащита»

Инфраструктура как банков, так и организаций других отраслей со временем серьезно усложняется. Это связано, в первую очередь, с развитием технологий и увеличением разновидностей электронных устройств, хранящих и передающих информацию. Естественно, такая тенденция формирует повышенную потребность бизнеса в автоматизации и защите своих информационных и других активов.

Традиционный подход к контролю потенциально опасных событий в виде нескольких независимых средств защиты информации с самостоятельными консолями, которые как правило контролируются разными людьми, становится чрезмерно ресурсоемким и неэффективным, в результате чего адекватная и своевременная реакция на них становится все более трудозатратной. Сложность обеспечения соответствующей реакции на потенциально опасные события неизбежно приводит к снижению эффективности системы ИБ организации. Решением такой задачи является создание центра мониторинга и реагирования, который строится на регламентах, процессах, квалифицированных кадрах и грамотном техническом решении. 

Однако, как показывает практика, создание собственного ситуационного центра ИБ не всегда возможно. Большие капитальные затраты на закупку и внедрение средств автоматизации, а также необходимость содержания и поддержания квалификации персонала, обслуживающего ситуационный Центр (группа мониторинга, аналитики ИБ, администраторы) – вот лишь часть подводных камней, с которыми сталкиваются организации, желающие развернуть у себя ситуационный центр ИБ.

Для помощи заказчикам, столкнувшимся с подобными задачами, компания «Информзащита» создала свой ситуационный центр информационной безопасности (Security Operation Center, SOC) и предлагает услуги по аутсорсингу задачи выявления и обработки инцидентов информационной безопасности на базе собственного сервисного центра (ITSOC). Ситуационный центр представляет собой комплексное организационно-техническое решение, позволяющее:

  • автоматизировано выявлять события, представляющие потенциальную угрозу для организации, ее информационных систем или информационных активов (инциденты ИБ);
  • обеспечить длительное хранение всего объема собранных событий и зафиксированных инцидентов ИБ для возможности проведения постинцидентного расследования;
  • реализовать процесс обработки выявленных инцидентов, который бы позволил в гарантированное время (зависящее от уровня критичности инцидента) оповещать ответственные подразделения организации о том, что произошло, и рекомендовать необходимые меры для предотвращения воздействия инцидента информационной безопасности на бизнес.

Для подключения к услуге от Заказчика не требуется больших капитальных вложений и сильной перестройки инфраструктуры. В инфраструктуре Заказчика разворачивается дополнительный виртуальный сервер, на котором размещаются компоненты ITSOC.  Анализ, хранение и обработка данных осуществляется уже в ситуационном центре информационной безопасности.

Вся информация консолидируется нашими аналитиками на основании существующей базы инцидентов, которая нарабатывалась на основе опыта полученных в рамках внедрения и реализации проектов по разворачиванию центров реагирования на инциденты ИБ у наших заказчиков. База инцидентов пополняется постоянно на  основании новых угроз и актуализации способов выявления известных.

В случае появления или выявления новых угроз осуществляется информирование наших заказчиков и доработка решения. На первый план здесь выходят проактивность, актуальность решения, оперативность и быстрая перестройка под изменяющиеся реалии.

При этом у нас есть типовые решения для разных целей:

  •   «Антихакер» выявление внешних атак;
  •   «АнтиDDOS» выявление атак типа «отказ в обслуживании»;
  •  «АнтиИнсайдер» выявление внутреннего мошенничества;
  •   Комбинированные решения под потребности Заказчика;

По нашей статистике, наиболее часто наших заказчиков интересует выявление следующих инцидентов информационной безопасности: 

  • DDoS-атаки;
  • компрометация административных учетных записей;
  • компрометация учетных записей внешних сервисов;
  • атаки на веб-приложения;
  • сетевые атаки;
  • вирусное заражение;
  • выявления сбора информации о системах;
  • нелегитимное использование привилегированных учетных записей;
  • утечки конфиденциальной информации;
  • нарушения правил удаленного доступа;
  • нарушения правил доступа в сеть Интернет;
  • несанкционированные изменения в ИТ-инфраструктуре (например, вследствие деятельности подрядчиков).