Знакомство с процессами Security Operations Center (SOC) и лучшие рекомендации для его эффективной работы от Lepide

Security Operations Center (SOC) — это подразделение организации, роль которого заключается в постоянном мониторинге, анализе и совершенствовании системы безопасности компании. Как правило, SOC работает круглосуточно, обеспечивая защиту секретных данных и соблюдение соответствующих норм конфиденциальности.

SOC также расследует, устраняет и сообщает об инцидентах. Это подразумевает тесное взаимодействие с группой реагирования на инциденты (Incident Response Team — если таковая существует в компании) для обеспечения оперативного и эффективного устранения ситуаций, угрожающих безопасности.

SOC обычно не участвует в разработке политик и процедур, а занимается мониторингом всех сегментов сети компании на предмет аномальной активности, включая серверы, конечные точки, базы данных, приложения и любое другое сетевое оборудование/программное обеспечение.

Дополнительные виды деятельности, которые охватывает SOC, включают обратную разработку вредоносного ПО (reverse engineering malware), использование методов криптоанализа для выявления слабых мест в криптографических системах организации, а также проведение расширенных криминалистических расследований предыдущих инцидентов безопасности.

Как Security Operations Center работает

Работа SOC обычно начинается со встреч с представителями различных отделов и руководителями с целью сбора информации о текущем состоянии сети организации.

Эти встречи предполагают вопросы о любых проблемах безопасности и известных уязвимостях, а также о превентивных мерах, которые принимаются для их устранения.

SOC также устанавливают, какая именно инфраструктура безопасности была уже развернута в организации, чтобы определить, требуется ли дополнительная инфраструктура. Поскольку одной из ключевых функций SOC является анализ журналов событий, им необходимо убедиться, что они смогут обобщать данные с брандмауэров, IPS/IDS, UBA, DLP и SIEM-решений.

Они также должны иметь возможность осуществлять сбор информации посредством передачи данных, телеметрии, инспекции пакетов данных (deep packet inspection), службы syslog и других методов, чтобы получить всестороннее представление обо всей сетевой активности.

Роли в Security Operations Center

Представители Security Operations Center, как правило, разделены на пять ролей: менеджер, аналитик, исследователь, респондент и аудитор. Однако следует отметить, что в зависимости от размера организации, некоторые члены SOC могут выполнять несколько ролей.

• Менеджер: Роль менеджера заключается в контроле за всеми областями сетевой безопасности и в том, чтобы в случае необходимости быть способным взять на себя любую роль.
• Аналитик: Аналитик будет собирать, сопоставлять (коррелировать) и отслеживать журналы событий, создаваемые всеми сетевыми приложениями.
• Исследователь: Роль исследователя заключается в проведении криминалистического анализа после инцидента безопасности с целью выяснения того, что конкретно произошло и по какой причине.
• Респондент: Респондент отвечает за организованное реагирование на инциденты безопасности. Это может подразумевать обращение к соответствующим заинтересованным сторонам, уведомление уполномоченных органов власти и, возможно, даже общение с прессой.
• Аудитор: Аудитор обязан осуществлять аудит всех систем безопасности, чтобы убедиться в том, что они функционируют должным образом и способны удовлетворять соответствующие требования.

Рекомендации для эффективной работы SOC

Следует отметить, что традиционные решения для защиты периметра, такие как AV-программы, брандмауэры и системы предотвращения вторжений, становятся все менее актуальными. Во многом это связано с тем, что IТ-среды становятся более распределенными.

Все больше сотрудников работают дома, используя собственные устройства, и все больше организаций переходят на облачные сервисы. Таким образом, они все чаще руководствуются подходом, ориентированном на данные. Его суть заключается в отслеживании того, как пользователи взаимодействуют с конфиденциальной информацией.

Представители SOC всегда должны быть в курсе последних сведений об угрозах. Это реализовывается посредством сбора информации из новостных ресурсов, сводок и отчетов. Они должны обеспечить своевременное исправление/обновление всех систем, а также получение обновлений сигнатур и оповещений об уязвимостях. SOC должен автоматизировать как можно большее количество процессов, чтобы упростить работу службы безопасности и исключить false positives (ложные срабатывания).

Если вы хотите узнать, как Lepide может помочь вашей команде SOC стать более эффективной благодаря использованию платформы Lepide Data Security Platform, познакомьтесь ближе с этим решением по ссылке.

iIT Distribution предлагает разнообразие решений по кибербезопасности, которые помогут компаниям осуществить всестороннюю защиту и повысить эффективность своих ИТ-структур. Мы тесно сотрудничаем со своими клиентами и партнерами для того, чтобы предоставить полную поддержку в проектировании и реализации заказанных решений.