Какво представлява оперативният център за защитата (SOC)?
Научете как екипите на центъра за операции по защитата бързо откриват, приоритизират и сортират потенциални кибератаки.
Какво е SOC?
SOC е централизирана функция или екип, който отговаря за подобряването на системата за киберсигурност на организацията и предотвратяването, откриването и реагирането на заплахи. Екипът на SOC, който може да бъде на място или да бъде възложен на външен изпълнител, следи идентичности, крайни точки, сървъри, бази данни, мрежови приложения, уебсайтове и други системи, за да разкрие потенциални кибернетични атаки в реално време. Той също така извършва проактивна работа в областта на сигурността, като използва най-новите разузнавателни данни за заплахите, за да бъде в течение на групите заплахи и инфраструктурата и да идентифицира и отстранява уязвимостите на системата или процеса, преди нападателите да ги използват. Повечето SOC работят денонощно, седем дни в седмицата, а големите организации, които обхващат няколко държави, могат да разчитат и на глобален оперативен център за защита (GSOC), който да е в течение на заплахите за сигурността в световен мащаб и да координира откриването и реагирането между няколко местни SOC.
Функции на SOC
Членовете на екипа на SOC поемат следните функции, за да помогнат за предотвратяването, реагирането и възстановяването от атаки.
Инвентаризация на активите и инструментите
За да се премахнат слепите места и пропуските в покритието, SOC се нуждае от видимост на активите, които защитава, и от поглед върху инструментите, които използва за защита на организацията. Това означава отчитане на всички бази данни, облачни услуги, идентичности, приложения и крайни точки в локални и множество облаци. Екипът също така следи за всички решения за сигурност, използвани в организацията, като защитни стени, анти злонамерен софтуер, антирансъмуер и софтуер за наблюдение.
Намаляване на повърхността на атаката
Ключова отговорност на SOC е намаляването на повърхността за атаки на организацията. SOC постига това, като поддържа инвентар на всички работни натоварвания и активи, прилага актуализация на защитата на софтуера и защитните стени, идентифицира грешни конфигурации и добавя нови активи при пускането им онлайн. Членовете на екипа отговарят също така за проучването на нововъзникващи заплахи и за анализа на експозицията, което им помага да изпреварват най-новите заплахи.
Непрекъснато наблюдение
С помощта на решения за анализ на сигурността, като например решение за управление на информацията за сигурността в предприятието (SIEM), решение за оркестрация, автоматизация и реагиране на сигурността (SOAR) или решение за разширено откриване и реагиране (XDR), екипите SOC наблюдават цялата среда на място, облаци, приложения, мрежи и устройства - през целия ден, всеки ден, за да откриват аномалии или подозрително поведение. Тези инструменти събират телеметрия, обобщават данните и в някои случаи автоматизират реакцията при инциденти.
Разузнаване за заплахи
SOC също така използва анализ на данни, външни канали и доклади за заплахите, за да придобие представа за поведението, инфраструктурата и мотивите на нападателите. Тази разузнавателна информация осигурява цялостна картина на случващото се в интернет и помага на екипите да разберат как действат групите. С тази информация SOC може бързо да разкрие заплахите и да укрепи организацията срещу възникващите рискове.
Откриване на заплахи
Екипите на SOC използват данните, генерирани от решенията SIEM и XDR, за да идентифицират заплахи. Това започва с филтриране на фалшивите положителни резултати от истинските проблеми. След това те приоритизират заплахите по сериозност и потенциално въздействие върху бизнеса.
Управление на логовете
SOC отговаря и за събирането, поддържането и анализирането на данните от дневника, получени от всяка крайна точка, операционна система, виртуална машина, локално приложение и мрежово събитие. Анализът помага да се установи базовата линия за нормална дейност и да се разкрият аномалии, които могат да означават злонамерен софтуер, рансъмуер или вируси.
Отговор на инциденти
След като бъде установена кибератака, SOC бързо предприема действия за ограничаване на щетите за организацията с възможно най-малко прекъсване на дейността. Стъпките могат да включват спиране или изолиране на засегнатите крайни точки и приложения, спиране на компрометираните акаунти, премахване на заразените файлове и стартиране на антивирусен и анти злонамерен софтуер.
Възстановяване и отстраняване на грешки
След атака SOC отговаря за възстановяването на компанията в първоначалното ѝ състояние. Екипът ще изтрие и свърже отново дискове, самоличности, електронна поща и крайни точки, ще рестартира приложения, ще премине към резервни системи и ще възстанови данни.
Разследване на първопричината
За да се предотврати повторна подобна атака, SOC извършва задълбочено разследване, за да идентифицира уязвимостите, лошите процеси за сигурност и други познания, които са допринесли за инцидента.
Усъвършенстване на сигурността
SOC използва всички сведения, събрани по време на инцидента, за отстраняване на уязвимости, подобряване на процесите и политиките и актуализиране на пътната карта за сигурност.
Управление на съответствието
Важна част от отговорностите на SOC е да гарантира, че приложенията, инструментите за сигурност и процесите отговарят на разпоредбите за защита на личните данни, като например Глобалния регламент за защита на данните (GDPR), Калифорнийския закон за защита на личните данни на потребителите (CCPA) и Закона за преносимост и отчетност на здравното осигуряване (HIPPA). Екипите извършват редовен одит на системите, за да гарантират спазването на изискванията, и се уверяват, че регулаторните органи, правоприлагащите органи и клиентите са уведомени след нарушение на сигурността на данните.
Основни роли в SOC
В зависимост от размера на организацията типичната SOC включва следните роли:
Директор на отдела за реагиране при инциденти
Тази роля, която обикновено се среща само в много големи организации, е отговорна за координирането на откриването, анализа, ограничаването и възстановяването по време на инцидент със сигурността. Те също така управляват комуникацията със съответните заинтересовани страни.
SOC мениджър
Ръководител на SOC е мениджърът, който обикновено докладва на главния директор по информационна сигурност (CISO). Задълженията му включват надзор на персонала, управление на операциите, обучение на нови служители и управление на финансите.
Инженери по сигурността
Инженерите по сигурността поддържат в изправност системите за сигурност на организацията. Това включва проектиране на архитектурата за сигурност и проучване, внедряване и поддръжка на решения за сигурност.
Анализатори по сигурността
Анализаторите по сигурността, които първи реагират при инциденти със сигурността, идентифицират заплахите, определят приоритетите им и след това предприемат действия за ограничаване на щетите. По време на кибератака може да им се наложи да изолират хост, крайна точка или потребител, който е бил заразен. В някои организации анализаторите по сигурността са разделени на нива в зависимост от сериозността на заплахите, за които отговарят.
Ловци на заплахи
В някои организации най-опитните анализатори по сигурността се наричат ловци на заплахи. Тези хора идентифицират и реагират на усъвършенствани заплахи, които не се улавят от автоматизирани инструменти. Това е проактивна роля, чиято цел е да задълбочи разбирането на организацията за известните заплахи и да разкрие неизвестни заплахи, преди да е извършена атака.
Криминалистични анализатори
По-големите организации могат да наемат и съдебни анализатори, които събират разузнавателна информация след пробив, за да определят основните причини за него. Те търсят уязвимости на системата, нарушения на политиките за сигурност и модели на кибератаки, които могат да бъдат полезни за предотвратяване на подобен компромат в бъдеще.
Видове SOC
Съществуват няколко различни начина, по които организациите създават своите SOC. Някои избират да изградят специализирана SOC с персонал на пълно работно време. Този тип SOC може да бъде вътрешен с физическо местоположение на място или да бъде виртуален с персонал, който координира работата си от разстояние, използвайки цифрови инструменти. Много виртуални SOC използват комбинация от служители на договор и на пълно работно време. Изнесеният SOC, който може да се нарече и управляван SOC или център за операции по сигурността като услуга, се управлява от доставчик на управлявани услуги по сигурността, който поема отговорността за предотвратяването, откриването, разследването и реагирането на заплахи. Възможно е също така да се използва комбинация от вътрешен персонал и доставчик на управлявани услуги за сигурност. Тази версия се нарича съвместно управлявана или хибридна SOC. Организациите използват този подход, за да допълнят собствения си персонал. Например, ако не разполагат с разследващи заплахи, може да е по-лесно да наемат трета страна, вместо да се опитват да ги осигурят вътрешно.
Значение на екипите на SOC
Силният SOC помага на предприятията, правителствата и други организации да изпреварват развиващия се пейзаж на киберзаплахите. Това не е лесна задача. Както нападателите, така и отбранителната общност често разработват нови технологии и стратегии, а управлението на всички промени изисква време и съсредоточаване. Използвайки познанията си за по-широката среда за киберсигурност, както и разбирането си за вътрешните слабости и бизнес приоритетите, SOC помага на организацията да разработи пътна карта за сигурност, която съответства на дългосрочните нужди на бизнеса. SOC могат също така да ограничат въздействието върху бизнеса, когато възникне атака. Тъй като те непрекъснато наблюдават мрежата и анализират данните от предупрежденията, е по-вероятно да уловят заплахите по-рано, отколкото екип, който е разпръснат между няколко други приоритета. При редовно обучение и добре документирани процеси SOC може бързо да се справи с текущ инцидент - дори при силен стрес. Това може да е трудно за екипи, които не се фокусират върху операциите по сигурността през целия ден, всеки ден.
Предимства на SOC
Като обединява хората, инструментите и процесите, използвани за защита на организацията от заплахи, SOC помага на организацията да се защитава по-ефективно и ефикасно от атаки и пробиви.
Силна позиция по отношение на сигурността
Подобряването на сигурността на една организация е работа, която никога не е завършена. Необходими са непрекъснато наблюдение, анализ и планиране, за да се откриват уязвимости и да се държи сметка за променящите се технологии. Когато хората имат конкуриращи се приоритети, е лесно тази работа да бъде пренебрегната в полза на задачи, които се чувстват по-спешни.
Централизираният SOC помага да се гарантира, че процесите и технологиите се подобряват непрекъснато, като се намалява рискът от успешна атака.
Съответствие с разпоредбите за защита на личните данни
Отраслите, държавите, страните и регионите имат различни разпоредби, които регулират събирането, съхранението и използването на данни. Много от тях изискват от организациите да докладват за нарушения на сигурността на данните и да изтриват лични данни по искане на потребителя. Наличието на подходящи процеси и процедури е също толкова важно, колкото и подходящата технология. Членовете на SOC помагат на организациите да спазват изискванията, като поемат отговорността за актуализиране на технологиите и процесите за данни.
Бърза реакция при инциденти
От голямо значение е колко бързо се открива и прекратява кибератака. С помощта на правилните инструменти, хора и разузнавателни данни много от нарушенията се спират, преди да нанесат щети. Но лошите актьори също така умеят да остават под прикритие, да крадат огромни количества данни и да увеличават привилегиите си, преди някой да забележи. Инцидентът по сигурността е и много стресиращо събитие - особено за хората, които нямат опит в реагирането на инциденти.
Използвайки унифицирана информация за заплахите и добре документирани процедури, екипите на SOC могат бързо да откриват, реагират и да се възстановяват от атаки.
Намаляване на разходите за пробиви
Едно успешно нарушение може да бъде много скъпо за организациите. Възстановяването често води до значителен престой, а много предприятия губят клиенти или се борят да спечелят нови акаунти скоро след инцидента. Като изпреварва нападателите и реагира бързо, SOC помага на организациите да спестят време и пари, докато се върнат към нормалната си работа.
Най-добри практики за екипите на SOC
При толкова много отговорности SOC трябва да бъде ефективно организиран и управляван, за да постигне резултати. Организациите със силни SOC екипи прилагат следните най-добри практики:
Стратегия, съобразена с бизнеса
Дори и най-финансираната SOC трябва да взема решения за това къде да съсредоточи времето и парите си. Организациите обикновено започват с оценка на риска, за да идентифицират най-големите рискови области и най-големите възможности за бизнеса. Това помага да се определи какво трябва да бъде защитено. SOC трябва също така да разбере средата, в която се намират активите. Много бизнеси имат сложни среди, в които някои данни и приложения са на място, а други - в множество облаци. Стратегията помага да се определи дали е необходимо специалистите по сигурността да са на разположение всеки ден и по всяко време и дали е по-добре SOC да се помещава вътре в компанията или да се използва професионална услуга.
Талантливи, добре обучени служители
Ключът към ефективната SOC е висококвалифициран персонал, който непрекъснато се усъвършенства. Започва се с намирането на най-добрите таланти, но това може да се окаже трудно, тъй като пазарът на кадри в областта на сигурността е силно конкурентен. За да избегнат недостига на умения, много организации се опитват да намерят хора с различни експертни познания, като например наблюдение на системи и разузнавателни данни, управление на предупреждения, откриване и анализ на инциденти, търсене на заплахи, етично хакерство, киберкриминалистика и обратно инженерство. Те също така внедряват технологии, които автоматизират задачите, за да дадат възможност на по-малките екипи да бъдат по-ефективни и да повишат резултатите на младшите анализатори. Инвестирането в редовни обучения помага на организациите да задържат ключови служители, да запълнят недостига на умения и да развиват кариерата на хората.
Цялостен поглед
Тъй като една атака може да започне от една единствена крайна точка, от решаващо значение е SOC да има видимост за цялата среда на организацията, включително за всичко, което се управлява от трета страна.
Правилните инструменти
Съществуват толкова много събития, свързани със сигурността, че екипите лесно могат да бъдат претоварени. Ефективните SOC инвестират в добри инструменти за сигурност, които работят добре заедно и използват AI и автоматизация, за да повишат значимите рискове. Оперативната съвместимост е от ключово значение, за да се избегнат пропуски в покритието.
Инструменти и технологии на SOC
Информация за защитата и управление на събития (SIEM)
Един от най-важните инструменти на SOC е базираното в облака решение SIEM, което обединява данни от множество решения за сигурност и файлове с логове. Използвайки разузнаване на заплахите и изкуствен интелект, тези инструменти помагат на SOC да открива променящи се заплахи, да ускорява реакцията при инциденти и да изпреварва нападателите.
Оркестрация, автоматизация и реакция на сигурността (SOAR)
SOAR автоматизира повтарящи се и предвидими задачи за обогатяване, реагиране и отстраняване на грешки, като освобождава време и ресурси за по-задълбочено разследване и издирване.
Разширено откриване и реакция (XDR)
XDR е инструмент за софтуер като услуга, който предлага цялостна, оптимизирана сигурност чрез интегриране на продукти и данни за сигурност в опростени решения. Организациите използват тези решения, за да се справят проактивно и ефективно с променящия се пейзаж на заплахите и сложните предизвикателства пред сигурността в многооблачна хибридна среда. За разлика от системите за откриване и реакция на крайни точки (EDR), XDR разширява обхвата на защитата, интегрирайки защитата в по-широк диапазон от продукти, включително крайни точки, сървъри, приложения в облака, имейли и други на организацията. Оттук нататък XDR комбинира превенция, откриване, разследване и реакция, за да осигури видимост, анализи, корелирани сигнали за инциденти и автоматизирани реакции за подобряване на сигурността на данните и борба със заплахите.
Защитна стена
Защитната стена следи трафика към и от мрежата, като разрешава или блокира трафика въз основа на правила за сигурност, определени от SOC.
Управление на логовете
Често включено като част от SIEM, решението за управление на логове регистрира всички сигнали, идващи от всеки софтуер, хардуер и крайна точка, работещи в организацията. Тези логове предоставят информация за мрежовата активност.
Тези инструменти сканират мрежата, за да идентифицират всички слабости, които могат да бъдат използвани от нападател.
Анализ на поведението на потребителите и субектите
Вграден в много съвременни инструменти за сигурност, анализът на поведението на потребителите и субектите използва изкуствен интелект за анализ на данни, събрани от различни устройства, за да установи базова линия на нормална дейност за всеки потребител и субект. Когато дадено събитие се отклонява от базовата линия, то се маркира за допълнителен анализ.
SOC и SIEM
Без SIEM за SOC би било изключително трудно да постигне своята мисия. Съвременният SIEM предлага:
- Агрегиране на логове: SIEM събира данните от логовете и съпоставя сигналите, които анализаторите използват за откриване и издирване на заплахи.
- Контекст: Тъй като SIEM събира данни за всички технологии в организацията, той помага да се свържат точките между отделните инциденти, за да се идентифицират сложни атаки.
- По-малко сигнали: Чрез използване на анализи и изкуствен интелект за корелация на сигналите и идентифициране на най-сериозните събития, SIEM намалява броя на инцидентите, които хората трябва да преглеждат и анализират.
- Автоматизирана реакция: Вградените правила позволяват на SIEM да идентифицира вероятни заплахи и да ги блокира без участието на хора.
Важно е също така да се отбележи, че SIEM сам по себе си не е достатъчен за защита на организацията. Необходими са хора, които да интегрират SIEM с други системи, да определят параметрите за откриване на базата на правила и да оценяват сигналите. Ето защо определянето на SOC стратегия и наемането на правилния персонал е от решаващо значение.
SOC решения
Съществува широк набор от решения, които помагат на SOC да защитава организацията. Най-добрите от тях работят заедно, за да осигурят пълно покритие на локални и множество облаци. Microsoft Security предлага цялостни решения, които помагат на SOC да премахне пропуските в покритието и да получи 360-градусова представа за своята среда. Microsoft Sentinel е базиран в облака SIEM, който се интегрира с решенията за разширено откриване и реагиране на Microsoft Defender, за да предостави на анализаторите и ловците на заплахи данните, от които се нуждаят, за да откриват и спират кибератаки.
Научете повече за Microsoft Security
SIEM и XDR на Microsoft
Получете интегрирана защита от заплахи на различни устройства, самоличности, приложения, имейл, данни и работни натоварвания в облака.
Microsoft Defender XDR
Спиране на атаките със защита от заплахи в различни домейни, осигурена от Microsoft XDR.
Microsoft Sentinel
Разкривайте сложни заплахи и реагирайте решително с мощно решение SIEM, поддържано от облака и ИИ.
Разузнаване за заплахи на Microsoft Defender
Помогнете за идентифициране и отстраняване на атакуващите и техните инструменти с безпрецедентен поглед върху променящия се пейзаж на заплахите.
Управление на външна повърхност на атака на Microsoft Defender
Получете непрекъсната видимост отвъд защитната стена, за да откриете неуправлявани ресурси и да откриете слабости в многооблачната си среда.
Често задавани въпроси
-
Центърът за мрежови операции (NOC) се фокусира върху производителността и скоростта на мрежата. Той не само реагира на прекъсвания, но и проактивно следи мрежата, за да идентифицира проблеми, които биха могли да забавят трафика. SOC също следи мрежата и други среди, но търси доказателства за кибератака. Тъй като инцидент, свързан със сигурността, може да наруши работата на мрежата, NOC и SOC трябва да координират дейността си. Някои организации разполагат със своя SOC в рамките на своя NOC, за да насърчат сътрудничеството.
-
Екипите на SOC наблюдават сървъри, устройства, бази данни, мрежови приложения, уебсайтове и други системи, за да откриват потенциални заплахи в реално време. Те също така работят в областта на проактивната защита, като следят за най-новите заплахи и идентифицират и отстраняват уязвимостите на системата или процеса, преди атакуващият да се възползва от тях. Ако организацията претърпи успешна атака, екипът на SOC отговаря за премахването на заплахата и възстановяването на системите и резервните копия, ако е необходимо.
-
SOC се състои от хора, инструменти и процеси, които помагат за защитата на организацията от кибератаки. За да постигне целите си, той изпълнява следните функции: инвентаризация на всички ресурси и технологии, рутинна поддръжка и готовност, непрекъснато наблюдение, откриване на заплахи, разузнаване за заплахи, управление на регистрационни файлове, отговор на инциденти, възстановяване и лечение, разследване на първопричините, прецизиране на защитата и управление на съответствието.
-
Силният SOC помага на организацията да управлява защитата по-ефективно и ефикасно, като обединява защитниците, инструментите за откриване на заплахи и процесите за защита. Организациите със SOC са в състояние да подобрят процесите си по защитата, да реагират по-бързо на заплахите и да управляват по-добре съответствието, отколкото компаниите без SOC.
-
SOC са хората, процесите и инструментите, отговорни за защитата на организацията от кибератаки. SIEM е един от многото инструменти, които SOC използва, за да поддържа видимостта и да реагира на атаки. SIEM обединява регистрационни файлове и използва анализ и автоматизация, за да разкрива заслужаващи внимание заплахи на членовете на SOC, които решават как да реагират.
Следвайте Microsoft