Что такое центр информационной безопасности (SOC)?
Узнайте, как группы оперативного центра безопасности быстро обнаруживают, расставляют приоритеты и классифицируют потенциальные кибератаки.
Что такое SOC?
SOC — это централизованная функция или группа, ответственная за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы. Группа SOC, которая может находиться на месте или на стороне, отслеживает идентификационные данные, конечные точки, серверы, базы данных, сетевые приложения, веб-сайты и другие системы для выявления потенциальных кибератак в реальном времени. Он также выполняет упреждающую работу по обеспечению безопасности, используя новейшие сведения об угрозах, чтобы быть в курсе групп угроз и инфраструктуры, а также выявлять и устранять уязвимости системы или обрабатывать их до того, как злоумышленники воспользуются ими. Большинство SOC работают круглосуточно семь дней в неделю, и крупные организации, охватывающие несколько стран, также могут зависеть от глобального центра операций по обеспечению безопасности (GSOC), который будет контролировать глобальные угрозы безопасности и координировать обнаружение и реагирование между несколькими местными SOC.
Функции SOC
Участники группы SOC выполняют следующие функции, чтобы предотвращать атаки, реагировать на них и восстанавливаться после них.
Инвентаризация активов и инструментов
Чтобы исключить пробелы в покрытии, SOC необходима видимость ресурсов, которые он защищает, и понимание инструментов, которые он использует для защиты организации. Это означает учет всех баз данных, облачных служб, удостоверений, приложений и конечных точек в локальных и нескольких облаках. Группа также отслеживает все решения безопасности, используемые в организации, такие как брандмауэры, средства защиты от вредоносных программ, программ-вымогателей и программное обеспечение для мониторинга.
Сокращение направлений атак
Ключевой обязанностью SOC является сокращение направлений атак организации. SOC делает это, ведя инвентаризацию всех рабочих нагрузок и ресурсов, применяя исправления безопасности к программному обеспечению и межсетевым экранам, выявляя неправильные конфигурации и добавляя новые ресурсы по мере их появления в сети. Участники группы также несут ответственность за исследование возникающих угроз и анализ их воздействия, что помогает им опережать новейшие угрозы.
Постоянный мониторинг
Используя решения для анализа безопасности, такие как решение для управления информационной безопасностью и событиями безопасности (SIEM), решение для оркестрации, автоматизации и реагирования безопасности (SOAR) или Extended Detection and Response (XDR), группы SOC управляют всей средой — локально, облака, приложения, сети и устройства — ежедневно, в течение всего дня, чтобы выявлять отклонения или подозрительные реакции на событие. Эти средства собирают телеметрию, агрегируют данные и в некоторых случаях автоматизируют реагирование на инциденты.
Аналитика угроз
SOC также использует анализ данных, внешние каналы и отчеты об угрозах продукта, чтобы получить представление о поведении, инфраструктуре и мотивах злоумышленников. Эта аналитика предоставляет общую картину того, что происходит в Интернете, и позволяет группам распознавать работу групп. Благодаря этим сведениям SOC может быстро обнаруживать угрозы и защищать организацию от возникающих рисков.
Обнаружение угроз
Группы SOC используют данные, созданные решениями SIEM и XDR, для выявления угроз. Это начинается с отделения ложных срабатываний от реальных проблем. Затем они назначают приоритет угрозам по степени серьезности и потенциальному влиянию на бизнес.
Управление журналами
SOC также отвечает за сбор, поддержание и анализ данных журналов, создаваемых каждой конечной точкой, операционной системой, виртуальной машиной, локальным приложением и сетевым событием. Анализ помогает установить базовый уровень нормальной активности и выявить аномалии, которые могут указывать на вредоносное ПО, программы-шантажисты или вирусы.
Реагирование на инциденты
При обнаружении кибератаки SOC быстро выполняет действия для ограничения ущерба организации с минимальными потерями для бизнеса. Действия могут включать в себя отключение или изоляцию затронутых конечных точек и приложений, приостановку работы скомпрометированных учетных записей, удаление зараженных файлов и запуск антивирусного и антивирусного программного обеспечения.
Восстановление и исправление
После атаки SOC несет отвечает за восстановление исходного состояния компании. Группа очистит и повторно подключит диски, идентификационные данные, электронную почту и конечные точки, перезапустит приложения, переключится на системы резервного копирования и восстановит данные.
Исследование первопричин
Чтобы предотвратить повторение подобной атаки, SOC проводит тщательное исследование для выявления уязвимостей, плохих процессов безопасности и других сведений, которые способствовали инциденту.
Уточнение системы безопасности
SOC использует любые сведения, собранные во время инцидента, для устранения уязвимостей, улучшения процессов и политик, а также обновления дорожной карты безопасности.
Управление соответствием требованиям
Важнейшей частью ответственности SOC является обеспечение соответствия приложений, инструментов безопасности и процессов правилам конфиденциальности, таким как Глобальный регламент по защите данных (GDPR), Калифорнийский закон о конфиденциальности потребителей (CCPA) и акт о передаче и защите данных учреждений здравоохранения HIPPA. Группы регулярно проверяют системы, чтобы обеспечить соответствие требованиям и уведомить регулирующие органы, правоохранительные органы и клиентов о утечке данных.
Ключевые роли в SOC
В зависимости от размера организации типичный SOC включает следующие роли:
Директор по реагированию на инциденты
Эта роль, которая обычно встречается только в очень крупных организациях, отвечает за координацию обнаружения, анализа, сдерживания и восстановления во время инцидента безопасности. Они также управляют коммуникацией с соответствующими заинтересованными сторонами.
Диспетчер SOC
Надзор за SOC осуществляет менеджер, который обычно подчиняется директору по информационной безопасности (CISO). В обязанности входит управление персоналом, управление операциями, обучение новых сотрудников и управление финансами.
Инженеры по безопасности
Инженеры по безопасности поддерживают работоспособность систем безопасности организации. Это включает проектирование архитектуры безопасности, а также исследование, внедрение и поддержку решений безопасности.
Аналитики безопасности
Первые ответчики в инциденте безопасности, аналитики безопасности, определяют угрозы, определяют их приоритеты, а затем применяют действия для сдерживания ущерба. Во время кибератаки им может потребоваться изолировать зараженный узел, конечную точку или пользователя. В некоторых организациях аналитики безопасности распределяются по уровням в зависимости от серьезности угроз, за устранение которых они отвечают.
Охотники на угрозы
В некоторых организациях самых опытных аналитиков безопасности называют охотниками на угрозы. Задача этих людей — выявление и реагирование на сложные угрозы, которые не обнаруживаются автоматизированными инструментами. Это упреждающая роль, предназначенная для лучшего распознавания организацией известных угроз и обнаружения неизвестных угроз до атаки.
Судебные аналитики
Более крупные организации также могут нанять судебных аналитиков, которые собирают сведения после взлома, чтобы определить его первопричины. Они ищут уязвимости системы, нарушения политик безопасности и модели кибератак, которые могут быть полезны для предотвращения аналогичного взлома в будущем.
Типы SOC
Есть несколько различных способов организации своих SOC. Некоторые предпочитают создавать специализированный SOC со штатным персоналом. Этот тип SOC может быть внутренним с физическим расположением в помещении или виртуальным, когда персонал координирует свои действия удаленно с помощью цифровых инструментов. Многие виртуальные SOC используют как штатных, так и контрактных сотрудников. Сторонний SOC, который также можно назвать управляемым SOC или центром операций безопасности как услугой, управляется поставщиком управляемых услуг безопасности, который берет на себя ответственность за предотвращение, обнаружение, расследование и реагирование на угрозы. Также возможно использовать сочетание внутреннего персонала и управляемого поставщика услуг безопасности. Эта версия называется совместно управляемым или гибридным SOC. Организации используют этот подход для увеличения своего штата сотрудников. Например, если у них нет специалистов по исследованию угроз, возможно, будет проще нанять третье лицо, чем пытаться укомплектовать их собственными силами.
Важность групп SOC
Сильный SOC помогает предприятиям, правительствам и другим организациям опережать развивающуюся среду киберугроз. Это непростая задача. Злоумышленники, и оборонное сообщество часто разрабатывают новые технологии и стратегии, и для управления всеми изменениями требуется время и сосредоточенность. Используя свои знания о более широкой среде кибербезопасности, а также понимание внутренних уязвимостей и бизнес-приоритетов, SOC помогает организации разработать дорожную карту безопасности, соответствующую долгосрочным потребностям бизнеса. SOC также могут ограничить влияние на бизнес в случае возникновения атаки. Поскольку они постоянно наблюдают за сетью и анализируют данные оповещений, у них больше шансов обнаружить угрозы раньше, чем у группы, распределяющей свои задачи между несколькими другими приоритетами. Благодаря регулярному обучению и хорошо документированным процессам SOC может быстро устранить текущий инцидент — даже в условиях сильного стресса. Это может быть сложно для групп, которые не сосредотачиваются на операциях безопасности ежедневно, в течение всего дня.
Преимущества SOC
Объединяя людей, инструменты и процессы, используемые для защиты организации от угроз, SOC помогает организации более эффективно и результативно защищаться от атак и взломов.
Сильное положение системы безопасности
Повышение безопасности организации — это работа, которая никогда не заканчивается. Чтобы выявлять уязвимости и оставаться в курсе меняющихся технологий, необходим постоянный мониторинг, анализ и планирование. При наличии конкурирующих приоритетов этой работой легко пренебречь в пользу задач, которые кажутся более срочными.
Централизованный SOC помогает обеспечить постоянное совершенствование процессов и технологий, снижая риск успешной атаки.
Соответствие требованиям конфиденциальности
В отраслях, штатах, странах и регионах действуют разные правила, регулирующие сбор, хранение и использование данных. Многие требуют от организаций сообщать об утечках данных и удалять персональные данные по запросу потребителя. Наличие правильных процессов и процедур так же важно, как и наличие правильных технологий. Участники SOC помогают организациям соблюдать требования, взяв на себя ответственность за поддержание технологий и процессов обработки данных в актуальном состоянии.
Быстрое реагирование на инциденты
Имеет большое значение то, насколько быстро кибератака будет обнаружена и остановлена. При наличии правильных инструментов, людей и интеллекта многие нарушения можно остановить до того, как они нанесут ущерб. Но злоумышленники также умеют оставаться в тени, красть огромные объемы данных и повышать свои привилегии, прежде чем кто-либо заметит. Инцидент безопасности также является очень стрессовым событием, особенно для людей, не имеющих опыта реагирования на инциденты.
Используя единую аналитику угроз и хорошо задокументированные процедуры, группы SOC могут быстро обнаруживать атаки, реагировать на них и восстанавливаться после них.
Снижение затрат на нарушения безопасности
Успешный взлом может стоить организациям очень дорого. Восстановление часто приводит к значительным простоям, и многие компании теряют клиентов или изо всех сил пытаются привлечь новых клиентов вскоре после инцидента. Опережая злоумышленников и быстро реагируя, SOC помогает организациям сэкономить время и деньги при возвращении к нормальной работе.
Лучшие методики для групп SOC
Учитывая такое множество обязанностей, SOC должны быть эффективно организованы и управляемы для достижения результатов. Организации с сильными SOC реализуют следующие рекомендации:
Стратегия, ориентированная на бизнес
Даже SOC с самым лучшим финансированием приходится принимать решения о том, на чем сосредоточить свое время и деньги. Организации обычно начинают с оценки рисков, чтобы определить области наибольшего риска и наибольшие возможности для бизнеса. Это помогает определить, что необходимо защищать. SOC также необходимо понимать среду, в которой расположены ресурсы. Многие предприятия имеют сложные среды, в которых некоторые данные и приложения находятся локально, а некоторые — в нескольких облаках. Стратегия помогает определить, должны ли специалисты по безопасности быть доступны каждый день в любое время и лучше ли разместить SOC внутри компании или воспользоваться профессиональными услугами.
Талантливый, хорошо обученный персонал
Залогом эффективного SOC является высококвалифицированный персонал, который постоянно совершенствуется. Все начинается с поиска лучших специалистов, но это может быть непросто, поскольку рынок сотрудников службы безопасности высококонкурентен. Чтобы избежать дефицита навыков, многие организации пытаются найти людей с различными знаниями, такими как мониторинг систем и аналитики, управление оповещениями, обнаружение и анализ инцидентов, поиск угроз, этический взлом, киберкриминалистика и обратный инжиниринг. Они также внедряют технологии, которые автоматизируют задачи, позволяя небольшим группам работать эффективнее и повышать производительность младших аналитиков. Инвестиции в регулярное обучение помогают организациям удерживать ключевой персонал, восполнять пробелы в навыках и развивать карьеру сотрудников.
Полный контроль
Поскольку атака может начаться с одной конечной точки, крайне важно, чтобы у SOC была видимость всей среды организации, включая все, что находится под управлением третьей стороны.
Правильные инструменты
Событий, связанных с безопасностью, так много, что группы могут легко запутаться. Эффективные SOC инвестируют в хорошие инструменты безопасности, которые хорошо работают вместе, и используют ИИ и автоматизацию для оценки значительных рисков. Функциональная совместимость является ключом к предотвращению пробелов в покрытии.
Средства и технологии SOC
Система управления информационной безопасностью и событиями безопасности (SIEM)
Одним из наиболее важных инструментов SOC является облачное решение SIEM, объединяющее данные из нескольких решений безопасности и файлов журналов. С помощью аналитики угроз и ИИ эти средства помогают SOC обнаруживать развивающиеся угрозы, ускорять реагирование на инциденты и опережать злоумышленников.
Управление безопасностью, автоматизация и реагирование (SOAR)
SOAR автоматизирует повторяющиеся и предсказуемые задачи по обогащению, реагированию и исправлению, высвобождая время и ресурсы для более глубокого исследования и поиска.
Средства Extended Detection and Response (XDR)
XDR — это программное обеспечение как служебный инструмент, который обеспечивает комплексную оптимизированную безопасность за счет интеграции продуктов и данных безопасности в упрощенные решения. Организации используют эти решения для упреждающего и эффективного реагирования на меняющуюся картину угроз и сложные проблемы безопасности в многооблачной гибридной среде. В отличие от таких систем, как EDR (обнаружение и нейтрализация атак на конечные точки), XDR предоставляет более всеобъемлющую защиту, так как интегрирует в одно целое ряд продуктов, защищающих корпоративные конечные точки, серверы, облачные приложения, электронную почту и многое другое. Таким образом, XDR сочетает в себе предотвращение, обнаружение, исследование и реагирование, обеспечивая видимость, аналитику, коррелированные оповещения об инцидентах и автоматизированные ответы для повышения безопасности данных и борьбы с угрозами.
Брандмауэр
Брандмауэр отслеживает входящий и исходящий трафик в сети, разрешая или блокируя трафик на основе правил безопасности, определенных SOC.
Управление журналами
Решение для управления журналами, которое часто входит в состав SIEM, регистрирует все оповещения, поступающие от каждого компонента программного обеспечения, оборудования и конечных точек, работающих в организации. Эти журналы предоставляют сведения о действиях в сети.
Эти инструменты сканируют сеть, чтобы выявить слабые места, которыми может воспользоваться злоумышленник.
Аналитика поведения пользователей и сущностей
Аналитика поведения пользователей и сущностей, встроенная во многие современные инструменты безопасности, использует ИИ для анализа данных, собранных с различных устройств, чтобы установить базовый уровень нормальной активности для каждого пользователя и объекта. Когда событие отклоняется от базового уровня, оно помечается для дальнейшего анализа.
SOC и SIEM
Без SIEM SOC было бы чрезвычайно сложно выполнить свою миссию. Современные предложения SIEM:
- Агрегирование журналов: SIEM собирает данные журналов и сопоставляет оповещения, которые аналитики используют для обнаружения и поиска угроз.
- Контекст: Собирая данные по всем технологиям в организации, SIEM помогает связать точки между отдельными инцидентами для выявления сложных атак.
- Меньше оповещений: Используя аналитику и ИИ для сопоставления предупреждений и выявления наиболее серьезных событий, SIEM сокращает число инцидентов, которые людям необходимо просматривать и анализировать.
- Автоматическое реагирование: Встроенные правила позволяют SIEM выявлять вероятные угрозы и блокировать их без взаимодействия с людьми.
Также важно отметить, что одной SIEM недостаточно для защиты организации. Нужны люди для интеграции SIEM с другими системами, определения параметров обнаружения на основе правил и оценки оповещений. Вот почему определение стратегии SOC и наем подходящего персонала имеют решающее значение.
Решения SOC
Есть широкий спектр решений, которые помогут SOC защитить организацию. Лучшие из них работают вместе, чтобы обеспечить полное покрытие как локально, так и в нескольких облаках. Microsoft Security предоставляет комплексные решения, помогающие SOC устранить пробелы в покрытии и получить 360-градусное представление о своей среде. Microsoft Sentinel — это облачная система SIEM, интегрируемая с расширенными решениями по обнаружению и реагированию Microsoft Defender, предоставляя аналитикам и охотникам за угрозами данные, необходимые для обнаружения и предотвращения кибератак.
Подробнее о Microsoft Security
Microsoft SIEM и XDR
Обеспечьте интегрированную защиту от угроз для корпоративных устройств, удостоверений, приложений, электронной почты, данных и облачных рабочих нагрузок.
Microsoft Defender XDR
Защититесь от атак с помощью автоматизированной междоменной системы защиты от угрозы на базе Microsoft XDR.
Microsoft Sentinel
Используйте простое функциональное SIEM-решение на основе облачных и ИИ-технологий, чтобы выявлять и устранять сложные угрозы.
Аналитика угроз Microsoft Defender
Выявляйте злоумышленников и лишайте их возможности провести атаку благодаря исключительно полному и подробному представлению о меняющемся ландшафте угроз.
Управление направлением внешних атак Microsoft Defender
Получите непрерывную видимость за пределами брандмауэра, которая поможет вам обнаруживать неуправляемые ресурсы и слабые места в вашей многоблачной среде.
Вопросы и ответы
-
Центр управления сетью (NOC) ориентирован на производительность и скорость сети. Он не только реагирует на простои, но также заранее отслеживает сеть для выявления проблем, которые могут замедлять трафик. Центр информационной безопасности (SOC) ищет доказательство кибератаки, а также отслеживает сеть и другие среды. Так как инцидент безопасности может нарушить производительность сети, NOC и SOC должны координировать действия. Некоторые организации размещают SOC внутри NOC для поддержки взаимодействия.
-
Команды SOC отслеживают серверы, устройства, базы данных, сетевые приложения, веб-сайты и другие системы для выявления потенциальных угроз в режиме реального времени. Они также реализуют упреждающие меры по обеспечению безопасности, отслеживая новейшие угрозы, а также выявляя и устраняя уязвимости системы или процессов, прежде чем злоумышленник воспользуется ими. В случае успешной атаки на организацию команда SOC отвечает за устранение угрозы, восстановление систем и резервных копий в случае необходимости.
-
Центр информационной безопасности (SOC) состоит из людей, средств и процессов, которые помогают защитить организацию от кибератак. Для достижения целей в нем выполняются следующие функции: инвентаризация всех активов и технологий, регулярное обслуживание и обеспечение готовности, непрерывный мониторинг, обнаружение угроз, аналитика угроз, управление журналами, реагирование на инциденты, восстановление и исправление, исследование первопричин, уточнение системы безопасности и управление соответствием требованиям.
-
Мощный центр информационной безопасности (SOC) помогает организации эффективнее управлять безопасностью путем объединения средств защиты, инструментов обнаружения угроз и процессов безопасности. Организации с SOC могут улучшать свои процессы безопасности, быстрее реагировать на угрозы и лучше управлять соответствием требованиям, чем компании без SOC.
-
Говоря о SOC, мы имеем в виду пользователей, процессы и инструменты, которые отвечают за защиту организации от кибератак. Решение SIEM — одни из множества инструментов, которые SOC использует для контроля среды и нейтрализации атак. SIEM агрегирует файлы журналов и использует средства аналитики и автоматизации, чтобы предоставить сведения о реальных угрозах членам SOC, которые принимают решение об ответных мерах.
Следите за новостями Майкрософт