Чи потрібен SOC вашому бізнесу
Під абревіатурою SOC професіонали з кібербезпеки мають на увазі комплексний механізм, який складається з різноманітних апаратних і програмних технічних систем та команди висококваліфікованих фахівців.
В завдання SOC (Security Operations Center або «Центр забезпечення безпеки») входить виявлення та аналіз інцидентів кібербезпеки, оперативне реагування на них, запобігання їх виникненню та генерація звітності. І загалом, роботу SOC можна порівняти з діями команди пожежників: як і робітники екстрених служб, вони швидко з’являються в потрібний час, аналізують загрози та намагаються «погасити пожежу» ще до того, як вона спричинила великий збиток.
Але на відміну від пожежників, розподіл ролей в SOC більш складний. Так, в склад Центру входять системний адміністратор, фахівець по налаштуванню систем безпеки, аналітики кількох рівнів, а також спеціалісти по реверс-інжинірингу, експерт-криміналіст і навіть фахівець з кіберрозвідки.
Команді SOC доводиться виконувати доволі складне завдання: постійно аналізувати величезні обсяги даних, шукати і аналізувати вторгнення в режимі реального часу, максимально швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування. Тому і підтримка роботи таких центрів — вельми непроста.
Плюси та мінуси внутрішніх та зовнішніх SOC
Зазвичай директор компанії, усвідомивши кількість актуальних загроз у сфері інформаційної безпеки, або наслухавшись історій про те, як «хакнули» компанію-партнера чи конкурента, може прийняти рішення про те, що для оперативного реагування на виникаючі кіберзагрози варто задіяти підрозділ, який буде постійно (в ідеалі — цілодобово) відслідковувати кібератаки та оперативно реагувати на них.
І тут у керівника є вибір: створити власний SOC, чи звернутися до послуг зовнішнього, або ж «аутсорсингового», Центру забезпечення безпеки.
Перший тип SOC — це підрозділ всередині компанії, який складається зі штатних працівників, як правило, це фахівці з відділу ІТ, також туди можуть набрати нових співробітників — експертів з ІБ.
Повноцінний внутрішній SOC може дозволити собі тільки велика корпорація, адже це коштує дуже недешево, а цілодобове чергування вимагає чималих наявних ресурсів ІБ та ІТ-департаментів. І якщо компанія не може собі цього дозволити, варто задіяти аутсорсинговий, або ж зовнішній, SOC.
Зовнішній SOC складається з висококласних спеціалістів, які цілодобово виконують роботу з реагування на кібератаки, виявлення і розслідування інцидентів інформаційної безпеки. Якщо компанія укладає договір на обслуговування із зовнішнім Центром, вона економить на штатних співробітниках, оскільки може повністю покладатися на фахівців зовнішнього SOC-Центру, які, відповідно до обумовлених SLA і KPI, виконують роботу з виявлення і розслідування інцидентів інформаційної безпеки.
5 кейсів реального захисту бізнесу за допомогою спрацювання SOC
Слід зазначити, що позитивний ефект від задіяння SOC полягає не тільки в швидкому реагуванні на загрози, але й в потужній превентивній роботі в сфері ІБ. Зокрема, після впровадження SOC навіть у нас в компанії ми виявили «дірки» в безпеці та налаштуваннях, які з різних причин не були закриті системними адміністраторами, як то передача паролів відкритим текстом або повільна робота порталу на базі MS SharePoint через некоректну авторизацію серверу.
Загалом ми нарахували три гарячих кейса і безліч більш дрібних. Наприклад, одного разу був зламаний зовнішній веб-сайт, ми побачили це завдяки реакції з боку SIEM-системи. Зловмисники хакнули веб-сайт і далі намагалися проникнути в інфраструктуру, але там потрапили в пастку.
Після цього випадку ми зрозуміли, що у нас не вистачає одного компонента в захисті і розгорнули Web Application Firewall. А коли проаналізували дані з дашборда, то виявилося, що кожну годину відбуваються десятки атак на наші сайти зі спробую впровадити web shell, зробити SQL-ін’єкцію, інтегрувати свій керуючий модуль, навіть використати сайт як роздавальника порнографії.
Був також кейс, пов'язаний з внутрішнім співробітником, якого спіймали на тому, що він дуже пильно досліджував локальну мережу. Після повторного інциденту з ним ми стали вивчати ситуацію глибше і виявили, що він за допомогою Kali Linux досліджував нашу мережу на проникнення (penetration testing), скоріш за все, на замовлення зовнішніх клієнтів. Це вже майже кримінальний злочин.
Хочу також акцентувати ще одну перевагу — вивільнення робочого часу. Адже як було раніше — приходиш в приміщення до команди, а один з фахівців постійно стежить за консоллю моніторінгу. Звичайно це треба робити, але при цьому у нього висить паралельно 10 завдань, якими він не займається. Тобто тепер ми використовуємо експертів по їх профілю та кваліфікації.
Як обрати варіант облаштування SOC для вашого бізнесу, виходячи з економічних чинників
Загалом вектор кібербезпеки зараз будується більше не навколо надійності захисту інфраструктури, тому що будь-який периметр можна зламати, а навколо правильної і швидкої реакції на події, які виникають в мережі. Тобто перший крок — загальмувати просування загрози технічними засобами, другий — вчасно виявити небезпеку, третій — виконати необхідні дії, щоб загрозу заблокувати і видалити.
Тому SOC для нас — важлива частина нашої системи безпеки. Його команда спостерігає за тим, що відбувається, і дозволяє нам вчасно реагувати і прибирати загрози.
Можливо комусь здається, що три гарячі інциденти в кібербезпеці, які ми виявили і відпрацювали лише завдяки впровадженню SOC або ж Центру забезпечення безпеки - це небагато, а тепер давайте уявимо, що вони не були вчасно виявлені?..
Тому тепер, коли в нас є SOC, ми спимо трохи спокійніше і рекомендуємо всім нашим клієнтам і партнерам, незалежно від розміру та сфери діяльності, використовувати саме таку методику безпеки - внутрішній або зовнішній Центр забезпечення безпеки.
Одне можу сказати впевнено, використання SOC — це світовий тренд, тож радимо йти в ногу зі світовими тенденціями.
- Відсутність у міськради коштів на сплату судзбору як підстава для звернення прокурора Євген Морозов 10:17
- Самопредставництво юридичної особи: Право чи привілей? Дмитро Зенкін вчора о 14:11
- Адмінарешт майна платника податків це публічно-правовий спір, а не спір про право Євген Морозов вчора о 13:11
- Чи декриміналізовані дрібні крадіжки в Україні? Рішення Верховного Суду Світлана Приймак вчора о 12:39
- Виклики та можливості у процесі відновлення України Сильвія Красонь-Копаніаж 17.10.2024 15:49
- Інтеграція та інновації: шлях розвитку Реєстру судових рішень Леонід Сапельніков 17.10.2024 14:01
- Технологічний обмін як основа відновлення та модернізації енергетичної системи України Олексій Гнатенко 17.10.2024 14:00
- Політика і психологія: як заперечення та раціоналізація формують державні рішення Валерій Козлов 17.10.2024 13:49
- Медіація у господарських спорах Наталія Ковалко 17.10.2024 13:40
- Безтурботна старість? Як не втратити якість життя, виходячи на пенсію Інна Бєлянська 17.10.2024 13:09
- Навіщо компанії ERP-система Віталій Курдюмов 17.10.2024 11:24
- Доцільність та правомірність розірвання договору після закінчення строку його дії Євген Морозов 17.10.2024 10:20
- Нові вимоги до подання даних нотаріусами: зміни для спадщини, дарування та купівлі-продажу Золтан Русанюк 16.10.2024 23:10
- "Джокер" залишається в рукаві Євген Магда 16.10.2024 18:04
- Податки підняли, питання залишилися Любов Шпак 16.10.2024 11:54
- "Джокер" залишається в рукаві 5536
- Безтурботна старість? Як не втратити якість життя, виходячи на пенсію 746
- Криве дзеркало доброчесності: чи єдині стандарти для суддів і прокурорів? 381
- Кожен українець за кордоном – амбасадор своєї країни: місія, відповідальність і майбутнє 220
- AI Risk: як штучний інтелект формує нові горизонти корпоративної безпеки 215
-
СЗЧ та дезертирство зросли вп'ятеро — дані за областями
Інфографіка 36715
-
Реакція на викриття 49 прокурорів наштовхує на висновок – робити, як в Росії. Але це не вихід
Думка 35620
-
"Путін витрачає на війну до $130 млрд на рік. Диво, що ми тримаємось". Що розказав Залужний
8388
-
Департамент охорони культурної спадщини вимагає зафарбувати мурал з Будановим на Подолі
Життя 8084
-
Тігіпко купує третій банк
Фінанси 6634