Чи потрібен SOC вашому бізнесу
Під абревіатурою SOC професіонали з кібербезпеки мають на увазі комплексний механізм, який складається з різноманітних апаратних і програмних технічних систем та команди висококваліфікованих фахівців.
В завдання SOC (Security Operations Center або «Центр забезпечення безпеки») входить виявлення та аналіз інцидентів кібербезпеки, оперативне реагування на них, запобігання їх виникненню та генерація звітності. І загалом, роботу SOC можна порівняти з діями команди пожежників: як і робітники екстрених служб, вони швидко з’являються в потрібний час, аналізують загрози та намагаються «погасити пожежу» ще до того, як вона спричинила великий збиток.
Але на відміну від пожежників, розподіл ролей в SOC більш складний. Так, в склад Центру входять системний адміністратор, фахівець по налаштуванню систем безпеки, аналітики кількох рівнів, а також спеціалісти по реверс-інжинірингу, експерт-криміналіст і навіть фахівець з кіберрозвідки.
Команді SOC доводиться виконувати доволі складне завдання: постійно аналізувати величезні обсяги даних, шукати і аналізувати вторгнення в режимі реального часу, максимально швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування. Тому і підтримка роботи таких центрів — вельми непроста.
Плюси та мінуси внутрішніх та зовнішніх SOC
Зазвичай директор компанії, усвідомивши кількість актуальних загроз у сфері інформаційної безпеки, або наслухавшись історій про те, як «хакнули» компанію-партнера чи конкурента, може прийняти рішення про те, що для оперативного реагування на виникаючі кіберзагрози варто задіяти підрозділ, який буде постійно (в ідеалі — цілодобово) відслідковувати кібератаки та оперативно реагувати на них.
І тут у керівника є вибір: створити власний SOC, чи звернутися до послуг зовнішнього, або ж «аутсорсингового», Центру забезпечення безпеки.
Перший тип SOC — це підрозділ всередині компанії, який складається зі штатних працівників, як правило, це фахівці з відділу ІТ, також туди можуть набрати нових співробітників — експертів з ІБ.
Повноцінний внутрішній SOC може дозволити собі тільки велика корпорація, адже це коштує дуже недешево, а цілодобове чергування вимагає чималих наявних ресурсів ІБ та ІТ-департаментів. І якщо компанія не може собі цього дозволити, варто задіяти аутсорсинговий, або ж зовнішній, SOC.
Зовнішній SOC складається з висококласних спеціалістів, які цілодобово виконують роботу з реагування на кібератаки, виявлення і розслідування інцидентів інформаційної безпеки. Якщо компанія укладає договір на обслуговування із зовнішнім Центром, вона економить на штатних співробітниках, оскільки може повністю покладатися на фахівців зовнішнього SOC-Центру, які, відповідно до обумовлених SLA і KPI, виконують роботу з виявлення і розслідування інцидентів інформаційної безпеки.
5 кейсів реального захисту бізнесу за допомогою спрацювання SOC
Слід зазначити, що позитивний ефект від задіяння SOC полягає не тільки в швидкому реагуванні на загрози, але й в потужній превентивній роботі в сфері ІБ. Зокрема, після впровадження SOC навіть у нас в компанії ми виявили «дірки» в безпеці та налаштуваннях, які з різних причин не були закриті системними адміністраторами, як то передача паролів відкритим текстом або повільна робота порталу на базі MS SharePoint через некоректну авторизацію серверу.
Загалом ми нарахували три гарячих кейса і безліч більш дрібних. Наприклад, одного разу був зламаний зовнішній веб-сайт, ми побачили це завдяки реакції з боку SIEM-системи. Зловмисники хакнули веб-сайт і далі намагалися проникнути в інфраструктуру, але там потрапили в пастку.
Після цього випадку ми зрозуміли, що у нас не вистачає одного компонента в захисті і розгорнули Web Application Firewall. А коли проаналізували дані з дашборда, то виявилося, що кожну годину відбуваються десятки атак на наші сайти зі спробую впровадити web shell, зробити SQL-ін’єкцію, інтегрувати свій керуючий модуль, навіть використати сайт як роздавальника порнографії.
Був також кейс, пов'язаний з внутрішнім співробітником, якого спіймали на тому, що він дуже пильно досліджував локальну мережу. Після повторного інциденту з ним ми стали вивчати ситуацію глибше і виявили, що він за допомогою Kali Linux досліджував нашу мережу на проникнення (penetration testing), скоріш за все, на замовлення зовнішніх клієнтів. Це вже майже кримінальний злочин.
Хочу також акцентувати ще одну перевагу — вивільнення робочого часу. Адже як було раніше — приходиш в приміщення до команди, а один з фахівців постійно стежить за консоллю моніторінгу. Звичайно це треба робити, але при цьому у нього висить паралельно 10 завдань, якими він не займається. Тобто тепер ми використовуємо експертів по їх профілю та кваліфікації.
Як обрати варіант облаштування SOC для вашого бізнесу, виходячи з економічних чинників
Загалом вектор кібербезпеки зараз будується більше не навколо надійності захисту інфраструктури, тому що будь-який периметр можна зламати, а навколо правильної і швидкої реакції на події, які виникають в мережі. Тобто перший крок — загальмувати просування загрози технічними засобами, другий — вчасно виявити небезпеку, третій — виконати необхідні дії, щоб загрозу заблокувати і видалити.
Тому SOC для нас — важлива частина нашої системи безпеки. Його команда спостерігає за тим, що відбувається, і дозволяє нам вчасно реагувати і прибирати загрози.
Можливо комусь здається, що три гарячі інциденти в кібербезпеці, які ми виявили і відпрацювали лише завдяки впровадженню SOC або ж Центру забезпечення безпеки - це небагато, а тепер давайте уявимо, що вони не були вчасно виявлені?..
Тому тепер, коли в нас є SOC, ми спимо трохи спокійніше і рекомендуємо всім нашим клієнтам і партнерам, незалежно від розміру та сфери діяльності, використовувати саме таку методику безпеки - внутрішній або зовнішній Центр забезпечення безпеки.
Одне можу сказати впевнено, використання SOC — це світовий тренд, тож радимо йти в ногу зі світовими тенденціями.
- Права, гарантовані Конституцією України, які неможливо обмежити Світлана Приймак вчора о 18:21
- Процедура видачі Держпрацею дозволів на виконання робіт підвищеної небезпеки Євген Морозов вчора о 10:32
- Сила чи емпатія Наталія Тонкаль 16.11.2024 20:57
- Видалення з реєстру старої щорічної декларації депутата та подання виправленої Євген Морозов 16.11.2024 16:07
- Справедливість по-українськи: забрати в бідних, збагатити чиновників Андрій Павловський 15.11.2024 22:06
- Перевибори у Німеччині. Нові проблеми чи можливості для України? Галина Янченко 15.11.2024 17:33
- Особистий бренд – ваш новий бізнес-актив Наталія Тонкаль 15.11.2024 14:39
- Нові правила управління державним майном та реалізації арештованих активів Дмитро Зенкін 15.11.2024 14:09
- Обміняйте Шевченка Євген Магда 15.11.2024 13:56
- Університети і ринок праці: взаємозалежність Юрій Баланюк 15.11.2024 13:37
- Виїзд дитини за кордон під час війни: порада від сімейного адвоката Світлана Приймак 15.11.2024 12:59
- Право постійного землекористувача надавати земельну ділянку в оренду третій особі Євген Морозов 15.11.2024 11:16
- ІТ в США та в Україні: порівняння зарплат, витрати та перспективи Сергій Хромченко 15.11.2024 10:39
- Воднева галузь США після обрання Трампа: чи зупинить Америка рух зеленого водню? Олексій Гнатенко 15.11.2024 09:15
- Форвардні контракти на ринку електроенергії ЄС: як працювати з вигодою та без ризиків Ростислав Никітенко 14.11.2024 11:55
-
Темні емпати: який це тип особистості та що про них кажуть психологи
Життя 10000
-
Комедія з Монікою Белуччі та продовження легендарного "Гладіатора": чотири кіноновинки тижня
Життя 7727
-
Чи корисно їсти лише раз на день?
Життя 6972
-
Секрет дорогих яєць. Як виробники задерли ціни та збільшили експорт
Бізнес 5218
-
NASA та Microsoft запустили чатбот на основі ШІ, що відповідає на питання про Землю
Бізнес 4197