Чи потрібен SOC вашому бізнесу
Під абревіатурою SOC професіонали з кібербезпеки мають на увазі комплексний механізм, який складається з різноманітних апаратних і програмних технічних систем та команди висококваліфікованих фахівців.
В завдання SOC (Security Operations Center або «Центр забезпечення безпеки») входить виявлення та аналіз інцидентів кібербезпеки, оперативне реагування на них, запобігання їх виникненню та генерація звітності. І загалом, роботу SOC можна порівняти з діями команди пожежників: як і робітники екстрених служб, вони швидко з’являються в потрібний час, аналізують загрози та намагаються «погасити пожежу» ще до того, як вона спричинила великий збиток.
Але на відміну від пожежників, розподіл ролей в SOC більш складний. Так, в склад Центру входять системний адміністратор, фахівець по налаштуванню систем безпеки, аналітики кількох рівнів, а також спеціалісти по реверс-інжинірингу, експерт-криміналіст і навіть фахівець з кіберрозвідки.
Команді SOC доводиться виконувати доволі складне завдання: постійно аналізувати величезні обсяги даних, шукати і аналізувати вторгнення в режимі реального часу, максимально швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування. Тому і підтримка роботи таких центрів — вельми непроста.
Плюси та мінуси внутрішніх та зовнішніх SOC
Зазвичай директор компанії, усвідомивши кількість актуальних загроз у сфері інформаційної безпеки, або наслухавшись історій про те, як «хакнули» компанію-партнера чи конкурента, може прийняти рішення про те, що для оперативного реагування на виникаючі кіберзагрози варто задіяти підрозділ, який буде постійно (в ідеалі — цілодобово) відслідковувати кібератаки та оперативно реагувати на них.
І тут у керівника є вибір: створити власний SOC, чи звернутися до послуг зовнішнього, або ж «аутсорсингового», Центру забезпечення безпеки.
Перший тип SOC — це підрозділ всередині компанії, який складається зі штатних працівників, як правило, це фахівці з відділу ІТ, також туди можуть набрати нових співробітників — експертів з ІБ.
Повноцінний внутрішній SOC може дозволити собі тільки велика корпорація, адже це коштує дуже недешево, а цілодобове чергування вимагає чималих наявних ресурсів ІБ та ІТ-департаментів. І якщо компанія не може собі цього дозволити, варто задіяти аутсорсинговий, або ж зовнішній, SOC.
Зовнішній SOC складається з висококласних спеціалістів, які цілодобово виконують роботу з реагування на кібератаки, виявлення і розслідування інцидентів інформаційної безпеки. Якщо компанія укладає договір на обслуговування із зовнішнім Центром, вона економить на штатних співробітниках, оскільки може повністю покладатися на фахівців зовнішнього SOC-Центру, які, відповідно до обумовлених SLA і KPI, виконують роботу з виявлення і розслідування інцидентів інформаційної безпеки.
5 кейсів реального захисту бізнесу за допомогою спрацювання SOC
Слід зазначити, що позитивний ефект від задіяння SOC полягає не тільки в швидкому реагуванні на загрози, але й в потужній превентивній роботі в сфері ІБ. Зокрема, після впровадження SOC навіть у нас в компанії ми виявили «дірки» в безпеці та налаштуваннях, які з різних причин не були закриті системними адміністраторами, як то передача паролів відкритим текстом або повільна робота порталу на базі MS SharePoint через некоректну авторизацію серверу.
Загалом ми нарахували три гарячих кейса і безліч більш дрібних. Наприклад, одного разу був зламаний зовнішній веб-сайт, ми побачили це завдяки реакції з боку SIEM-системи. Зловмисники хакнули веб-сайт і далі намагалися проникнути в інфраструктуру, але там потрапили в пастку.
Після цього випадку ми зрозуміли, що у нас не вистачає одного компонента в захисті і розгорнули Web Application Firewall. А коли проаналізували дані з дашборда, то виявилося, що кожну годину відбуваються десятки атак на наші сайти зі спробую впровадити web shell, зробити SQL-ін’єкцію, інтегрувати свій керуючий модуль, навіть використати сайт як роздавальника порнографії.
Був також кейс, пов'язаний з внутрішнім співробітником, якого спіймали на тому, що він дуже пильно досліджував локальну мережу. Після повторного інциденту з ним ми стали вивчати ситуацію глибше і виявили, що він за допомогою Kali Linux досліджував нашу мережу на проникнення (penetration testing), скоріш за все, на замовлення зовнішніх клієнтів. Це вже майже кримінальний злочин.
Хочу також акцентувати ще одну перевагу — вивільнення робочого часу. Адже як було раніше — приходиш в приміщення до команди, а один з фахівців постійно стежить за консоллю моніторінгу. Звичайно це треба робити, але при цьому у нього висить паралельно 10 завдань, якими він не займається. Тобто тепер ми використовуємо експертів по їх профілю та кваліфікації.
Як обрати варіант облаштування SOC для вашого бізнесу, виходячи з економічних чинників
Загалом вектор кібербезпеки зараз будується більше не навколо надійності захисту інфраструктури, тому що будь-який периметр можна зламати, а навколо правильної і швидкої реакції на події, які виникають в мережі. Тобто перший крок — загальмувати просування загрози технічними засобами, другий — вчасно виявити небезпеку, третій — виконати необхідні дії, щоб загрозу заблокувати і видалити.
Тому SOC для нас — важлива частина нашої системи безпеки. Його команда спостерігає за тим, що відбувається, і дозволяє нам вчасно реагувати і прибирати загрози.
Можливо комусь здається, що три гарячі інциденти в кібербезпеці, які ми виявили і відпрацювали лише завдяки впровадженню SOC або ж Центру забезпечення безпеки - це небагато, а тепер давайте уявимо, що вони не були вчасно виявлені?..
Тому тепер, коли в нас є SOC, ми спимо трохи спокійніше і рекомендуємо всім нашим клієнтам і партнерам, незалежно від розміру та сфери діяльності, використовувати саме таку методику безпеки - внутрішній або зовнішній Центр забезпечення безпеки.
Одне можу сказати впевнено, використання SOC — це світовий тренд, тож радимо йти в ногу зі світовими тенденціями.
- Стягнення коштів, які належать особі, яка має заборгованість перед боржником Євген Морозов 10:30
- Справи про адміністративні правопорушення, які розглядають ТЦК і СП Євген Морозов вчора о 12:18
- "Єдиний" спосіб оскарження результатів оцінки в рамках виконавчого провадження Євген Морозов 04.10.2024 12:19
- Wi-Fi у школах: на якому етапі ми зараз і як відбувається облаштування Петро Оленич 04.10.2024 12:07
- Perplexity AI: Коли пошуковик розуміє вас з півслова Олеся Стойко 04.10.2024 07:40
- Як збільшити прибуток через систематизацію бізнес-процесів Жанна Кудрицька 03.10.2024 22:44
- Визначаємо місця проживання дитини під час війни Світлана Приймак 03.10.2024 19:22
- Декілька роздумів щодо "тарифного подвигу" Укрпошти Олег Пендзин 03.10.2024 16:44
- Забезпечення прав людини в умовах війни Дмитро Зенкін 03.10.2024 14:16
- Відключення споживачів від комунальних послуг за борги по ЖКХ Євген Морозов 03.10.2024 12:24
- Я вдома! Як ефективно встановити і захистити особисті кордони Алла Заднепровська 03.10.2024 09:07
- Де знайти додаткові інвестиції: кредит, грант чи інвестор? Костянтин Соловйов 02.10.2024 20:37
- Мобілізація по новому. Особливості призову командирами ВЧ Ігор Калініченко 02.10.2024 17:34
- Зобов`язання ДПС України зареєструвати в ЄРПН податкову накладну Євген Морозов 02.10.2024 12:16
- Бізнес під прицілом: як новітні розвідтехнології стають щитом в умовах війни Ігор Шевцов 02.10.2024 10:21
- Зміни в призначенні субсидій 316
- Відбір постачальника – це не вся закупівля: ключові ролі в закупівельному процесі 279
- Мобілізація по новому. Особливості призову командирами ВЧ 248
- Відстрочка від мобілізації для студентів іноземних ВНЗ: Покарання невинних за чужі провини 227
- Де знайти додаткові інвестиції: кредит, грант чи інвестор? 120
-
Названо 10 криптовалют, які найкраще купувати зараз
Фінанси 11838
-
У Харкові приватизують один із найстаріших проєктних інститутів України: результати торгів
Бізнес 11756
-
Підконтрольна ГУР компанія заборгувала державі понад 800 млн грн – розслідування
Бізнес 6237
-
Італія звинувачує сім осіб і дві компанії у бракованих деталях для літаків Boeing
Бізнес 4592
-
Бохо-шик, переосмислене ретро та інші модні тренди із Paris Fashion Week: ФОТО
Життя 4248