Чи потрібен SOC вашому бізнесу
Під абревіатурою SOC професіонали з кібербезпеки мають на увазі комплексний механізм, який складається з різноманітних апаратних і програмних технічних систем та команди висококваліфікованих фахівців.
В завдання SOC (Security Operations Center або «Центр забезпечення безпеки») входить виявлення та аналіз інцидентів кібербезпеки, оперативне реагування на них, запобігання їх виникненню та генерація звітності. І загалом, роботу SOC можна порівняти з діями команди пожежників: як і робітники екстрених служб, вони швидко з’являються в потрібний час, аналізують загрози та намагаються «погасити пожежу» ще до того, як вона спричинила великий збиток.
Але на відміну від пожежників, розподіл ролей в SOC більш складний. Так, в склад Центру входять системний адміністратор, фахівець по налаштуванню систем безпеки, аналітики кількох рівнів, а також спеціалісти по реверс-інжинірингу, експерт-криміналіст і навіть фахівець з кіберрозвідки.
Команді SOC доводиться виконувати доволі складне завдання: постійно аналізувати величезні обсяги даних, шукати і аналізувати вторгнення в режимі реального часу, максимально швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування. Тому і підтримка роботи таких центрів — вельми непроста.
Плюси та мінуси внутрішніх та зовнішніх SOC
Зазвичай директор компанії, усвідомивши кількість актуальних загроз у сфері інформаційної безпеки, або наслухавшись історій про те, як «хакнули» компанію-партнера чи конкурента, може прийняти рішення про те, що для оперативного реагування на виникаючі кіберзагрози варто задіяти підрозділ, який буде постійно (в ідеалі — цілодобово) відслідковувати кібератаки та оперативно реагувати на них.
І тут у керівника є вибір: створити власний SOC, чи звернутися до послуг зовнішнього, або ж «аутсорсингового», Центру забезпечення безпеки.
Перший тип SOC — це підрозділ всередині компанії, який складається зі штатних працівників, як правило, це фахівці з відділу ІТ, також туди можуть набрати нових співробітників — експертів з ІБ.
Повноцінний внутрішній SOC може дозволити собі тільки велика корпорація, адже це коштує дуже недешево, а цілодобове чергування вимагає чималих наявних ресурсів ІБ та ІТ-департаментів. І якщо компанія не може собі цього дозволити, варто задіяти аутсорсинговий, або ж зовнішній, SOC.
Зовнішній SOC складається з висококласних спеціалістів, які цілодобово виконують роботу з реагування на кібератаки, виявлення і розслідування інцидентів інформаційної безпеки. Якщо компанія укладає договір на обслуговування із зовнішнім Центром, вона економить на штатних співробітниках, оскільки може повністю покладатися на фахівців зовнішнього SOC-Центру, які, відповідно до обумовлених SLA і KPI, виконують роботу з виявлення і розслідування інцидентів інформаційної безпеки.
5 кейсів реального захисту бізнесу за допомогою спрацювання SOC
Слід зазначити, що позитивний ефект від задіяння SOC полягає не тільки в швидкому реагуванні на загрози, але й в потужній превентивній роботі в сфері ІБ. Зокрема, після впровадження SOC навіть у нас в компанії ми виявили «дірки» в безпеці та налаштуваннях, які з різних причин не були закриті системними адміністраторами, як то передача паролів відкритим текстом або повільна робота порталу на базі MS SharePoint через некоректну авторизацію серверу.
Загалом ми нарахували три гарячих кейса і безліч більш дрібних. Наприклад, одного разу був зламаний зовнішній веб-сайт, ми побачили це завдяки реакції з боку SIEM-системи. Зловмисники хакнули веб-сайт і далі намагалися проникнути в інфраструктуру, але там потрапили в пастку.
Після цього випадку ми зрозуміли, що у нас не вистачає одного компонента в захисті і розгорнули Web Application Firewall. А коли проаналізували дані з дашборда, то виявилося, що кожну годину відбуваються десятки атак на наші сайти зі спробую впровадити web shell, зробити SQL-ін’єкцію, інтегрувати свій керуючий модуль, навіть використати сайт як роздавальника порнографії.
Був також кейс, пов'язаний з внутрішнім співробітником, якого спіймали на тому, що він дуже пильно досліджував локальну мережу. Після повторного інциденту з ним ми стали вивчати ситуацію глибше і виявили, що він за допомогою Kali Linux досліджував нашу мережу на проникнення (penetration testing), скоріш за все, на замовлення зовнішніх клієнтів. Це вже майже кримінальний злочин.
Хочу також акцентувати ще одну перевагу — вивільнення робочого часу. Адже як було раніше — приходиш в приміщення до команди, а один з фахівців постійно стежить за консоллю моніторінгу. Звичайно це треба робити, але при цьому у нього висить паралельно 10 завдань, якими він не займається. Тобто тепер ми використовуємо експертів по їх профілю та кваліфікації.
Як обрати варіант облаштування SOC для вашого бізнесу, виходячи з економічних чинників
Загалом вектор кібербезпеки зараз будується більше не навколо надійності захисту інфраструктури, тому що будь-який периметр можна зламати, а навколо правильної і швидкої реакції на події, які виникають в мережі. Тобто перший крок — загальмувати просування загрози технічними засобами, другий — вчасно виявити небезпеку, третій — виконати необхідні дії, щоб загрозу заблокувати і видалити.
Тому SOC для нас — важлива частина нашої системи безпеки. Його команда спостерігає за тим, що відбувається, і дозволяє нам вчасно реагувати і прибирати загрози.
Можливо комусь здається, що три гарячі інциденти в кібербезпеці, які ми виявили і відпрацювали лише завдяки впровадженню SOC або ж Центру забезпечення безпеки - це небагато, а тепер давайте уявимо, що вони не були вчасно виявлені?..
Тому тепер, коли в нас є SOC, ми спимо трохи спокійніше і рекомендуємо всім нашим клієнтам і партнерам, незалежно від розміру та сфери діяльності, використовувати саме таку методику безпеки - внутрішній або зовнішній Центр забезпечення безпеки.
Одне можу сказати впевнено, використання SOC — це світовий тренд, тож радимо йти в ногу зі світовими тенденціями.
- Пенсійна рулетка Андрій Павловський вчора о 19:35
- Чому у відпустках приймають рішення про звільнення? Ольга Малахова вчора о 17:10
- Made in Vietnam, approved in Kyiv: схема по-новому Дана Ярова вчора о 17:02
- Час розблокувати будівництво нових об'єктів та залучення інвестицій в громадах Лариса Білозір 10.07.2025 20:41
- Заповіт у Дубаї: нові можливості для українців у DIFC Courts Олена Широкова 10.07.2025 15:45
- Конфлікти у бізнесі: як перетворити загрозу на джерело зростання Олександр Скнар 10.07.2025 14:36
- У кожному дроні – сертифікат світової байдужості Дана Ярова 10.07.2025 12:05
- Бізнес з країнами Близького Сходу: що потрібно знати про гроші, темп і традиції Любомир Паладійчук 09.07.2025 21:38
- Фінансова свобода: що ми насправді вкладаємо у це поняття? Олександр Скнар 09.07.2025 14:34
- Нова ера на енергетичних ринках: кінець диктатури цін Ксенія Оринчак 08.07.2025 16:49
- Український бізнес на Близькому Сході: культура, право і підводні камені Олена Широкова 08.07.2025 16:12
- Замість реформи – репертуар. Замість дій – кастинг на премʼєра Дана Ярова 08.07.2025 15:54
- Преюдиційне значення рішення МКАС при ТПП України для інших спорів: правовий аналіз Валентина Слободинска 08.07.2025 14:47
- Чому бізнес-коучинг стає все більш затребуваним? Олександр Скнар 08.07.2025 14:27
- Негаторний чи віндикаційний позов: який спосіб захисту обрати у земельному спорі? Андрій Лотиш 08.07.2025 14:03
- Пенсійна рулетка 170
- Військово-економічна пастка: чому зламався бум РФ 149
- Медіація у бізнесі: чи готові українські компанії до альтернативних рішень? 105
- Справи про міжнародне викрадення дітей в світлі практики Верховного Суду 52
- Негаторний чи віндикаційний позов: який спосіб захисту обрати у земельному спорі? 52
-
"Цифри шокують". Гетманцев оприлюднив дані про найбільші в Україні пенсії
Фінанси 18205
-
Лідер картелю ОПЕК несподівано перевищив квоту з видобутку нафти
Бізнес 5342
-
Після п’яти років полону відкрив ресторан. Історія танкіста, який став підприємцем
Бізнес 4993
-
Банк ЄС анонсував 600 млн євро для України: найбільша сума – на відновлення ГЕС
Фінанси 4941
-
"По-справжньому довіряти одне одному": сім фраз, які використовують пари з міцною довірою
Життя 4843