Чи потрібен SOC вашому бізнесу
Під абревіатурою SOC професіонали з кібербезпеки мають на увазі комплексний механізм, який складається з різноманітних апаратних і програмних технічних систем та команди висококваліфікованих фахівців.
В завдання SOC (Security Operations Center або «Центр забезпечення безпеки») входить виявлення та аналіз інцидентів кібербезпеки, оперативне реагування на них, запобігання їх виникненню та генерація звітності. І загалом, роботу SOC можна порівняти з діями команди пожежників: як і робітники екстрених служб, вони швидко з’являються в потрібний час, аналізують загрози та намагаються «погасити пожежу» ще до того, як вона спричинила великий збиток.
Але на відміну від пожежників, розподіл ролей в SOC більш складний. Так, в склад Центру входять системний адміністратор, фахівець по налаштуванню систем безпеки, аналітики кількох рівнів, а також спеціалісти по реверс-інжинірингу, експерт-криміналіст і навіть фахівець з кіберрозвідки.
Команді SOC доводиться виконувати доволі складне завдання: постійно аналізувати величезні обсяги даних, шукати і аналізувати вторгнення в режимі реального часу, максимально швидко реагувати на підтверджені інциденти і виключати помилкові спрацьовування. Тому і підтримка роботи таких центрів — вельми непроста.
Плюси та мінуси внутрішніх та зовнішніх SOC
Зазвичай директор компанії, усвідомивши кількість актуальних загроз у сфері інформаційної безпеки, або наслухавшись історій про те, як «хакнули» компанію-партнера чи конкурента, може прийняти рішення про те, що для оперативного реагування на виникаючі кіберзагрози варто задіяти підрозділ, який буде постійно (в ідеалі — цілодобово) відслідковувати кібератаки та оперативно реагувати на них.
І тут у керівника є вибір: створити власний SOC, чи звернутися до послуг зовнішнього, або ж «аутсорсингового», Центру забезпечення безпеки.
Перший тип SOC — це підрозділ всередині компанії, який складається зі штатних працівників, як правило, це фахівці з відділу ІТ, також туди можуть набрати нових співробітників — експертів з ІБ.
Повноцінний внутрішній SOC може дозволити собі тільки велика корпорація, адже це коштує дуже недешево, а цілодобове чергування вимагає чималих наявних ресурсів ІБ та ІТ-департаментів. І якщо компанія не може собі цього дозволити, варто задіяти аутсорсинговий, або ж зовнішній, SOC.
Зовнішній SOC складається з висококласних спеціалістів, які цілодобово виконують роботу з реагування на кібератаки, виявлення і розслідування інцидентів інформаційної безпеки. Якщо компанія укладає договір на обслуговування із зовнішнім Центром, вона економить на штатних співробітниках, оскільки може повністю покладатися на фахівців зовнішнього SOC-Центру, які, відповідно до обумовлених SLA і KPI, виконують роботу з виявлення і розслідування інцидентів інформаційної безпеки.
5 кейсів реального захисту бізнесу за допомогою спрацювання SOC
Слід зазначити, що позитивний ефект від задіяння SOC полягає не тільки в швидкому реагуванні на загрози, але й в потужній превентивній роботі в сфері ІБ. Зокрема, після впровадження SOC навіть у нас в компанії ми виявили «дірки» в безпеці та налаштуваннях, які з різних причин не були закриті системними адміністраторами, як то передача паролів відкритим текстом або повільна робота порталу на базі MS SharePoint через некоректну авторизацію серверу.
Загалом ми нарахували три гарячих кейса і безліч більш дрібних. Наприклад, одного разу був зламаний зовнішній веб-сайт, ми побачили це завдяки реакції з боку SIEM-системи. Зловмисники хакнули веб-сайт і далі намагалися проникнути в інфраструктуру, але там потрапили в пастку.
Після цього випадку ми зрозуміли, що у нас не вистачає одного компонента в захисті і розгорнули Web Application Firewall. А коли проаналізували дані з дашборда, то виявилося, що кожну годину відбуваються десятки атак на наші сайти зі спробую впровадити web shell, зробити SQL-ін’єкцію, інтегрувати свій керуючий модуль, навіть використати сайт як роздавальника порнографії.
Був також кейс, пов'язаний з внутрішнім співробітником, якого спіймали на тому, що він дуже пильно досліджував локальну мережу. Після повторного інциденту з ним ми стали вивчати ситуацію глибше і виявили, що він за допомогою Kali Linux досліджував нашу мережу на проникнення (penetration testing), скоріш за все, на замовлення зовнішніх клієнтів. Це вже майже кримінальний злочин.
Хочу також акцентувати ще одну перевагу — вивільнення робочого часу. Адже як було раніше — приходиш в приміщення до команди, а один з фахівців постійно стежить за консоллю моніторінгу. Звичайно це треба робити, але при цьому у нього висить паралельно 10 завдань, якими він не займається. Тобто тепер ми використовуємо експертів по їх профілю та кваліфікації.
Як обрати варіант облаштування SOC для вашого бізнесу, виходячи з економічних чинників
Загалом вектор кібербезпеки зараз будується більше не навколо надійності захисту інфраструктури, тому що будь-який периметр можна зламати, а навколо правильної і швидкої реакції на події, які виникають в мережі. Тобто перший крок — загальмувати просування загрози технічними засобами, другий — вчасно виявити небезпеку, третій — виконати необхідні дії, щоб загрозу заблокувати і видалити.
Тому SOC для нас — важлива частина нашої системи безпеки. Його команда спостерігає за тим, що відбувається, і дозволяє нам вчасно реагувати і прибирати загрози.
Можливо комусь здається, що три гарячі інциденти в кібербезпеці, які ми виявили і відпрацювали лише завдяки впровадженню SOC або ж Центру забезпечення безпеки - це небагато, а тепер давайте уявимо, що вони не були вчасно виявлені?..
Тому тепер, коли в нас є SOC, ми спимо трохи спокійніше і рекомендуємо всім нашим клієнтам і партнерам, незалежно від розміру та сфери діяльності, використовувати саме таку методику безпеки - внутрішній або зовнішній Центр забезпечення безпеки.
Одне можу сказати впевнено, використання SOC — це світовий тренд, тож радимо йти в ногу зі світовими тенденціями.
- Судовий захист при звернені стягнення на предмет іпотеки, якщо таке майно не відчужено Євген Морозов 13:02
- Система обліку немайнової шкоди: коли держава намагається залікувати невидимі рани війни Світлана Приймак 11:36
- Чому енергетичні та газові гіганти обирають Нідерланди чи Швейцарію для бізнесу Ростислав Никітенко 08:47
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін вчора о 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз вчора о 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов вчора о 12:39
- Чужий серед своїх: право голосу і місце в політиці іноземців у ЄС Дмитро Зенкін 20.11.2024 21:35
- Сталий розвиток рибного господарства: нові можливості для інвестицій в Україні Артем Чорноморов 20.11.2024 15:59
- Кремль тисне на рубильник Євген Магда 20.11.2024 15:55
- Судова реформа в контексті вимог ЄС: очищення від суддів-корупціонерів Світлана Приймак 20.11.2024 13:47
- Як автоматизувати процеси в бізнесі для швидкого зростання Даніелла Шихабутдінова 20.11.2024 13:20
- COP29 та План Перемоги. Як нашу стратегію зробити глобальною? Ксенія Оринчак 20.11.2024 11:17
- Ухвала про відмову у прийнятті зустрічного позову підлягає апеляційному оскарженню Євген Морозов 20.11.2024 10:35
- Репарації після Другої світової, як передбачення майбутнього: компенсації постраждалим Дмитро Зенкін 20.11.2024 00:50
- Що робити під час обшуку? Сергій Моргун 19.11.2024 19:14
-
Віктор Ющенко та партнери відчужили право на видобуток газу на Полтавщині
Бізнес 144904
-
"Ситуація критична". У Кривому Розі 110 000 жителів залишаються без опалення
Бізнес 21131
-
Що вигідно банку – невигідно клієнту. Які наслідки відмови Monobank від Mastercard
Фінанси 7763
-
Як тренування в спортзалі можуть нашкодити: помилки початківців
Життя 7628
-
Найбільший роботодавець і платник податків Херсонської області збанкрутував через війну
Бізнес 5923