Что такое SOC в информационной безопасности
Что такое SOC
Security Operations Center (SOC) — это центр мониторинга и безопасности, в котором осуществляется мониторинг, обнаружение, анализ и реагирование на инциденты ИБ в реальном времени. SOC — это объединение людей, процессов и технологий для непрерывного мониторинга информационной безопасности организации.
На текущий момент в РФ мы видим 2 способа организации SOC: внутренний и внешний.
Внутренний SOC — отдел/департамент строится внутри организации. При этом набирается персонал, выстраивается стратегия развития, создаются процессы, подготавливаются все нормативные документы.
Внешний SOC — это покупка уже всего готового. Услуга включает в себя как предоставление программного обеспечения мониторинга, подключение необходимых источников, так и выстраивание процессов по мониторингу и реагированию (примеры компаний-вендоров: Kaspersky, Солар, Group-IB, BI.ZONE).
Давайте рассмотрим несколько основных фреймворков при построении SOC.
Классический вариант выглядит так:
А вот расширенный вариант от коллег из ОАЭ, которые написали runbook по кибербезопасности и построению SOC для всей страны:
С полной версией документа, описывающего данный фреймворк, можно ознакомиться тут.
Рассмотрите внимательно оба варианта и давайте сразу применять. Мы используем классический фреймворк и дальше в статье будем описывать работу SOC через 3 призмы: люди, процессы и технологии. Приступим.
Рассмотрите внимательно оба варианта и давайте сразу применять. Мы используем классический фреймворк и дальше в статье будем описывать работу SOC через 3 призмы: люди, процессы и технологии. Приступим.
Специалисты в SOC
Люди занимают центральное место при организации SOC-отдела. Давайте обсудим, какие основные роли чаще всего выделяют в SOC и чем занимается аналитик SOC. Ниже каждая роль и уровни SOC аналитика описаны с точки зрения функций, которые она выполняет.
Аналитики безопасности
Мониторинг событий: анализ и мониторинг событий из SIEM, журналов аудита, системы обнаружения вторжений и других источников для выявления подозрительных активностей.
Исследование угроз: анализ потенциальных угроз, определение природы атак, изучение новых уязвимостей и тактик хакеров.
Углублённый анализ инцидентов: проведение глубокого технического анализа инцидентов безопасности для понимания методов атак и последствий.
Исследование угроз: анализ потенциальных угроз, определение природы атак, изучение новых уязвимостей и тактик хакеров.
Углублённый анализ инцидентов: проведение глубокого технического анализа инцидентов безопасности для понимания методов атак и последствий.
Эксперты по реагированию на инциденты
Incident response: реагирование на обнаруженные инциденты безопасности, принятие мер для остановки атаки и восстановления системы.
Изоляция и ликвидация угроз: определение и изоляция заражённых устройств или сетей, ликвидация вредоносных программ и устранение уязвимостей.
Incident management: координация действий и коммуникация внутри команды при реагировании на инциденты ИБ.
Изоляция и ликвидация угроз: определение и изоляция заражённых устройств или сетей, ликвидация вредоносных программ и устранение уязвимостей.
Incident management: координация действий и коммуникация внутри команды при реагировании на инциденты ИБ.
Администраторы систем и сетей
Настройка и обслуживание систем безопасности: установка и настройка брандмауэров, антивирусов, систем мониторинга безопасности и других инструментов.
Управление уязвимостями: регулярное сканирование на уязвимости, патч-менеджмент и обновление систем для минимизации рисков.
Управление уязвимостями: регулярное сканирование на уязвимости, патч-менеджмент и обновление систем для минимизации рисков.
Эксперты по тестированию на проникновение
Проведение тестирований на проникновение: проведение анализа инфраструктуры, поиск уязвимых мест в инфраструктуре, подготовка аналитических отчётов для улучшения средств защиты и процессов мониторинга и реагирования.
Процессы SOC
В этом разделе приведём перечень основных процессов, которые используются в SOC для обеспечения информационной безопасности в организации.
1
Мониторинг и обнаружение инцидентов ИБ. Непрерывный мониторинг сетевого трафика, журналов событий, активности пользователей для обнаружения аномалий и потенциальных угроз.
2
Анализ и классификация инцидентов ИБ. Анализ угроз, классификация и определение приоритета для разработки стратегий по предотвращению и реагированию на инциденты безопасности.
3
Реагирование на инциденты ИБ. Выполнение действий и процедур по минимизации угрозы для инфраструктуры организации.
4
Управление инцидентами. Регистрация, классификация, расследование и устранение инцидентов безопасности с учётом их приоритета и серьёзности.
5
Процесс постанализа инцидентов. Проведение анализа разобранных инцидентов для выявления недостатков в процессах, технологиях и подходах к разбору инцидентов.
6
Процесс обработки ложных срабатываний. Проведение дополнительных работ для минимизации ложных срабатываний, добавление исключений, внесение корректировок в настройки СЗИ, изменение правил корреляции.
7
Процесс нарушения политик. Описывает порядок действий и применения мер дисциплинарной и уголовной ответственности, если инцидент ИБ произошёл по вине сотрудника компании.
8
Мониторинг угроз и уязвимостей. Постоянное отслеживание новых угроз и уязвимостей для их раннего обнаружения и принятия соответствующих мер по защите.
9
Сбор и анализ угроз из разведки. Мониторинг и анализ информации о новых угрозах и методах атак из различных источников.
10
Процесс разработки и настройки сценариев. Разработка правил корреляции, управление созданными правилами для их актуализации и внесения исключений.
11
Процесс управления источниками событий. Подключение новых источников, контроль получаемой информации, валидация источников, нормализация получаемых событий.
12
Управление изменениями средств защиты. Контроль и учёт всех изменений СЗИ в инфраструктуре и приложениях для минимизации рисков, связанных с изменениями.
13
Управление уязвимостями. Сканирование на предмет уязвимостей, оценка их серьёзности и разработка планов устранения уязвимостей.
14
Управление доступом. Контроль и управление правами доступа пользователей к данным и ресурсам, включая мониторинг привилегированных учётных записей.
15
Процесс управления сбоями систем SOC. Сопровождение средств защиты информации и их администрирование.
16
Аудит и соответствие стандартам. Проведение регулярных аудитов безопасности, проверка соответствия стандартам безопасности и требованиям законодательства.
17
Управление рисками. Оценка рисков и разработка стратегий их минимизации или устранения с целью обеспечения безопасности информации.
18
Информационная безопасность персонала. Обучение и тренинг персонала по вопросам безопасности, создание правил и политик безопасности.
19
Разработка стратегий безопасности. Планирование и разработка стратегий и тактик для защиты информации и предотвращения угроз.
20
Сбор и анализ угроз из разведки. Мониторинг и анализ информации о новых угрозах и методах атак из различных источников.
21
Системы журналирования и хранения данных. Создание, хранение и анализ данных журналирования событий для последующего расследования и улучшения системы безопасности.
22
Сотрудничество с внешними поставщиками и сторонними сервисами. Взаимодействие с внешними службами по обмену информацией о новых угрозах и обсуждению лучших практик безопасности.
23
Процесс отчётности и метрик. Подготовка отчётов, дашбордов, метрик эффективности, показывающих текущее положение вещей в SOC.
24
Процесс управления знанием. Подготовка playbook, описание процедур, ведение базы знаний по всем описанным процессам, используемых в SOC.
25
Автоматизация процедур SOC. Разработка средств автоматизации ко всем используемым процессам в SOC.
Взаимодействие с IT
Есть ещё ряд процессов, которыми активно пользуется SOC, но их владельцем в организации является IT. Их описание не относится к целям этого курса, тем не менее важно их назвать.
1. Управление изменениями
Контроль и учёт всех изменений в инфраструктуре и приложениях для минимизации рисков, связанных с изменениями.
2. Взаимодействие через Service desk / Service manager
Управление задачами через единую систему управления обращениями в IT.
3. Реагирование на инциденты совместно с IT
Взаимодействие IT и подразделений ИБ в случае возникновения инцидентов ИБ по описанным процедурам.
1. Управление изменениями
Контроль и учёт всех изменений в инфраструктуре и приложениях для минимизации рисков, связанных с изменениями.
2. Взаимодействие через Service desk / Service manager
Управление задачами через единую систему управления обращениями в IT.
3. Реагирование на инциденты совместно с IT
Взаимодействие IT и подразделений ИБ в случае возникновения инцидентов ИБ по описанным процедурам.
Мы познакомились с перечнем процессов SOC, которые могут использоваться в организациях. Все эти процессы тесно переплетаются с технологиями, которые есть в SOC. Выбор оптимального набора процессов для организации будет зависеть от стека доступных и реализуемых технологий.
Технологии SOC
- SIEM (Security Information and Event Management): платформы для сбора, анализа и управления данными безопасности из различных источников, позволяющие выявлять угрозы и аномалии.
- IDS/IPS (Intrusion Detection / Prevention Systems): системы обнаружения и предотвращения вторжений, которые мониторят сетевой трафик для выявления и блокирования потенциальных атак.
- Firewalls (Next-Generation Firewalls): защитные механизмы, контролирующие трафик, основанные на правилах, чтобы предотвратить несанкционированный доступ и атаки.
- Endpoint Security Solutions: инструменты для защиты устройств конечных пользователей (компьютеры, мобильные устройства) от угроз.
- SOAR (Security Orchestration, Automation, and Response): платформы для автоматизации процессов безопасности, интеграции систем и оркестрации действий аналитиков.
- Network Traffic Analysis Tools: инструменты для мониторинга и анализа сетевого трафика с целью выявления аномалий и угроз.
- Incident Response and Forensics Tools: инструменты для реагирования на инциденты безопасности и проведения расследований после инцидента.
- DLP (Data Loss Prevention): системы для предотвращения утечки конфиденциальной информации из сети, мониторинга и контроля передачи данных.
- UEBA (User and Entity Behavior Analytics): анализ поведения пользователей и сущностей для выявления аномальных действий, необычных паттернов или потенциальных угроз.
- Vulnerability Scanning Tools: инструменты для поиска уязвимостей в сетевых системах, приложениях и устройствах для их последующего исправления.
- Threat Intelligence Platforms: платформы для получения информации о существующих и новых угрозах из различных источников для более эффективной защиты.
- Cloud Security Solutions: инструменты и сервисы для защиты информации в облачных средах.
- AI/ML in Security (Artificial Intelligence / Machine Learning in Security): использование искусственного интеллекта и машинного обучения для анализа данных безопасности и выявления угроз.
- Encryption and Cryptography Tools: инструменты для шифрования данных для защиты их конфиденциальности.
- Identity and Access Management (IAM) Solutions: инструменты для управления доступом пользователей к ресурсам и информации.
- Mobile Device Management (MDM) and Mobile Security: инструменты для управления мобильными устройствами и обеспечения их безопасности.
- Secure Web Gateways (SWG): средства защиты, контролирующие доступ пользователей к веб-ресурсам.
- Email Security Solutions: инструменты для защиты электронной почты от спама, вредоносных вложений и фишинга.
- Security Awareness Training Platforms: платформы для обучения персонала правилам и методам безопасности.
- Application Security Testing Tools (SAST, DAST, IAST): инструменты для тестирования безопасности приложений на предмет уязвимостей.
- Security Compliance and Governance Tools: инструменты для соблюдения нормативов безопасности и управления ими.
- Threat Hunting Platforms: платформы для проактивного поиска потенциальных угроз в сети.
- Secure Remote Access Solutions: безопасные средства удалённого доступа к корпоративным ресурсам.
- Zero Trust Security Solutions: архитектурные решения, предполагающие отсутствие доверия к любой части сети без проверки.
- Dark Web Monitoring Tools: инструменты для мониторинга тёмной части интернета на предмет угроз и утечек информации.
- Physical Security Systems Integration with IT Security: интеграция систем физической безопасности с системами информационной безопасности.
Blue Team, Red Team, Purple Team в жизни SOC
Blue Team, Red Team и Purple Team — это одна из концепций, которая используется в современных SOC и объединяет описанные выше процессы, технологии и людей.
Blue Team — это команда, ответственная за защиту информационных систем и сетей организации.
Blue Team — это команда, ответственная за защиту информационных систем и сетей организации.
Цели: предотвращение, обнаружение и реагирование на киберугрозы и атаки.
Функции:
Функции:
- 1-я линия реагирования отвечает за мониторинг и первичный анализ всех источников выявления инцидентов, аномалий и подозрений на инциденты.
- 2-я линия реагирования отвечает за классификацию и приоритизацию выявленных инцидентов.
- 3-я линия реагирования отвечает за детальный анализ инцидентов, локализацию угрозы и минимизацию потерь для организации.
- Управление системами безопасности, такими как фаерволы, IDS/IPS, антивирусы и другие.
- Разработка и реализация политик безопасности, обучение сотрудников, поддержка соответствия стандартам безопасности.
Red Team — это команда, имитирующая атакующих злоумышленников с целью проверки и оценки защиты систем.
Цели: обнаружить уязвимости в системах, исследовать и преодолевать защитные меры, моделировать реальные атаки для проверки реакции Blue Team.
Функции:
Функции:
- Проведение пентестов (тестирование на проникновение), атак изнутри (internal testing), эксплуатация уязвимостей.
- Подготовка отчётов об обнаруженных уязвимостях и рекомендаций по улучшению защиты.
- Моделирование реальных кибератак для оценки готовности организации к угрозам.
Purple Team — это команда, которая объединяет усилия Blue Team и Red Team для совместной работы и улучшения защиты организации.
Цели: создание сотрудничества и обмен знаниями между Blue Team и Red Team для улучшения общей защиты.
Функции:
Функции:
- Совместное планирование и выполнение учений, тренировок и симуляций атак.
- Обмен информацией и опытом между командами для улучшения действий Blue Team на основе уязвимостей, обнаруженных Red Team.
Операционная модель SOC
Описанные концепции, технологии и процессы покрывают многообразие различных вариантов построения SOC. В завершение статьи давайте рассмотрим один реальный пример структуры SOC-отдела.
Итоги
- Современные фреймворки описывают SOC через категории: люди, процессы, технологии, сервисы, бизнес.
- SOC-функции в разных компаниях могут выполнять аналитики по безопасности, эксперты по реагированию на инциденты, администраторы систем и сетей, эксперты по тестированию на проникновение.
- Компании и специалисты выбирают технологии и процессы SOC из обширного списка, учитывая специфику компании.
- Концепция Red, Blue, Purple teams создаёт ситуацию, когда внутри команды, обеспечивающей безопасность, есть нападающие, защитники и неопределившиеся, играющие в те и в другие ворота. Данный подход способен дать преимущества в обнаружении слабых мест системы.
Курс Аналитик SOC в Inseca
Освойте для себя SOC за 3 месяца и получите навыки, необходимые для выявления киберугроз и оперативного реагирования на инциденты информационной безопасности. Курс включает практику в реальных кейсах. Подходит Аналитикам 1 линии для расширения, систематизации знаний, чтобы перейти на 2 и 3 линию, а также системным администраторам, инженерам сетей, чтобы перейти на должность SOC-аналитика.
