Что такое центр управления кибербезопасностью (SOC) и зачем он нужен?

Взломы и массовые утечки чувствительных данных (например, учетные записи пользователей, номера банковских карт) являются трендом последних лет во всем мире. При этом, по статистике Cisco, на выявление взлома сети у организации может уходить до полугода. 

Таким же трендом в последнее время является и понятие SOC (Security Operations Center), на который возлагаются задачи по борьбе с целевыми кибератаками. 

Итак, что же такое SOC? По сути — это Центр управления информационной безопасностью, основными задачами которого являются сбор информации о событиях, связанных с безопасностью из множества источников (операционные системы серверов и рабочих станций, сетевого оборудования, баз данных и др.), проведение её обобщения, анализа, сопоставления для выявления зависимостей и оповещение в случае выявления инцидентов информационной безопасности. На основе полученных данных персонал SOC реагирует на эти инциденты, проводит расследование причин их возникновения, планируют мероприятия по предотвращению их повторения. 

Сейчас довольно распространено мнение, что термин SOC эквивалентен термину SIEM (Security Information and Event Management) с "довеском" в лице администраторов, которые "смотрят в консоль". Покупаем SIEM получше, добавляем администраторам функциональных обязанностей и дело в шляпе? Это мнение в корне ошибочно. Никто не отрицает, что SIEM был и пока остается важнейшим компонентом SOC. Но SOC — это, прежде всего, комплекс программно-технических средств, квалифицированного персонала и дежурной смены с выверенными процессами взаимодействия, с точно выписанными параметрами обслуживания (SLA, Service Layer Agreement). Причём, ни одним из компонентов нельзя пренебречь или сделать "перекос" в какую-либо одну сторону. Только всё в комплексе.

Для того, чтобы сократить разрыв между атакующими и командой безопасников (безопасность по объективным причинам всегда находится в положении догоняющих) в SOC необходимо создать эффективную структуру киберразведки. Не секрет, что известный всем интернет — это лишь верхушка айсберга в глобальной паутине. Есть не менее разветвлённые и сложные "темные сети", так называемые DeepWeb, Dark Net. Вот там-то, в основном, и "пасутся" все хакеры-одиночки и хакерские группировки. Именно в этих слоях всемирной сети покупаются и продаются эксплойты, краденные базы данных и учётные записи, принимаются заказы на разработку вредоносного кода и организацию кибератак. Соответственно, что бы киберразведка была действительно эффективной, работать ей нужно будет именно в "темных сетях". Это потребует квалифицированных и обладающих очень специфическими навыками специалистов.

Если строить Центр управления информационной безопасностью — нужно помнить и о других, не менее важных задачах: администрирование средств обеспечения информационной безопасностью, постоянный контроль за уязвимостью периметра и в подконтрольных системах внутри сети, контроль привилегированных пользователей и многие другие. 

"Программно-технических средств по обеспечению кибербезопасности на рынке достаточно. Но специалистов, имеющих профильную экспертизу, найти уже сложно. А еще ведь нужно обеспечить работу системы в режиме 24х7. Всё это ставит под вопрос возможность построить SOC в каждой организации. В финансовом плане, это может быть неподъёмная задача даже для крупного, по меркам Украины, бизнеса", — считает  специалист и технический директор компании "Октава Киберзахист" Алексей Швачка.

Но всё-таки, строить такого рода сложные системы нужно. Особенно, эта задача актуальна для критических инфраструктур, органов государственного управления. Везде, где ущерб от успешной кибератаки может иметь серьёзные негативные последствия.  При этом, скорее всего, целесообразно создавать не множество отдельных систем, а выстраивать отраслевые SOC-и. Например, в финансовой сфере, в области генерации и распределения электроэнергии, в транспорте и др. 

"Выход есть и для бизнеса. Постепенно начинает формироваться рынок коммерческих SOC-ов. В данном случае речь идёт о своего рода операторских услугах по модели управляемых сервисов безопасности (MSSP, Managed Security Service Provider). Специализированные компании, для которых эксплуатация SOC является основным бизнесом, за приемлемую стоимость могут предоставить его услуги и, таким образом, "рывком" обеспечить поднятие защищенности своих клиентов на качественно новый уровень", — комментирует Алексей Швачка. 

В заключение стоит отметить, что понятие Security Operations Center в развитых странах Европы, Америки, Азии уже давно реальность. Насколько будет близким этот путь покажет время. Пока отметим лишь тот факт, что в Украине большая часть и государственных, и коммерческих организаций ещё не дозрели даже до "просто" внедрения SIEM-системы.