ЦОУ ИБ. Мнение эксперта: Алексей Лукацкий
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
Когда сеть организации подвергается атаке вирусов, червей или распределенной атаке типа «отказ в обслуживании» (DDoS), издержки могут оказаться весьма значительными. Это упущенные прибыли. Это недовольные клиенты. Это разочарованные сотрудники. Это подмоченная репутация. Но при этом у многих организаций нет адекватных программ и процедур обеспечения безопасности для обработки таких инцидентов. Как правило, этим организациям также не хватает профессионального опыта и инструментов для устранения последствий нарушений информационной безопасности. Организации простодушно рассчитывают на то, что такие атаки их не коснутся. Такая шаткая вера – это скорее принятие желаемого за действительное, а не реалистичный взгляд на вещи.
Несмотря на это организации хотят избежать потери и порчи своих данных, в том числе и важных объектов интеллектуальной собственности. Они хотят защищать критически важные ресурсы. Они хотят «оставаться на связи», поддерживать работоспособность важных сервисов, защищать деловые операции от убытков и задержек и обеспечивать обслуживание клиентов. Существенное нарушение безопасности сети может поставить под угрозу реализацию всех этих задач.
Для решения этих задач центр SOC должен обеспечить:
- управление следующими объектами и мониторинг их состояния в режиме реального времени: виртуальные частные сети, межсетевые экраны, системы обнаружения и предотвращения вторжений, системы отражения DDoS-атак, решения для борьбы с вирусами, шпионскими программами и другим вредоносным кодом, обновления ПО, персональные и портативные компьютеры, серверы и другие продукты, имеющие отношение к сфере безопасности;
- анализ данных журналов безопасности, сведений об уязвимостях, информации о ресурсах и сигналов тревоги;
- немедленное принятие ответных мер при возникновении потенциальных угроз нарушения безопасности и быстрое разрешение проблемных ситуаций в сфере безопасности;
- мониторинг состояния безопасности клиентов в режиме реального времени;
- защиту организации от возникающих сетевых атак;
- защиту инвестиций организаций в технологии обеспечения информационной безопасности.
Для успешного решения этих задач центру SOC необходимо выполнять мониторинг сетей клиентов, отслеживая возникающие угрозы безопасности. Эта функция, так называемый мониторинг безопасности для оценки риска, подразумевает выполнение следующих действий.
- Получение подробного обзора состояния сети путем сбора данных, в частности, результатов опроса по протоколу SNMP, сообщений SNMP-trap, syslog-сообщений и данных NetFlow.
- Применение приемов и инструментов интеллектуального анализа и корреляции для выявления инцидентов в сфере безопасности на базе собранной информации.
- Тщательный мониторинг возникающих угроз и единые правила реакции на эти угрозы в сети коллективного пользования наряду с применением индивидуальной политики безопасности для каждого клиента.
- Применение сложной методики анализа трафика для обнаружения аномалий, потенциально связанных с инцидентами в сфере безопасности.
- Привлечение экспертов по безопасности для анализа и помощи в разрешении инцидентов в сфере безопасности.
- Непрерывный мониторинг уязвимостей и нарушений в сфере безопасности; проведение таких мероприятий на самом раннем этапе, выявление инцидентов в сфере информационной безопасности в самом начале позволяет устранить угрозу до того момента, как будет нанесен реальный ущерб.
- Периодическое сканирование вашей сети и сетей ваших клиентов для проверки соответствия мер обеспечения информационной безопасности принятым политикам безопасности и условиям договоров об уровне обслуживания (SLA).
- Мониторинг сети для отслеживания сигналов тревоги, контроль и тестирование элементов сети.
- Удаленное обслуживание, конфигурирование и резервное копирование файлов для оперативного восстановления работоспособности сервисов.
- Модернизация устройств обеспечения безопасности с применением протестированного ПО, которое содержит исправления, устраняющие уязвимости, текущие обновления и новые функции.
- Сбор данных об использовании ресурсов клиентами для биллинга.
- Помощь в генерировании отчетов о соблюдении нормативных требований для аудиторов с использованием обширного хранилища собранных данных.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Фактически скорость реакции – это основное преимущество SOC. Компьютерные черви способны распространяться в сети Интернет в течение минут или даже секунд, выводить из строя сети ваших клиентов или замедлять передачу трафика до черепашьих скоростей. Поэтому для выявления таких атак и их отражения еще до того, как они смогут причинить существенный ущерб, важна каждая секунда. SOC предназначен для решения именно таких задач.
На практике SOC выполняет мониторинг состояния безопасности сети и мгновенно реагирует на возникновение критических ситуаций в сфере безопасности, проблемы и появление новых уязвимостей.