ЦОУ ИБ. Мнение эксперта: Денис Батранков
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
Центр управления безопасностью (SOC) предоставляет необходимые ресурсы для управления безопасностью корпоративной сети из единой точки и в реальном времени. Под ресурсами мы понимаем и утилиты, и инфраструктуру, и самую главную компоненту SOC: профессионалов, которые там находятся круглосуточно.
Перед SOC ставятся следующие задачи:
- сбор событий информационной безопасности вне зависимости от производителя средства защиты, зачастую в формате, пригодном для представления в суд;
- просмотр, анализ и реагирование на события;
- расследование инцидентов и предотвращение аналогичных инцидентов в будущем;
- прием заявок от пользователей корпоративной сети и их исполнение;
- решение текущих задач согласно политике ИБ, например, ежедневное сканирование сети или создание отчетов для руководства;
- внесение изменений в политики средств защиты сети.
Нельзя ставить перед SOC задачу только сбора информации и анализа собранных событий. Ведь про то, что началась эпидемия очередного червя Conficker, вы узнаете просто включив телевизор. А вот чтобы узнать, где он в вашей сети, и затем начать как-то защищаться, нужно иметь соответствующую инфраструктуру. Нужно иметь возможность удаленно перенастраивать системы защиты для предотвращения инцидентов безопасности и распространения угроз в сети.
Очень распространены SOC у интернациональных компаний, в которых сети разбросаны по всему миру и нужно иметь единый центр управления вне зависимости от того, где находится защищаемая сеть: в Австралии, Америке или Европе.
Если у компании нет своего SOC, то ей выгодно взять в аренду инфраструктуру и профессиональные команды, созданные другими компаниями, поскольку современные сетевые технологии позволяют реализовать SOC на любом удалении от реально защищаемых сетей.
Следующим поколением стали так называемые Virtual SOC, где сотрудники безопасности компании могут следить и управлять за безопасностью сами, хотя утилиты и инфраструктура расположены у поставщика услуги. По сути это Web-приложение, которое позволяет выполнять те же операции, что и в реальном SOC, но для этого нужен лишь браузер, который, в свою очередь, можно запустить даже на КПК. Пример такого приложения доступен через https://portal.mss.iss.net.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Основным преимуществом SOC является то, что вы узнаете о очередном инциденте в своей компании сами, а не из телевидения и газет. Недавняя эпидемия Conficker показала это. Компании узнали о проблемах с безопасностью из новостей. Лечить системы от этого сетевого червя они начали, когда сетевое оборудование уже перестало выдерживать объем генерируемого им трафика.
Вообще централизованное управление безопасностью устройствами любого производителя – мечта любого ИТ-специалиста. Современное состояние ИТ в компаниях предполагает наличие разного оборудования, причем исправить это уже невозможно и приходится иметь несколько разных систем управления, которые хотелось бы и коррелировать друг с другом (впрочем это могла бы делать система SIEM), в том числе и управлять ими.
И наконец, SOC устраняет типичную головную боль руководителя – кто же будет следить за безопасностью в вашей сети. Ведь очень часто услуга по удаленному управлению безопасностью включает в себя еще и гарантированную защиту – ответственность за каждую пропущенную атаку. Например, компания IBM платит штрафы до 50 тыс. в таких случаях.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
Собственный центр нужно создавать при нежелании выносить информацию о своих событиях безопасности и инцидентах наружу. В тех странах, где законодательно требуется рассказывать о своих инцидентах, компании любят использовать аутсорсинг, поскольку за все эти задачи, включая сами инциденты, несет ответственность аутсорсер. Собственный SOC предполагает значительные затраты, которые могут не окупиться. Профессиональных сотрудников трудно найти, их нужно постоянно обучать новым тенденциям и технологиям, и они норовят все время уволиться, например, устав однажды просто читать журналы. Использование арендованного центра управления снижает CapEx, но увеличивает OpEx. Очень часто это выгодно, поэтому компании с удовольствием этим пользуются.