ЦОУ ИБ. Мнение эксперта: Наталья Зосимовская
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
In-house Security Operations Centre может выполнять довольно широкий и разнообразный набор функций в организации. Это может быть мониторинг и управление инцидентами ИБ, управление уязвимостями, оценка защищенности, управление соответствием тому или ному стандарту и т. д. Все функции, которые будут выполняться данным подразделением напрямую, зависят от тех целей и задач, которые будут возложены на него при проектировании и последующем развитии. Но, как показывает практика, большинство компаний, создающих подобные Центры, возлагают на них в первую очередь функции мониторинга происходящего в сети и управления инцидентами ИБ.
Если говорить в общем, то выполняемые SOC функции можно разделить на два основных типа: реактивные и проактивные. К реактивным функциям относятся все те действия, которые предпринимаются для выявления, обработки, реакции на инцидент. Получая сообщения от различных компонентов информационной системы об уязвимостях, атаках, сканированиях, злоупотреблениях теми или иными сетевыми ресурсами, неавторизованных доступах к данным и информационным активам, сотрудники SOC анализируют входящую информацию, определяют, что на самом деле происходит, и исходя из этого выполняют соответствующие действия для минимизации возможного ущерба и решения проблем. Если говорить о проактивных функциях, позволяющих снизить риски возникновения инцидентов в будущем, то корпоративный SOC может проводить тренинги по повышению осведомленности и консультирование различных сотрудников по вопросам ИБ, предлагать помощь в поддержке конфигураций, написании политик ИБ и т. д.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Главное и основное преимущество – это значительное сокращение времени реакции на инциденты ИБ (от обнаружения до контрмер) за счет автоматизации и централизации процесса сбора и обработки событий ИБ, корреляции событий и визуализации происходящего, формализации процесса управления инцидентами. В результате повышается уровень контроля защищенности активов, минимизируются возможные риски. Сбор статистического материала и результаты анализа инцидентов дают возможность принимать обоснованные решения по усовершенствованию обеспечения ИБ в организации. Также не стоит забывать про соответствие требованиям регуляторов и стандартам в области обеспечения ИБ. Большинство из них содержат требования к проведению постоянного мониторинга событий и управлению инцидентами.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
Изначально надо понимать, что создание корпоративного SOC – это большие капитальные и средние временные затраты. Помимо этого для эффективной работы Центра необходим штат квалифицированных специалистов, работающих в режиме 24*7. В сегодняшней ситуации нехватки кадров собрать подобную команду может быть непросто. Поэтому можно сказать, что собственный SOC в большей степени актуален для крупных организаций с большой и распределенной инфраструктурой, требующей централизованного контроля и не желающих передавать функции мониторинга на аутсорсинг.