SOC и их роль в кибербезопасности
SOC и их роль в кибербезопасности




09:20 27.11.2017  (обновлено: 14:38 27.11.2017)   |   2906 |   InfoWorld, США

Рубрика Предприятие



Главный аналитик Gartner Сидхарт Дешпанде рассказывает о тенденциях развития центров обеспечения безопасности и дает рекомендации поставщикам услуг безопасности.

- Что понимается под центром по управлению безопасностью?

Под центром по управлению безопасностью (security operations center, SOC) мы понимаем совокупность оборудования и специалистов, работающих посменно и круглосуточно, которые призваны предотвращать, выявлять и устранять угрозы и инциденты в области кибербезопасности, а также отвечать за анализ и соблюдение требований регулирующих органов.

- Создать собственный SOC – это единственный надежный способ для предприятия организовать мониторинг безопасности?

Построение SOC – или создание в той или иной форме внутренней структуры обеспечения безопасности – долгий и сложный процесс, требующий постоянного внимания. На практике многие организации (в том числе крупные) отказываются от SOC. Они отдают предпочтение средствам мониторинга безопасности, предлагаемым, например, провайдерами сервисов управления безопасностью (managed security service provider, MSSP).

Руководители служб информационной безопасности, рассматривающие возможность построения собственных SOC, должны понимать стоимостные и кадровые последствия такого подхода. Есть масса альтернатив созданию собственного SOC, и компаниям следует изучить их наряду с различными типами моделей SOC.

- Что представляют собой типы моделей SOC?

Во-первых, это виртуальный SOC. Его черты:

  • отсутствует специально предназначенное для него оборудование;
  • члены команды работают с частичной занятостью;
  • носит реактивный характер, активизируется при выдаче критических предупреждений или при возникновении инцидентов.

Для выделенного SOC характерны:

  • выделенное оборудование;
  • специальная команда;
  • полная ориентация на собственные силы.

Распределенный, или совместно управляемый, SOC отличают:

  • полностью выделенные и частично выделенные члены команды;
  • операции, совершающиеся, как правило, пять дней в неделю в течение восьми часов;
  • управление совместно с MSSP.

Командный SOC :

  • координируется с другими SOC;
  • организует интеллектуальное противодействие угрозам, представляет информацию о ситуациях и другие экспертные сведения;
  • редко напрямую вовлечен в повседневные операции.

Во многофункциональном SOC/центре сетевых операций (network operations center, NOC):

  • специальная команда с выделенным оборудованием круглосуточно занимается не только безопасностью, но и другими важными ИТ-операциями, что позволяет сократить затраты.

Объединенный SOC :

  • в рамках одного SOC интегрирует как традиционные, так и новые функции: интеллектуальное противодействие угрозам, реагирование на компьютерные инциденты (computer incident response team, CIRT) и операционные технологии.

Помимо шести перечисленных моделей, где собственные группы информационной безопасности организации так или иначе вовлечены в деятельность SOC, есть и модели с полным аутсорсингом. В случае полного аутсорсинга поставщик услуг выстраивает SOC и осуществляет управление им при минимальном (в лучшем случае контрольном) участии клиента.

— Почему организации прибегают к SOC?

Организации выстраивают внутреннюю структуру обеспечения безопасности (пусть и с ограничениями), потому что хотят большего контроля над процессом мониторинга безопасности и реакции на происходящие события. Кроме того, им нужны дополнительные аргументы и информация при общении с регуляторами.

Стратегическое влияние проекта SOC на бизнес таково, что превращает его в критически важную инициативу для организации. Компании, решающие создать собственный SOC, выделяют на это первоначальные средства и осуществляют последующее финансирование, так как рассчитывают, что после утверждения этот проект будет реализован в срочном порядке.

- Какие основные рекомендации вы дали бы поставщикам услуг безопасности, предлагающим клиентам помощь в организации SOC и управлении им?

Сосредоточьтесь на том, чтобы обеспечить клиентам усиленный контроль безопасности. Помогите им выбрать самый подходящий из имеющихся вариантов. Осознайте, что ставка на полное самообслуживание для большинства организаций неприемлема. Позвольте заказчику планировать бюджет проекта SOC, согласовывая цены и каталог сервисов с текущими возможностями и потребностями заказчика и его готовностью к последующему развитию SOC. Акцентируйте внимание на специфичных для конкретных отраслей сценариях; помогайте клиентам учитывать уникальные для их организации параметры SOC.

- Какие рекомендации по выбору функционала SOC вы дали бы руководителям служб информационной безопасности?

Прежде чем приступать к реализации проекта SOC, тщательно сопоставьте выигрыши и затраты для его различных моделей. Сосредоточьтесь на соответствии SOC целям бизнеса. Четко сформулируйте цели и соответствующие им параметры SOC. Определите главные ценности бизнеса и важнейшие функции безопасности и только после это беритесь за дело.

Рассмотрите возможность использовать услуги MSSP с целью сокращения затрат на круглосуточное функционирование SOC и ликвидацию пробелов. С самого начала уделяйте должное внимание мотивации персонала SOC.


Теги: Информационная безопасность SOC


На ту же тему: