КТО ТАКОЙ АНАЛИТИК SOC
Аналитик SOC – человек, занимающийся анализом событий, выявлением и реагированием на инциденты ИБ.
Существует два основных сценария мониторинга событий ИБ: Alerting и Hunting.
Alerting – метод, при котором поиск признаков различных атак осуществляется по разработанным правилам. Основную задачу по выявлению осуществляют средства защиты информации (СЗИ) либо SIEM. Результатом работы систем является событие о возможном инциденте ИБ с определенной точностью – подозрение на инцидент ИБ. Оно требует ручной обработки аналитиком SOC с целью подтверждения или опровержения конкретного события.
Hunting – метод анализа событий путем выявления нетипичной активности в работе определенных информационных систем, сетевом трафике и прочих событиях, обрабатываемых при мониторинге. Осуществляется преимущественно «вручную» опытными специалистами. Основная цель – выявление инцидентов ИБ, которые не могут определить текущие средства защиты информации (СЗИ) в автоматическом режиме.
При выявлении инцидента ИБ аналитик осуществляет его классификацию и регистрацию в системе учета. Процесс реагирования в общем случае преследует цели:
- подтвердить или опровергнуть факт инцидента ИБ;
- осуществить сдерживающие мероприятия: отключение хостов от сети, ограничение доступа атакующих к системам и прочее;
- собрать подробную информацию об инциденте, определить все источники и цели;
- устранить инцидент ИБ;
- определить степень влияния инцидента ИБ на затронутые бизнес-процессы;
- составить отчетность по инциденту ИБ;
- сформировать перечень рекомендаций по исключению подобных инцидентов в будущем и принять участие в их реализации.
Автор: Максим Павлунин, Angara Professional Assistance
Источник BIS Journal