Что есть SOC?
Разумеется, SOC – это аббревиатура и ничего общего с соком не имеет. За первыми буквами скрываются слова Security Operations Center, что в переводе с английского означает «центр операций безопасности». Однако такой дословный перевод недостаточно точно раскрывает специфику работы этого центра, поэтому в русскоязычной литературе SOC принято называть ситуационным центром информационной безопасности.
Кто там работает?
Если рассматривать центр с точки зрения организационной структуры, то SOC – это структурное подразделение, сотрудники которого занимаются мониторингом работы систем защиты информации и реагируют на инциденты информационной безопасности. Этот мониторинг осуществляется непрерывно и реализуется не только посредством специалистов информационной безопасности, но и с применением сложных технических систем, за показателями которых следят специалисты.
Зачем нужен SOC и люди в нем?
SOC нужны для того, чтобы в компании могли быстро обнаружить, что в системе происходят аномальные события, и остановить реализацию негативных сценариев в соответствии с заранее согласованным SLA (Service Level Agreement, соглашение о качестве оказываемых услуг).
Люди в SOC нужны, чтобы отличить ложное срабатывание защитного средства от настоящего, а также для анализа, не являются ли несвязанные между собой сообщения от средств защиты звеньями одной цепи. Для оценки и анализа происходящих событий сотрудники используют целый ряд специализированных программ:
- SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности);
- IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности);
- SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты);
- SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству).
Как работают эти системы, мы подробно рассмотрим в будущих публикациях.
Виды SOC
Глобально все SOC можно разделить на два вида – внутренние и внешние.
Внутренний SOC – это центр, в котором работают сотрудники компании и лишь часть процессов может быть передана на аутсорс. Внешний центр – это своеобразная услуга, которую предоставляют крупным компаниям подрядчики, берущие на себя все функции по обеспечению работоспособности SOC.
В каких компаниях есть SOC
Создание центра, покупка специализированного программного обеспечения и поиск квалифицированных кадров – дело очень затратное, поэтому такие центры создаются только в очень крупных компаниях, где это, во-первых, оправданно с точки зрения затрат, а во-вторых, подкреплено риском высоких потерь при условии реализации рисков информационной безопасности.