Центр управления безопасностью как услуга. Как это работает?
В эпоху цифровой экономики, в мире высокоскоростного интернета и мобильных устройств недостаточно просто установить инструменты защиты и закрыть доступ к сайтам из черного списка. Работу механизмов кибербезопасности необходимо постоянно контролировать, иначе принятые меры не только не укрепят защиту, но и создадут опасную иллюзию защищенности. Эту задачу способны решить интеллектуальные системы, регистрирующие и анализирующие инциденты, аномалии и действия пользователей, такие как SOC.
Задача центра управления безопасностью (Security Operations Center, SOC) фиксировать и предотвращать атаки и инциденты, повышая качество и уровень информационной безопасности. SOC объединяет технологии, процессы и людей, обладающих специфическим опытом и знаниями.
SOC как сервис
Хотя построение собственного Центра SOC вполне возможно, такое решение оказывается целесообразным для ограниченного круга крупных предприятий. Это связано с высокой стоимостью построения, эксплуатации и развития решения и необходимостью содержать штат дефицитных и высокооплачиваемых аналитиков, способных круглосуточно обрабатывать информацию. Во всем мире большинство потребителей предпочитает подключение к существующим центрам SOC.
Инфосекьюрити SOC (ISOC) компании Softline - это центр обеспечения безопасности, которым могут пользоваться наши заказчики. События безопасности доставляются из инфраструктуры заказчика в ISOC, где происходит их анализ для выявления инцидентов и запуска систем реагирования. Круглосуточный мониторинг безопасности; расширенные консультации и онлайн-анализ хостов позволяют нам обнаруживать причины инцидента и устранять их. Мы не просто информируем клиента об опасности, а выполняем полный спектр работ по расследованию и ликвидации угроз.
Почему ISOC?
Технологии. В основе ISOC лежит open source и ряд собственных разработок. Решение постоянно развивается в соответствии с актуальными угрозами.
Процессы. ISOC реализует тщательно разработанные и отлаженные процессы управления событиями безопасности и умеет работать с более чем 70 тысячами источников событий.
Люди. В нашей команде есть аналитики, группа мониторинга, реагирующая на инциденты, и разработчики, постоянно совершенствующие компоненты SOC. Команда – один из наиболее серьезных ресурсов, обеспечивающих высокую эффективность ISOC компании Softline.
Что происходит в процессе построения собственного SOCa?
Руководитель подписывает бюджет, айтишники начинают генерировать продукт, бюджеты на ИБ раздуваются до умопомрачительных размеров. В
И вот система построена. И тут внезапно выясняется, что за фасадом высокотехнологичного решения скрывается нечто несуразное. Часть важных опций – отсутствует. Потому что платформу выбрали неверно, и она имеет ряд существенных ограничений. Другая часть возможностей работает не так, как хотелось бы. Бизнес-задачи не решаются.
Увлечение «своими SOCами» сродни тяги к ЦОДам или «эксклюзивным» сайтам на уникальной CMS. Большинство потребителей предпочитает внедрять готовые решения, настроенные под свой бизнес, благодаря их адаптивности, и, конечно же, меньшей стоимости.
Самый важный аспект, нивелирующий попытки самостоятельного «сокостроения» – отсутствие слаженной, опытной команды. SOC – это не только технические средства сбора информации и мониторинга процессов в режиме реального времени. Это еще и штат аналитиков, способных круглосуточно обрабатывать информацию. Если любой компонент, от аналитика до модуля мониторинга персонала, выкинуть из SOC, то это уже будет совсем не то. Например, SIEM, или дорогущий антивирус. Вся эффективность решения заключена в совместных усилиях программных средств и людей, их курирующих.
Мы предусмотрели два пакета: Базовый и Расширенный. В них входит подключение к облаку, организация доставки событий безопасности из инфраструктуры заказчика в ISOC; настройка правил выявления инцидентов; настройка системы автоматизации реагирования; круглосуточный мониторинг безопасности; расширенные консультации и онлайн-анализ хостов. А также оперативная реакция специалистов – обнаружение причины инцидента и ее устранение. Мы не просто информируем клиента, а выполняем полный спектр работ по расследованию и ликвидации угроз.
В Базовом пакете предусмотрено 6 основных типов поддерживаемых устройств, а в расширенном – 35. Их количество постоянно растет по мере готовности коннекторов.
Один из наших клиентов – компания Plazius
Заказчик разрабатывает систему мобильных платежей и платформу для цифрового маркетинга. В сжатые сроки специалисты Softline развернули пилотный проект. При этом все установки и настройки выполнялись на работающей системе заказчика.
Слаженная работа команды обеспечила непрерывность бизнеса и не допустила сбоев или простоев в работе. После базовых установок и была проведена работа по адаптации ISOC под индивидуальные нужды компании. Благодаря анализу собранных данных, кроме стандартных источников событий, мы добавили специализированные, которые учитывают особенности процессов клиента.
Приемочные испытания продемонстрировали соответствие системы изначальным требованиям заказчика.
Стоит отметить, высокую финансовую эффективность проекта. Компания Plazius избежала участия в утомительном процессе поиска и найма дорогостоящих специалистов себе в штат. На данный момент все задачи и обязанности взяла на себя команда сопровождения ISOCа. Учитывая, объем затрат на оплату труда и сопутствующие расходы на создание отдела информационной безопасности, воспользоваться услугами компании-подрядчика - существенно дешевле.