Операційний центр безпеки

Операцíйний центр безпéки (Security Operations Center, SOC) — централізований підрозділ установи, який вирішує питання з інформаційної та кібербезпеки на організаційному та технічному рівні. Операційний центр безпеки — це об'єкт, де корпоративні інформаційні системи (вебсайти, додатки, бази даних, центри обробки даних, сервери, активне мережеве обладнання, комп'ютери та інше кінцеве обладнання) контролюється, оцінюється та захищається.

Центр кібербезпеки в Києві

Завдання ОЦБ

Первинна функція ОЦБ — аналіз на основі поточного моніторингу подій інформаційної безпеки. Далі за пріоритетністю ідуть виявлення тривог, відповідь на інциденти безпеки та виправлення наслідків кожної відстеженої події[1].

ОЦБ об'єднує людей, процеси та технології для забезпечення обізнаності в поточній ситуації щодо інформаційної безпеки. В організації, частиною якої є ОЦБ, він розбирається з будь-якою загрозливою подією щодо інформаційної безпеки. Це включає належну ідентифікацію, аналіз, інформування, розслідування та подальше звітування. ОЦБ також веде моніторинг застосунків для виявлення можливої кібератаки чи вторгнення (тобто, події інформаційної безпеки), і визначає можливу шкоду для діяльності організації.

Одним із завдань ОЦБ є навчання та інформування користувачів, зокрема, прищеплення їм культури кібербезпеки, а також оперативне інформування про виникнення загроз та план дій на випадок кібератак. Без такої роботи з користувачами кібербезпеки може виявитися неефективною[2].

Функції ОЦБ

Для повноцінного захисту даних та ІТ-систем ОЦБ виконує наступні функції[3]:

  • проактивний нагляд за ІТ-системами та постійний аналіз поточного стану загроз;
  • розпізнання слабких місць у ІТ-безпеці та їхнє усунення;
  • централізоване управління безпеки різноманітними пристоями у системі;
  • «сигналізація» у випадку розпізнання нападів та загроз;
  • безпосередні заходи щодо захисту та/або мінізації шкоди під час кібератак;
  • проведення оцінки стану систем ІТ-безпеки;
  • технічна підтримка в усіх пов'язаних з ІТ-безпекою питаннях;
  • звітування щодо роботи ОЦБ та усіх пов'язаних з ІТ-безпекою систем.

Відмінність ОЦБ від SIEM

Часто термін ОЦБ помилково прирівнюють до поняття SIEM, яке об'єднує керування інформаційною безпекою та подіями безпеки. SIEM представлений застосунками, приладами чи послугами, він також використовується для журналювання даних та генерації звітів задля сумісності з іншими даними організації. ОЦБ в свою чергу є комплексом програмно-технічних засобів, кваліфікованого персоналу та процесів їхньої взаємодії[2]. ОЦБ також має такі завдання, як: адміністрування засобів гарантування інформаційної безпеки, постійний контроль за вразливостями в периметрі та в підконтрольних системах всередині мережі, контроль за привілейованими користувачами тощо.

Складові ОЦБ

ОЦБ — досить широке поняття, яке об'єднує такі складові, як:

Фізична

Організацію ОЦБ рекомендують проводити після ретельного планування, адже фізична безпека центру має важливу роль. Розташування ОЦБ повинно бути зручним та фунцкціональним з урахуванням параметрів освітлення та акустики. Як правило, в ОЦБ є кілька зон, зокрема, операційне приміщення, командний пункт («war room»), а також офіси керівництва. Кожна із зон в ідеалі має особливе, налаштоване під потреби облаштування, ключовими параметрами вважається комфорт, видимість, ефективність та контроль[1].

Технологічна

Зазвичай ОЦБ базуються на системі безпеки інформації та керування подіями (SIEM), яка агрегує та корелює дані з каналів безпеки, таких як мережеве відкриття та системи оцінки вразливості; системи управління, ризику та дотримання (GRC); системи оцінки та моніторингу вебсайтів, прикладних програм та сканерів баз даних; інструменти тестування проникнення; системи виявлення вторгнень (англ. Intrusion Detection System, IDS); система запобігання вторгненню (англ. Intrusion prevention system, IPS); систем управління журналами; аналіз поведінки в мережі та інтелектуальна безпека Cyber threat; бездротова система запобігання вторгненню; брандмауери, корпоративний антивірус та уніфіковане управління загрозами (англ. Unified Threat Management, UTM). Технологія SIEM створює базу даних для аналітиків безпеки для моніторингу установи.

У сфері кібербезпеки наявні і комплексні рішення, зокрема, для протидії загрозам «нульового дня» та APT-атакам. Наприклад, системи боротьби зі шкідливим програмним забезпеченням, які засновані на поведінковому аналізі, системи аналізу аномалій та динамічної сегментації мережі, системи аналізу потенційно небезпечних файлів (так звані «пісочниці») та інші[4].

Персонал

У складі ОЦБ виокремлюють керівні, інженерні, аналітичні та операційні посади. До складу ОЦБ, як правило, входять аналітики, інженери з безпеки та керівники, які повинні бути досвідченими спеціалістами зі знаннями інформаційних технологій та мереж. Вони, як правило, навчаються в області комп'ютерної інженерії, криптографії, інженерії мережі або комп'ютерної науки.

Графік роботи персоналу ОЦБ коливається від восьми годин на день, п'ять днів на тиждень (8x5) до двадцяти чотирьох годин на день, сім днів на тиждень (24x7). Зміни повинні містити щонайменше два аналітика, і обов'язки повинні бути чітко визначені. Часто йдеться про дві чи три зміни аналітиків, які працюють почергово. Вважається, що такі центри мають працювати безперервно: ОЦБ — «це насамперед комплекс програмно-технічних засобів, кваліфікованого персоналу цілодобової чергової зміни з вивіреними процесами взаємодії, з точно виписаними параметрами обслуговування»[2].

Значну важливість має командна робота: усі дії повинні бути скоординовані щодо співпраці та розподілу обов'язків, часових витрат та ефективності[1]. Кожен член команди повинен бути обізнаним з місією та стратегією. Керівник ОЦБ повинен зміцнювати команду, мотивувати її членів, утримувати фахівців та заохочувати до створення додаткової цінності для організації та самих себе.

Визначення точної кількості членів ОЦБ вважається складною задачею: часто бюджетні та організаційні обмеження заважають винайняти необхідну команду. З іншого боку, недостатнє комплектування ОЦБ загрожує подальшими втратами через порушення інформаційної безпеки. Спеціалістів підряджають також і на аутсорсингу. В Україні, як і в світі, поступово зростає ринок комерційних ОЦБ. Провайдери таких послуг, для яких експлуатація ОЦБ — основний бізнес, за оплату надають послуги інформаційної безпеки та можуть перевести інформаційну безпеку клієнтів, зокрема з обмеженим бюджетом, на якісно новий рівень[2].

Організація

Великі організації та уряди можуть керувати кількома ОЦБ для управління різними групами інформаційно-комунікаційних технологій або надання резервування у випадку, якщо один із сайтів недоступний. Роботу ОЦБ можна передавати на аутсорсинг, наприклад, за допомогою керованої служби безпеки. Термін «ОЦБ» традиційно використовувався урядами, хоча в таких центрах також є велика кількість великих корпорацій та інших організацій.

ОЦБ та мережевий операційний центр (НОК) доповнюють один одного та працюють у тандемі. НОК, як правило, несе відповідальність за моніторинг та підтримку загальної мережевої інфраструктури, основною функцією якої є забезпечення безперебійного обслуговування мережі. ОЦБ відповідає за захист мереж, а також вебсайти, програми, бази даних, сервери та центри обробки даних, а також інші технології. Подібним чином, ОЦБ та центр операцій з фізичної безпеки координував та працював разом. Фізичний ОЦБ є об'єктом у великих організаціях, де співробітники служби безпеки стежать та контролюють співробітників служб безпеки / охоронців, сигналізацій, відеоспостереження, фізичного доступу, освітлення, транспортних перешкод тощо.

Не кожен ОЦБ має ту ж саму роль. Існує три різні напрямки, в яких ОЦБ може працювати, і які можуть бути об'єднані в будь-яку комбінацію: Контроль — зосередження на стані безпеки з перевіркою відповідності, тестування проникнення, тестування на вразливість тощо.

Моніторинг — зосередження уваги на події та реагування з моніторингом журналів, адміністрацією SIEM та реакцією на інциденти.

Операційна діяльність — зосередження уваги на операціях забезпечення безпеки операційної безпеки, таких як управління ідентифікацією та доступом, керування ключами, адміністрування брандмауера тощо[5].

Успіх роботи ЦОБ визначається, зокрема, якісною автоматизацією безпеки для гарантування її ефективності та дієвості. Поєднання автоматизації із роботою професійних безпекових аналітиків дає організації можливість убезпечити себе від витоку даних та кібератак[6].

ОЦБ як послуга

Через високий попит на фахівців у сфері ІТ-безпеки та їхні порівняно високі зарплати малому та середньому бізнесу часто складно організувати власний ОЦБ. Через це пропонується аутсорс ОЦБ — так званий ОЦБ як послуга (SOCaaS, Security Operation Center as a Service)[7]. Конкретний набір завдань у пакеті ОЦБ як послуги варіюється у різних постачальників. В основі всіх лежить моніторинг статусу безпеки, пошук ознак можливих атак, оцінка релевантної до ІТ-безпеки інформації та тематична аналітика[8].

У межах ОЦБ як послуги пропонується зокрема наступне:

  • 24-годинний моніторинг подій безпеки;
  • підготовка звітів про ситуацію та аналіз безпеки;
  • аналіз поточних подій безпеки;
  • активна «сигналізація»;
  • за потреби: сервіс відповіді на інциденти;
  • використання безпекових рішень для SIEM, IDS/IPS, виявлення та усування прогалин у безпеці, ІТ-криміналістика, захист від DDoS-атак, управління фаєрволом, управління профілями користувачів, безпека застосунків, безпека електронної пошти та користування мережею.

Див. також

Джерела

  1. What is a SOC (Security Operations Center)?. Security Affairs (амер.). 24 травня 2016. Процитовано 30 квітня 2018.
  2. Штаб цифровой крепости. Как устроен центр информационной безопасности. Процитовано 30 квітня 2018.
  3. KG, Vogel Business Media GmbH & Co. Was ist ein Security Operations Center (SOC)?. Процитовано 30 квітня 2018.
  4. Цифровая осада: Как защититься от целевых кибератак. Процитовано 30 квітня 2018.
  5. Information security operations center. https://en.wikipedia.org/wiki/Information_security_operations_center (Англійська). Вікіпедія. Процитовано 28.04.2018.
  6. What is a Security Operations Center (SOC)?. Digital Guardian. 14 листопада 2016. Процитовано 30 квітня 2018.
  7. KG, Vogel Business Media GmbH & Co. Security Operations Center (SOC) als Dienstleistung. Процитовано 30 квітня 2018.
  8. Security Operation Center (SOC) FAQ: Was Unternehmen über Security Operation Center wissen müssen - computerwoche.de. www.computerwoche.de (нім.). Процитовано 30 квітня 2018.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.