УДК 004.7

Некоторые аспекты построения корпоративного Security Operations Center

Алтынбаев Артур Фларитович – студент факультета Инфокоммуникационных сетей и систем Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч-Бруевича.

Аннотация: Настоящее исследование посвящено выявлению отдельных аспектов построения корпоративного Security Operations Center. Также в статье представлены меры, необходимые для обеспечения эффективной работы будущего SOC. Кроме того, выделены проблемы и пути решения, связанные с построением корпоративного Security Operations Center. Данное исследование подчеркивает важность масштабирования инфраструктуры SOC для улучшения отказоустойчивости, обработки данных и эффективного выявления угроз.

Ключевые слова: Security Operations Center, реагирование, аспекты, технологии, информация, информационные системы.

Мировые эксперты единодушно подчеркивают, что эффективное управление ИТ-активами требует постоянного и внимательного мониторинга. Это не только снижает риски киберугроз, но и обеспечивает оперативную реакцию на возможные взломы с последующими мерами по минимизации ущерба. Внедрение методов работы Security Operation Center (SOC) является наиболее результативным подходом в данном контексте.

При разработке плана развития системы информационной безопасности (ИБ), организации должны учесть несколько ключевых факторов, оказывающих существенное влияние на эффективность будущего SOC. Среди этих факторов выделяются:

  1. Экспертиза и квалификация группы реагирования. Наличие квалифицированных специалистов в группе реагирования становится фундаментальным элементом успешной работы SOC. Их опыт и умения напрямую влияют на скорость и эффективность реагирования на потенциальные угрозы.
  2. Технологии обнаружения компьютерных атак и обработки больших потоков информации. Использование передовых технологий в обнаружении атак и обработке больших объемов данных становится неотъемлемой частью современных SOC. Эффективные средства мониторинга и анализа данных позволяют выявлять угрозы на ранних этапах и предотвращать их распространение.
  3. Практики и процессы реагирования. Разработка четких и эффективных практик и процессов реагирования помогает оптимизировать действия SOC. Это включает в себя быструю и координированную реакцию на инциденты, а также систематический анализ прошлых случаев для улучшения стратегий и тактик в будущем.

Целью исследования является выявление отдельных аспектов построения корпоративного Security Operations Center.

Эффективная работа Security Operation Center (SOC) сильно зависит от грамотного выбора технологий. При планировании создания SOC необходимо предвидеть долгосрочные результаты и четко определить цели, которых следует достичь. Процесс начинается с разработки концепции, где должны быть четко сформулированы цели, задачи, этапы развития и требуемый уровень достижения [1, c. 592].

Важным этапом в концепции является определение функций, которые будут реализовываться на технологическом уровне. Эти функции включают:

  • Инвентаризацию ИТ-активов и обновление информации. Гарантирует наличие актуальных данных обо всех информационных активах.
  • Анализ уязвимостей и их управление. Обеспечивает постоянный контроль за уязвимостями и их своевременное устранение.
  • Обработку событий безопасности и их корреляцию. Анализирует и связывает события для выявления потенциальных угроз.
  • Анализ сетевого трафика и файлов на вредоносную активность. Выполняет мониторинг сетевой активности и файлов на предмет вредоносных действий.
  • Поведенческий анализ файлов. Идентифицирует необычное поведение файлов для выявления потенциальных угроз.
  • Анализ действий пользователей. Оценивает активность пользователей с целью выявления подозрительных действий.
  • Резервирование данных. Обеспечивает возможность восстановления данных в случае повреждения или шифрования.
  • Обработку информации об инцидентах. Включает обогащение данных о инцидентах и анализ актуальных угроз.
  • Проверку устойчивости ресурсов к внешним воздействиям. Проводит тесты на проникновение для обеспечения надежности информационных систем.

Не менее важно предусмотреть масштабирование ИТ-инфраструктуры SOC, учитывая увеличение объемов хранения данных, повышение отказоустойчивости и ускорение обработки данных. В случае распределенной системы SOC необходимо также оценить пропускную способность коммуникаций до удаленных площадок и рассмотреть варианты их расширения. Это обеспечит гибкость и эффективность SOC в долгосрочной перспективе.

В настоящее время большинство стандартных Security Operation Center ориентированы на обнаружение атак в реальном времени, но часто не учитывают новые методы и тактики злоумышленников, что делает сложным выявление атак в момент их осуществления. Поэтому важно развивать навыки работы с индикаторами компрометации и другими признаками угроз, которые необходимо включать в анализ прошлых событий для выявления проникновений и закрепления в ИТ-инфраструктуре [2, c. 47].

Для обеспечения эффективной работы будущего SOC рекомендуется предпринять следующие меры заранее:

  1. Настройка парольных политик. Установка надежных паролей и регулярное их обновление являются первым шагом к повышению безопасности.
  2. Внедрение двухфакторной аутентификации. Дополнительный слой защиты через двухфакторную аутентификацию существенно укрепляет систему.
  3. Минимизация привилегий и доступов. Ограничение привилегий и доступов помогает предотвратить распространение угроз в случае компрометации.
  4. Настройка контроля конфигураций. Регулярный мониторинг и обновление конфигураций снижают риски нарушений безопасности.
  5. Организация резервного копирования. Регулярные резервные копии обеспечивают возможность быстрого восстановления после инцидентов.
  6. Сегментация сети с использованием межсетевых экранов. Разделение сети на сегменты с помощью межсетевых экранов помогает контролировать трафик и минимизировать распространение атак внутри сети.

Развивая компетенции в области ретроспективного анализа и предпринимая проактивные шаги по укреплению базовой безопасности, будущее SOC сможет эффективно справляться с вызовами современной кибербезопасности.

Создание Security Operation Center (SOC) представляет собой сложную задачу, успешное решение которой часто затрудняется из-за типичных ошибок и просчетов:

  • Недостаточный уровень зрелости системы ИБ. Обеспечение адекватной защиты информации требует соответствующего уровня зрелости системы информационной безопасности в организации. Проблема часто заключается в использовании только базовых средств защиты, что делает создание SOC преждевременным.
  • Небольшая команда. SOC – это не только технические средства, но и команда для выполнения аналитических функций и работы первой линии. Размер команды SOC играет ключевую роль в обеспечении эффективности оперативных мероприятий.
  • Неверное толкование Часто SOC путают с системами типа Security Information and Event Management (SIEM). Такие системы способны лишь выявлять инциденты и предоставлять базовую информацию для расследования, в то время как функции SOC охватывают более широкий спектр задач.

Решение этих проблем важно для эффективного внедрения SOC и обеспечения комплексной безопасности информационной среды. Важно правильно оценивать готовность и потребности организации, предварительно подготавливая необходимые ресурсы и команду для успешной работы SOC [3].

Таким образом, современный ИТ-ландшафт стремительно развивается, при этом объем событий в области информационных и защитных систем растет соответственно. В большинстве организаций сложно человеку самостоятельно анализировать этот поток событий и выделять важную информацию. Оперативное выявление и быстрая реакция на инциденты играют ключевую роль в современной безопасности. Здесь на помощь приходит Security Operation Center (SOC), автоматизируя процессы реагирования на инциденты ИБ. Таким образом, SOC становится неотъемлемой частью эффективной операционной структуры организации, способной эффективно выполнять разнообразные задачи в области информационной безопасности, такие как мониторинг и анализ событий, реагирование на инциденты, threat hunting и многое другое.

Список литературы

  1. Казанцев А.А. Создание и управление Security Operations Center для эффективного применения в реальных условиях //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). – 2019. – С. 590-595.
  2. Лисецкий Ю.М., Бобров С.И. Новые угрозы информационной безопасности или оружие массового заражения // Машины и системы. – 2018. – № 1. – С. 41-50.
  3. Muniz J., McIntyre G., Al Fardan N. Security Operations Center: Building, Operating, and Maintaining your SOC // Cisco Press. Nov 2, 2015. URL: http://www.ciscopress.com/store/security-operations-center-building-operating-and-maintaining-9780134052076 (дата обращения: 24.11.2023).
  4. Гельфанд А. М. и др. Интернет вещей (IoT): угрозы безопасности и конфиденциальности //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 215-220.
  5. Котенко И. В. и др. Модель человеко-машинного взаимодействия на основе сенсорных экранов для мониторинга безопасности компьютерных сетей //Региональная информатика" РИ-2018". – 2018. – С. 149-149.
  6. Сахаров Д. В. и др. Использование математических методов прогнозирования для оценки нагрузки на вычислительную мощность IOT-сети //Научно-аналитический журнал «Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России». – 2020. – №. 2. – С. 86-94.
  7. Гельфанд А. М. и др. Области применения аналитики больших данных в критических информационных инфраструктурах //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2022). – 2022. – С. 438-440.
  8. Krasov A. et al. Using mathematical forecasting methods to estimate the load on the computing power of the IoT network //Proceedings of the 4th International Conference on Future Networks and Distributed Systems. – 2020. – С. 1-6.

Интересная статья? Поделись ей с другими: