Логотип SpectrumData
Оставить заявку
Войти
Отдел продаж

8 (499) 110 49 83

Техническая поддержка

8 (499) 110 49 83 (3)

c 7:00 до 18:00 Мск ежедневно

Все о SOC: как он защищает бизнес и как его внедрить

15.01.2025
Все о SOC: как он защищает бизнес и как его внедрить

Киберпреступники становятся все более изобретательными, используют при атаках сочетание разных методов, а потому старые способы защиты не всегда оказываются результативными. 

Только за первые семь месяцев 2024 года ущерб от IT-преступлений в России достиг 99 млрд рублей – такие данные приводились на Восточном экономическом форуме. Количество атак программ-вымогателей в 2024 году выросло на 44% к предыдущему, и в каждом десятом случае целью злоумышленников был не выкуп, а диверсия с целью нанесения максимального ущерба жертве.

Логично, что вырос спрос на центры мониторинга и реагирования на кибератаки – особенно в компаниях, где нет достаточно квалифицированных кадров для создания собственного подразделения, отвечающего за кибербезопасность. Иначе говоря – SOC в структуре организации.

В статье вместе с экспертом разберемся в том, что такое SOC (security operation center) в информационной безопасности, кто задействован в его работе, как организовать SOC внутри компании и стоит ли это делать.

Наш эксперт:

Сергей Полунин

Сергей Полунин

  • руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Что такое SOC и для чего он нужен?

SOC (расшифровка аббревиатуры – security operation center) — это централизованная функция или группа, ответственная за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы.

SOC обеспечивает безопасность благодаря непрерывному мониторингу, анализу и реагированию на инциденты в режиме реального времени. SOC-центр может быть как создан внутри компании, так и реализован с помощью сторонних организаций, привлеченных на аутсорсе.

Основные функции SOC

Выделяют несколько десятков функций SOC, они могут отличаться в зависимости от специфики и масштаба компании. 

Но можно назвать несколько функций, наиболее часто входящих в зону ответственности SOC-специалистов:

  • Мониторинг IT-среды и сбор сведений об угрозах и инцидентах.
  • Анализ подозрительных событий.
  • Реагирование на киберинциденты и действия по минимизации ущерба.
  • Устранение последствий инцидентов – восстановление системы.
  • Расследование событий, установление причин инцидентов.
  • Проверка соответствия условий в компании требованиям безопасности.

Технические составляющие SOC

Архитектура SOC может быть очень разной, отмечает руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. Но если строить такое решение с нуля и затем предлагать его заказчикам, можно обозначить несколько основных компонентов.

Обязательные технические компоненты SOC, которые выделяет эксперт:

  • Система сбора данных – SIEM, EDR и система мониторинга трафика.

Без этих сведений невозможно работать с клиентами и анализировать их ситуацию, а тем более помогать предотвращать атаки.

  • Инструменты непосредственно обнаружения угроз.

Это всевозможные IDS и IPS, платформы Threat Intelligence и иногда даже системы DLP.

  • Инструменты аналитики и реагирования на инциденты.

Для оценки работы команды и соблюдения сроков реагирования на инциденты полезно использовать Service Desk. Часто он уже включен в SIEM-решения, если нет, стоит провести интеграцию.

  • Решения по безопасности самого SOC.

Об этом компоненте часто забывают, но он критически важен, потому что атаки на цепочки поставки тоже никто не отменял, подчеркивает Сергей Полунин.

Штат специалистов SOC

Штат сотрудников центра мониторинга зависит от размеров SOC и клиентов, с которыми предстоит работать, отмечает эксперт. Но есть необходимый минимум, который потребуется для продуктивной работы SOC.

Кто входит в штат специалистов SOC:

  • Аналитики по кибербезопасности.

В SOC должны присутствовать специалисты нескольких уровней – первичная линия обороны, углубленный анализ и сложные инциденты. 

  • Инженеры.

Те, кто настраивает и обслуживает решения, которые развернуты в SOC – SIEM, IDS, DLP и прочие продукты нужно своевременно обновлять и настраивать.

  • Руководство, которое руководит собственно работой SOC и организует процессы и управление.

«Если SOC крупный, то сюда могут добавляться выделенные инженеры по реагированию на инциденты, эксперты по актуальным угрозам, форензик-аналитики и много кто еще. Однако в небольших SOC их вряд ли найдется чем занять», – резюмирует Сергей Полунин.

Персонал, обеспечивающий безопасность, не менее важен, чем современные технические решения. Он должен быть не только достаточно опытным и квалифицированным, но и благонадежным.

Оценить добросовестность специалистов помогут автоматизированные решения по проверке соискателей, одно из таких предлагает компания SpectrumData*. Всего за несколько минут вы получите развернутый отчет о человеке, в том числе узнаете, не находится ли он в розыске, нет ли у него подозрительных деловых связей и многое другое. 

Убедитесь в полноте и достоверности отчетов от SpectrumData

Оставьте заявку на демо и получите 4 тестовые бесплатные проверки

проверка соискателя онлайн

Внутренний и внешний SOC: преимущества и недостатки

В каких формах может существовать центр мониторинга ИБ:

  1. Отдельное подразделение компании.
  2. Команда специалистов, совмещающих задачи SOC с другими обязанностями. Члены команды при этом могут работать в разных отделах.
  3. Специализированная компания, осуществляющая удаленный мониторинг и реагирование на инциденты – если было принято решение передать функции SOC на аутсорс.

Как у внутреннего, так и внешнего SOC, решающего задачи ИБ, есть свои преимущества и недостатки.

«Внутренний SOC – это довольно затратная история, в плане как денег, так и человеческих ресурсов. Должна быть очень веская причина, чтобы организовать собственный SOC. Обычно это происходит, если количество информационных систем, которые требуют наблюдения, достаточно велико. В других случаях, как правило, обращаются к сторонним организациям», – комментирует Сергей Полунин.

Главный же минус привлечения компании на аутсорсе – сервис-провайдер получает доступ к информации об инфраструктуре своего клиента, иногда даже к учетным записям от используемых им средств защиты информации.

А потому стоит предельно внимательно подойти к проверке провайдера, его соответствия нормам обеспечения информационной безопасности и не только.

Комплексная проверка контрагента в одном окне

Оставьте заявку на демо-доступ и получите 4 бесплатные тестовые проверки

проверка контрагента

В целом при принятии решения, стоит ли запускать собственный SOC или обратиться к сторонним подрядчикам, обычно учитывают три вещи – масштаб организации, риски и требования регуляторов, говорит эксперт.

«Так, крупная компания может иметь бюджет и возможность создать свой SOC и контролировать все процессы, однако класс обрабатываемой информации может не позволить ей создать свой SOC и нужно обращаться к поставщику услуг. С другой стороны, небольшая организация может иметь в штате квалифицированный персонал и создать свой SOC с нуля, не обращаясь к сторонним организациям», – приводит пример Сергей Полунин.

Критерии выбора SOC

Если вы остановились на работе с внешним провайдером, как зачастую поступают компании, решившие усилить уровень кибербезопасности, важно подойти к выбору SOC внимательно, учитывая особенности вашего бизнеса и характеристики подрядчика. Критерии, которые стоит учитывать при заключении договора с той или иной ИБ-компанией, можно условно поделить на две группы.

Субъективные факторы

К субъективным факторам относят ориентированность ИБ-компаний на ту или иную отрасль или сферу. Богатый опыт работы подрядчика в защите инфраструктуры клиентов определенного сектора позволяет рассчитывать, что компания более глубоко понимает особенности проблематики конкретной сферы.

Например, учебные заведения и EdTech-компании подвержены сезонным атакам в период работы приемных комиссий, а для транспортных компаний особенно критичны инциденты с логистикой и системой распределения грузов.

Объективные факторы

Сюда можно отнести как уровень технической оснащенности коммерческого SOC, так и квалификацию его специалистов, и стоимость услуг, а также что входит в пакет, который предлагает подрядчик.

Также нужно оценивать скорость реакции специалистов на инциденты, прозрачность отчетности, обновление SOC – в том числе готовность разработчиков вносить изменения в рабочие процессы по запросу заказчика.

Как запустить SOC: основные шаги

На полноценный запуск собственного SOC может с настройкой всех нюансов работы могут уйти годы. В любом случае важно грамотно выстроить этот процесс в компании, чтобы прийти к результату – обеспечить полноценную защиту от атак злоумышленников.

1. Определите цели и задачи

В первую очередь проработайте ключевые элементы будущей системы: определите функции, архитектуру SOC и задачи, которые должен решить центр мониторинга.

В первое время лучше сосредоточиться на основных целях и задачах:

  • предотвращение киберинцидентов;
  • анализ подозрительных событий в режиме реального времени;
  • оперативное реагирование на угрозы;
  • информирование заинтересованных лиц об уровне информационной безопасности.

Стоит определить и ключевые параметры SOC-центра:

  • предполагается ли сделать центр независимым подразделением или интегрировать в одно из существующих, в чьем подчинении будет находиться;
  • какие конкретно функции вы собираетесь возложить на него;
  • уровень полномочий подразделения: будут ли отчеты специалистов носить рекомендательный характер или SOC-аналитики могут влиять на протекание бизнес-процессов вплоть до их остановки в чрезвычайных ситуациях.

На этом этапе также стоит оценить возможности компании, подготовить план по рискам.

Важно! Все параметры, утвержденные цели и задачи будущего внутреннего подразделения по отслеживанию и предотвращению киберинцидентов стоит закрепить на бумаге. Лучше всего, если документ подпишет представитель высшего руководства компании.

«Прежде всего определитесь – зачем вам вообще SOC? Какие такие угрозы вы решили минимизировать и какие активы компании защитить? Обычно на этом вопросе все и заканчивается. Некоторые добираются до требований регуляторов и утопают уже там. Если же все-таки решение принято, необходимо выбрать модель SOC – внутренний, внешний или гибрид? А также что именно будет делать ваш SOC – мониторить угрозы, управлять инцидентами или даже самостоятельно устранять уязвимости? Дальше можно прикинуть его архитектуру, посчитать стоимость и начать нанимать команду», – рекомендует Сергей Полунин.

2. Подготовьте оборудование

Подробно опишите процессы, которые обеспечат выполнение задач, которые должен решать SOC.

Когда вы поймете, что именно нужно автоматизировать, можно заняться подготовкой оборудования. В первую очередь – покупкой SIEM-системы, а также других инструментов, которые помогут настроить работу.

Подробно прописанное представление о том, как будет работать SOC, какие отделы будет включать, кто и что делает для обеспечения его бесперебойной работы, позволит понять, какие специалисты и в каком количестве потребуются для его функционирования.

3. Соберите команду и настройте процессы

Для успешной работы SOC мало высокотехнологичного оборудования. Это лишь инструмент в руках опытных специалистов, знающих свое дело. Не стоит экономить на ключевых сотрудниках, которые будут отвечать за безопасность вашего бизнеса, как и затягивать их наем. Сформировать костяк будущего SOC стоит как можно раньше, чтобы основные сотрудники участвовали в построении и внедрении системы.

Если есть возможность, привлеките уже работающих в штате специалистов, знакомых с инфраструктурой и бизнес-процессами. 

«Озадачить имеющихся системных администраторов всеми вопросами вряд ли выйдет, потребуется найти на рынке аналитиков, архитекторов безопасности и менеджеров SOC. Затем будет долгий процесс внедрения и настройки, а также написания и согласования регламентов. Но и это еще не все. SOC надо обновлять и обслуживать, а также анализировать его KPI. И на каждом из этих этапов вы будете задаваться вопросом надо ли оно вам? Или стоит поручить дело профессионалам», – комментирует эксперт.

Нужно будет создать как минимум две линии для распределения обязанностей и обработки поступающих сигналов:

  • Первая линия.

Задача сотрудников первой линии: обработка поступающей информации, сигнализирующей об инцидентах. Они не занимаются глубоким анализом данных, а принимают сигналы и передают требующую внимания информацию дальше.

  • Вторая линия.

Сотрудники второй линии – более квалифицированные специалисты, которые занимаются детальным изучением инцидентов и проводят расследования, которые могут длиться неделями, в том числе с привлечением экспертов. Они не только анализируют уже случившееся, но и готовят рекомендации по ликвидации последствий, предотвращению подобных событий в будущем.

Также важно определиться с режимом работы сотрудников.

«Как правило, SOC функционирует в режиме 24/7, иначе нет никакого смысла подключать к нему какие-то критические системы. Достигается это с помощью посменной работы основной команды. Однако очевидно, что узкие специалисты, если таковые есть, могут работать в гибридном графике, или даже дежурить по вызову», – комментирует Сергей Полунин.

4. Тестируйте и запускайте

Особенность оценки эффективности работы SOC заключается в том, что нельзя включать в нее снижение количества инцидентов. Вероятнее всего, после запуска системы мониторинга число подобных событий, напротив, вырастет, поскольку до этого многие из них просто оставались незамеченными.

Кроме того, с освоением аналитиками новых инструментов время, которое уходит на расследование инцидентов, также может увеличиться – главное, чтобы при этом росло и качество анализа.

«Некорректно оценивать количество обработанных инцидентов без учета их сложности и значимости. Или, например, требовать минимизации времени на обработку инцидентов, причем любой ценой. Очевидно, что это будет вредить качеству работы. Я встречал клиентов, которые хотели от SOC нулевого количества инцидентов. Очевидно, что это невозможный и даже опасный показатель, говорящий о том, что система просто настроена неверно», – подтверждает эксперт.

Однако ввести показатели эффективности просто необходимо, оценивая при этом как работу SOC в целом, так и результативность каждой ее технической составляющей и членов команды.

«Ключевыми метриками могут быть время обнаружения угроз, точность обнаружения, время реагирования и эскалации, чисто обработанных инцидентов и ложных срабатываний. За каждой из этих метрик стоит работа специалистов, но важно понимать, что плохо составленный KPI может давать неверную картину происходящего», – резюмирует Сергей Полунин.

Показатели эффективности позволяют оценить результаты внедрения нового подразделения более системно, выявить слабые места и выстроить стратегию дальнейшей работы.

Часто задаваемые вопросы

Что такое SOC простыми словами?

SOC – это, простыми словами, отдел безопасности, только в цифровом пространстве, т.е. подразделение, отвечающее за мониторинг IT-среды и реагирование на киберинциденты.

Что делает специалист SOC?

Аналитики SOC следят за безопасностью ИТ-систем, комплексов и бизнес-процессов и реагируют на угрозы. 

Как стать SOC-специалистом?

Стать частью Security Operation Center поможет сочетание соответствующего образования и наличия практического опыта. 

Для аналитика SOC важна экспертиза в настройке систем мониторинга событий, обнаружения аномалий и предотвращении кибератак.

Стать SOC-специалистом позволит участие в симуляции уязвимостей и тестировании безопасности, а интерес к мероприятиям IT-сообщества (вебинарам, конференциям в сфере ИБ и так далее) поможет завести полезные знакомства и вовремя узнать об открытых вакансиях.



Автор: Наталия Салихова


*обязательным условием для отправки запроса на формирование отчета является наличие согласия проверяемого физического лица на обработку персональных данных, полученного в порядке, установленном 152-ФЗ «О персональных данных»


Обязательным условием для отправки запроса на формирование отчета является письменное согласие проверяемого физлица на обработку персональных данных, полученного в порядке, установленном ФЗ-152 «О персональных данных»
Подписка

Будь в курсе новостей!

Спасибо!

Проверьте почту: мы отправили вам первое письмо с просьбой подтвердить подписку

Ок

Ошибка :(

Не удалось подписаться. Пожалуйста, попробуйте еще раз

Ок
Окно чата, галочка и лайк

Комплексная проверка соискателя

Получите 4 бесплатные проверки

Получить

Получить
консультацию по решениям

+7 (499) 110 49 83

Или оставьте заявку

Два синих и одно зелёное письмо летят к адресату

Спасибо! Ваша заявка отправлена

Наши специалисты свяжутся с Вами в ближайшее время

Перечёркнутое слово 'Ошибка'

Не удалось отправить заявку

Пожалуйста, попробуйте еще раз или свяжитесь с нами по телефону