Подписаться
Читать в телеграм
В наших проектах мы предлагаем начинать строительство SOC с четкого определения его целей, задач и архитектуры. Но архитектуры не технической, а процессной. Мы выделяем около 40 типовых процессов обеспечения ИБ, которые могут быть реализованы в SOC. Их выбор, настройка и правильное объединение – непростая, но крайне важная задача. Уже вокруг этого скелета строится техническая архитектура, и под него мы подбираем и обучаем персонал. Но это, к сожалению, идеальный случай. На практике же чаще всего мы приступаем к работе, когда заказчик уже внедрил технические средства и через год понял, что деньги потрачены, а цели не достигнуты. У нас было несколько таких проектов за последнее время. Задача здесь усложняется: как выстроить процессы, при этом подстроив их под то, что уже внедрено, чтобы сократить затраты.
Интересной тенденцией, свидетельствующей о зрелости темы, является возникновение в России SOC следующего уровня. Мы дали им рабочее название SOC 2.0. Сейчас мы принимаем участие в строительстве двух таких центров. В первом случае один из ведущих российских банков решил осуществлять с помощью SOC контроль внутренних и внешних мошеннических операций, во втором крупное промышленное объединение отслеживает в SOC также события технической и физической безопасности. При этом информация от соответствующих систем коррелируются с традиционными событиями ИБ.
Такой подход открывает интересные возможности. Например, отслеживая события от СКУД и HR-системы, мы можем обнаружить пользователей, которые не прошли через проходную или находятся в отпуске и при этом входят в систему. Используя логи от СУБД и систем их защиты, можно фиксировать факты мошеннических операций. С помощью данных от систем фрод-мониторинга и собранной SIEM информации можно присмотреться к действиям подозрительного сотрудника. Анализируя сигналы систем технической безопасности, мы можем оперативно получить информацию о развитии сетевой атаки на SCADA-системы.
Для построения таких правил необходимо выйти за границы традиционной ИБ и взглянуть на риски компании шире, проанализировать бизнес-процессы. Несмотря на обширный опыт наших консультантов, всего знать невозможно. Мы привлекаем к этой работе специалистов по борьбе с мошенничеством, инженеров АСУ ТП, бизнес-аналитиков. Большое число направлений, которыми занимается наша компания, помогает нам почти всегда найти нужного специалиста среди своих коллег. Подобные проекты показывают возможное направление развития темы SOC в будущем.
Еще один набирающий популярность подход связан с обучением сотрудников SOC и настройкой его технических средств. Все чаще компании проводят «учения» с участием специалистов по тестированию на проникновение. Как генералы всегда готовятся к прошедшей войне, так и SOC зачастую не готов к реальным атакам, которые могут произойти. Здесь возможны разные варианты: от проникновения, когда сотрудники SOC не предупреждаются о проверке, до открытого действия пентестера на отдельном участке для имитации атаки и изучения реакции средств обнаружения атак и защиты информации. Еще ни разу в нашей практике не было случая, когда такая работа не принесла бы ценной информации, позволившей усовершенствовать работу SOC.
