Новая информационная безопасность: какой SOC выбрать

Выручка как начало и конец

Традиционные задачи корпоративной информационной безопасности по охране конфиденциальной информации во многом устарели. Даже в крупных организациях с развитыми бизнес-процессами нет уверенности, что конфиденциальная информация была определена верно и ее список еще актуален. Наконец, что ее разглашение действительно нанесет реальный финансовый ущерб организации.

Реальная проблема – остановка бизнес-процессов из-за реализации тех или иных атак. Когда продажи стоят, отгрузки не идут, а снабжение не может обеспечить непрерывные поставки сырья для заводов, вопросов о необходимости информационной безопасности не возникает. Для непрерывных и опасных производств ситуация может быть и неизмеримо хуже – человеческие жертвы и экологические проблемы, увы, еще не сведены к нулю на производствах страны.

Более узкая проблема – хищение денежных средств (ранее накопленная выручка). Казалось бы, финансовые хищения могут произойти у каждой организации, но на практике злоумышленники понимают, что гальку лучше всего спрятать на пляже и воруют в первую очередь у финансовых и квазифинансовых (криптоэкономических) организаций.

И самая узкая – привлечение средств инвесторов через размещение на бирже (квази-выручка). Инвесторы желают знать, что операционная деятельность компании стабильна, и у нее будет будущая выручка, чтобы выплатить им дивиденды или купоны по облигациям. А, значит, организация должна соответствовать определенным нормам, например, закону Sarbanes-OxleyAct (нормативный акт, который определяет требования к документообороту и финансовой отчетности компаний и процедуру регулярного независимого аудита), что в итоге потребует и мониторинга финансовых приложений и используемых ими серверов в организации, а в идеале и мониторинга поведения сотрудников критичных функций (например, продаж) для более точного прогнозирования выручки.

Итоговая оценка бизнес-риска проста. Организации точно нужен Центр мониторинга, если она стремится обеспечить непрерывность своей операционной деятельности, в том числе устойчивость перед кибератаками и отказами в ИТ-инфраструктуре. Также он необходим компаниям, которые находятся в привлекательном для злоумышленников секторе (обладают значительными по меркам экономики финансовыми активами, резко изменили чистую стоимость активов или работают в модном секторе – криптоэкономике и др.). Центр мониторинга будет нужен и тем, кто стремится обеспечить корректность и достоверность финансовой отчетности, а также прозрачность функционирования ключевых бизнес-процессов.

Сервисы SOC

Основным сервисом любого SOC является мониторинг сетевой безопасности (далее – SOC.MON): сбор и обработка журналов безопасности с существующих и установленных персоналом SOC средств безопасности. Мониторинг позволяет в режиме, близком к реальному времени, находить атаки, которые уже проводятся против организации и снизить ущерб от них, отреагировав до того, как атакующий добьется своей цели – например, зашифрует финансовую базу и потребует выкуп.

Мониторинг также представляет собой «прививку от теоретиков» – организация начинает понимать, что реально происходит в ее инфраструктуре, кто по ней перемещается, используя сетевые протоколы и учетные записи в информационных системах.

Более превентивным (работающим на опережение атаки) классическим сервисом SOC является мониторинг уязвимостей (он же – управление уязвимостями или SOC.VM). Сервис заключается в систематическом поиске и оценке критичности уязвимостей в сети организации для их своевременного закрытия – сужения коридора возможностей для атакующей стороны.

Крупные и территориально распределенные организации подходят и к упреждающему сервису внешнего мониторинга киберугроз («киберразведке» – SOC.TI). Киберразведка направлена на своевременное получение из внешнего мира информации об актуальных для конкретной страны, отрасли, а то и компании, хакерских группировках, инструментах и тактиках атаки – что позволяет не только более эффективно находить атаки, но и трезво оценивать риски для организации.

Пути корпорации к своему SOC

Прежде чем двигаться к своему SOC необходимо выбрать нужный для себя набор сервисов – хотя бы из тех базовых, что представлены выше. К примеру, для обеспечения достоверности финансовой отчетности в соответствующем ландшафте информационных систем нужны будут SOC.MON + SOC.VM. Для обеспечения непрерывности деятельности в зависимости от масштаба деятельности и значимости на рынке организации может понадобиться и SOC.TI, а для организаций традиционно атакуемых секторов (финансы, ОПК и др.) SOC.TIпросто необходим.

В зависимости от бизнес-цели и размера организации необходимо определить и куратора проекта по созданию SOC. Достоверность финансовой отчетности – очевидно забота финансового директора, непрерывность операционной деятельности – операционного, а в иных случаях куратором скорее всего придется назначить директора СБ или директора по ИТ (за неимением развитой СБ).

Для небольших и средних корпораций (Small and Medium Enterprise или до 4 000 хостов) рационально будет привлечь сервис-провайдера для оказания услуг мониторинга, для компаний покрупнее – логичным будет создание своего SOC с селективным привлечением сервис-провайдера в «узких» местах или еще пока не развитых процессах.

Есть и отраслевая специфика – к примеру, 5 000 хостов в нефтедобыче совсем не то, что в ритейле, где 4 500 из них будут одинаковы, и безопасность их будет проще обеспечить за счет внедрения строгих норм и стандартов. Относить такие компании нужно будет к SME.

Панацеи нет или когда SOC бесполезен

Перед принятием окончательного стратегического решения по SOC необходимо ответить на вопрос: готова ли организация что-то делать по итогам сигналов от SOC? SOC демонстрирует возврат инвестиций в случае синхронной работы с организацией (в парадигме ГРУ ГШ МО РФ «Узнавать чтобы действовать или действовать что бы узнавать»). Если по итогам сообщений и отчетов SOC другие подразделения организации не будут готовы реагировать на вскрывшиеся проблемы и инциденты – SOC возможно еще преждевременная история для конкретной организации.

Лучше один раз увидеть

Ежегодно, в мае проходит крупнейший в России форум по кибербезопасности Positive HackDays, на котором будет представлен не один SOC, значимое количество компаний, что уже построили или подключились к SOC, а так же много эффективных технологий безопасности для создания или повышения результативности SOC. Посетители форума смогут увидеть, как SOC работает в «реальном времени» в рамках традиционной кибербитвыThe Standoff(«Противостояние»). В рамках конкурса будут состязаться команды атакующих, защитников и Security Operations Centers (SOC). Профессиональные команды атакующих «Противостояния» покажут, каким угрозам подвержены ресурсы любого крупного города, а команды специалистов по защите информации и экспертные центры безопасности продемонстрируют эффективные методы противодействия. События на площадке максимально приближены к реальности, игровой полигон представляет собой масштабную эмуляцию городской инфраструктуры.

Источник: CNews

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах