Что такое Security Operations Center (SOC)?

SecOps
Еще одна заметку в тему предстоящего через пару дней SOC-Forum. На этот раз на тему того, что же такое SOC и является ли обернутый в процессы SIEM-продукт таким SOCом?

Вообще, если посмотреть на программу форума, то можно увидеть интересную тенденцию, все выступления (если не брать те, которые непосредственно касаются SOCов) концентрируются вокруг либо SIEM, либо реагирования на инциденты. Когда речь заходит о SOCах (Security Operation Center), то почему-то обычно все уходят в крайности — либо такой центр занимается только мониторингом (поэтому не случайно так часто термины SOC и SIEM сосуществуют рука об руку), либо он занимается борьбой с последствиями успешных атак.

Так многие воспринимают Security Operations Center

Никто не будет спорить, что и мониторинг, и реагирование, — это operations (повседневные операции), которыми занимаются службы ИБ. Вот только возникает логический вопрос — а остальные операции куда пропали? Управление уязвимостями, управление патчами, управление средствами защиты, управление криптографическими ключами и сертификатами, управление учетными записями… Куда попадают эти операции? В SOC? Если следовать буквальному термину, то да. Но почему тогда про них мало кто говорит в контексте SOC?

Почему некоторые компании, установив у себя SIEM, говорят о том, что у них теперь есть SOC? Только потому, что они еще и некоторые SIEM-процессы внедрили? Или потому что на каждый отфильтрованный сигнал тревоги запускается процедура разбора полетов? А как насчет других повседневных операций? Почему все концентрируются только вокруг SIEM, как витрины SOC, или вокруг реагирования на инциденты? Что же все-таки такое Security Operations Center, которому будет посвящен предстоящий форум? Надо будет обсудить это на форуме.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. biakus

    Остальные операции должны контроллироваться SOCом с помощью метрик по соответствующим превентивным процессам защиты. И при отклонении значений метрик от заданных границ (это тоже инцидент) — реагировать. Очевидно, что метрики могут измеряться с помощью SIEM систем. Также, SOCу не плохо проводить контроль эффективности процессов защиты с помощью периодических тестов.

    Ответить
  2. Алексей Лукацкий

    Отклонение значений метрик от заданных пороговых значений — это инцидент чего? И какой ущерб от такого отклонения?

    Метрики, измеряемые с помощью SIEM-систем, — это самый низший уровень в измерении ИБ. Они никак с бизнесом не связаны. Тут нужны отдельные решения.

    Ответить
  3. Michael

    Интересно, данную тему затронули на SOC-форуме?

    Я вот тоже понял, что SIEM — это сбоку припеку, даже анализ уязвимостей как-то странновато в него интегрируется… А замена ключей, проведение регулярных проверок, подготовка отчетности по ИБ, обновление документов, контроль закрытия рекомендаций аудита и выявленных уязвимостей, и т.п….

    ПОлучается, что SOC — это Outlook с книжкой Г. Архангельского 😉

    Ответить
  4. Алексей Лукацкий

    Нет

    Ответить