Журнал "Information Security/ Информационная безопасность" #3, 2025

• 59 SOC www.itsec.ru SOC работает круглосуточно или не работает вообще Одна из первых и ключевых задач при создании SOC – организация команды и режима работы. Без правильно выстроенного графика невозможно обес- печить непрерывный мониторинг. SOC по определению должен функциониро- вать в режиме 24/7. Именно это обес- печивает своевременное обнаружение угроз и реагирование на инциденты. Непрерывность мониторинга имеет кри- тически важное значение, поскольку атаки могут происходить в любой момент: ночью, в выходные и праздничные дни. Согласно статистике BI.ZONE, более половины критических киберинцидентов происходят в нерабочее время. Попытка запустить SOC в режиме 8/5 сводит его эффективность к минимуму, а любая задержка в реагировании может обер- нуться серьезными последствиями. Даже в случае использования модели MSSP SOC, в компании должна быть организована внутренняя дежурная смена. Она необходима для оперативного взаимодействия с внешним провайде- ром, принятия управленческих решений, эскалации инцидентов, а также коорди- нации действий внутри компании, когда реализуются сценарии реагирования. MSSP обеспечивает мониторинг и пер- вичную обработку, но ответственность за активное реагирование, внутреннюю готовность к инцидентам и принятие решений лежит на владельце ИТ-инфра- структуры. На практике важность этого требования часто недооценивают или игнорируют. Это приводит к задержкам в реагировании и росту потенциального ущерба от инцидентов. Слепые зоны: кто действительно видит злоумышленника? Штатных подсистем аудита часто недо- статочно, чтобы эффективно обнаружи- вать киберугрозы. Причина – ограничен- ная глубина видимости и контекста. В дополнение нужно использовать реше- ния класса NTA. Они позволяют выявлять подозрительные паттерны на уровне сети, которые могут не фиксироваться в других типах событий, например атаки на сетевые протоколы или использование скрытых каналов коммуникации вредо- носного ПО. Еще один важный инструмент – EDR- решения. Они поставляют подробную телеметрию с конечных точек, на которых злоумышленник непосредственно выпол- няет свои действия. Системы EDR обес- печивают не только глубокую видимость, но и предоставляют инструменты актив- ного реагирования на уже обнаруженные киберинциденты. Оперативное обнаружение сложных и скрытых атак штатными подсистемами аудита без NTA и EDR зачастую невоз- можно. Только совместное использование всех трех источников данных для монито- ринга позволяет построить эффективную систему обнаружения и реагирования, а также поддерживать процесс проактив- ного поиска угроз – Threat Hunting. Логика обнаружения без TI – догадки вместо защиты Эффективность обнаружения в первую очередь определяется качеством и пол- нотой детектирующей логики, которой располагает SOC. Разработка детекти- рующего контента начинается с понима- ния, какую именно вредоносную актив- ность необходимо выявлять. Подробнее о процессе разработки детектирующей логики можно прочитать в отдельной статье 1 . Несмотря на кажущуюся универсаль- ность ландшафта угроз, на практике он сильно варьируется. Опыт компании BI.ZONE, которая работает с заказчиками из разных стран и отраслей, доказывает, что и география, и сфера деятельности напрямую влияют на характер угроз, с которыми сталкивается организация. Наличие собственной киберразведки (Threat Intelligence, TI) в SOC позволяет получить релевантную информацию об угрозах в контексте конкретной органи- зации, отрасли, территориальной при- надлежности. А это, в свою очередь, помогает приоритизировать разработку детектирующих правил. TI – это не только индикаторы компро- метации (IoC), но и информация о такти- ках, техниках и процедурах (TTP) атакую- щих. Именно TTP в первую очередь являются тем источником данных, которые нужны, чтобы приоритизировать разра- ботку правил корреляции. А индикаторы компрометации помогают реагировать на уже известные угрозы: поток поступающих событий проверяется на наличие IoC. Без использования киберразведки есть риск создавать контент и правила обнаружения на основе нерелевантных или устаревших угроз. Это снижает эффективность защиты, приводит к лож- ным срабатываниям или пропуску реаль- ных атак. Оптимизация SOC: укрощение алертов Некоторые компании расширяют команду аналитиков SOC в попытках справиться с растущим потоком алертов. Но в итоге такой подход приводит к пере- расходу ресурсов и снижению общей эффективности. Необходимо фокусиро- ваться на регулярной работе с исключе- ниями, а также использовать автомати- зацию и машинное обучение. В BI.ZONE мы постоянно внедряем новые механизмы автоматизации, исполь- зуя МО и ИИ, чтобы повысить эффектив- ность работы. Среди таких решений алго- ритм автоназначения алертов аналити- кам, механизм выявления флуда правил, модель автоматического закрытия повто- ряющихся или схожих алертов, а также ассистент, объясняющий содержимое командной строки в Сейчас порядка 35% алертов в сервисе BI.ZONE TDR обрабатывается автоматизированно. l Обнаружение угроз в SOC: что влияет на эффективность о втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффектив- ность обнаружения? В Андрей Шаляпин, руководитель BI.ZONE TDR Фото: BI.ZONE 1 https://bi.zone/expertise/blog/kak-obespechit-effektivnuyu-logiku-obnaruzheniya-ugroz-v-soc На правах рекламы. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjdzojyp