Журнал "Information Security/ Информационная безопасность" #4, 2025

• 55 SOC www.itsec.ru Готовим сани летом Аналитики внутреннего SOC сталки- ваются с инцидентами не так часто, как специалисты коммерческих центров мониторинга, которые работают с раз- ными клиентами. Поэтому инцидент нередко оказывается для первых стрес- совой ситуацией. Допущенные ошибки стоят времени и снижают шансы на реа- гирование без последствий. Важно заранее проанализировать, насколько компания готова к реагиро- ванию. Исходя из полученной оценки, можно скорректировать процессы в собственном SOC или порядок действий при работе с внешним провайдером. 1. Знают ли сотрудники SOC, что делать при возникновении инцидента? План реагирования помогает быстрее принимать решения и избегать ошибок, несмотря на стрессовую ситуацию. Он позволит оперативно восстановить рабо- ту бизнеса, даже когда компания пере- стает контролировать инфраструктуру. В первую очередь нужно описать: l процесс реагирования; l ролевые модели сотрудников разных подразделений, которых нужно привлечь; l уровни ответственности; l каналы коммуникаций, в том числе резервные в случае сбоя. 2. Применяют ли сотрудники SOC плей- буки для основных типов инцидентов? Разные типы инцидентов требуют раз- ных действий. Детально опишите про- цедуры для основных типов инцидентов. Это избавит от лишних размышлений в стрессовой ситуации, позволит сделать реагирование четким, слаженным и про- думанным, а также избежать ошибок. 3. Владеет ли персонал SOC дополни- тельными экспертными навыками, чтобы реагировать на масштабные инциденты и расследовать их? При масштабных инцидентах часто применяют методы форензики. Они помогают собрать артефакты в нетро- нутом виде, чтобы восстановить цепочку событий. Могут быть также полезны знания в реверс-инжиниринге, чтобы разобраться с функциональностью использованного при атаке вредоносного ПО или даже обнаружить ошибки в его реализации. Это позволит, например, восстановить зашифрованные файлы. При отсутствии таких навыков заранее предусмотрите возможность привлечь сторонних экспертов, например из ком- мерческого SOC. 4. Используют ли сотрудники SOC реше- ние класса EDR? EDR позволяет искать дополнительные артефакты на конечных точках, изоли- ровать устройство, пока угрозу анали- зируют, проверять его на вредоносную активность и т. д. В отсутствие EDR некоторые задачи вообще не получится решить или придется использовать не предназначенные для этого инструменты (например, инструменты централизован- ного администрирования ИТ) и разра- батывать под задачи различные скрипты. 5. Знают ли сотрудники SOC, какие системы в масштабе всей инфраструк- туры доступны для реагирования и как в них действовать? В рамках реагирования не все может выполняться на уровне конечных точек – часто требуются действия на уровне инфраструктуры: блокировка учетных записей, изоляция на уровне периметра или целых сегментов и т. д. Нужно зара- нее идентифицировать все доступные системы и прописать действия в них в момент инцидента. Заявки на выпол- нение операций должны выполняться оперативно, а не как стандартные заявки на текущие изменения. Поэтому важно заранее отработать взаимодействие со смежными подразделениями. В идеале все сторонние системы долж- ны быть интегрированы с SOAR-реше- нием (например, BI.ZONE SOAR). 6. Анализируют ли сотрудники SOC результаты реагирования регулярно и документируете ли выводы? Действия персонала должны сопро- вождаться постанализом. Документируй- те выводы: что привело к возникновению инцидента конкретного типа, как и с помощью чего были выявлены действия злоумышленника, что предприняли для устранения. Впоследствии опирайтесь на предыдущий опыт, чтобы повысить качество мониторинга и реагирования. 7. Проводятся ли в организации практи- ческие учения по реагированию мини- мум раз в год? Киберучения позволяют отработать реагирование, увидеть проблемы в кон- фигурациях СЗИ и в работе сотрудников. Проводите учения не менее раза в год. При подготовке сценариев киберучений учитывайте ландшафт угроз, актуальный для вашей компании и отрасли. Получать такие данные можно в открытых источ- никах или через коммерческие порталы киберразведки (например, BI.ZONE Threat Intelligence). Выводы Правильно выстроенные процессы реа- гирования – один из ключевых факторов эффективности SOC. Вне зависимости от того, пользуетесь вы услугами внеш- него провайдера или построили собст- венный SOC, от грамотных действий ваших сотрудников будет зависеть успеш- ность отражения кибератаки. l Компания BI.ZONE предлагает бес- платный инструмент для самостоя- тельной оценки эффективности SOC 1 . Тестирование позволяет оце- нить уровень зрелости центра мониторинга по семи основным направлениям его деятельности. После прохождения вы получите подробный отчет с практическими рекомендациями. Случился инцидент – вы готовы к реагированию? чередная статья цикла публикаций о ключевых аспектах функционирования SOC посвящена реагированию на инци- денты и их расследованию. Автор подготовил чек-лист, кото- рый поможет вам оценить свою готовность к реагированию. О Марсель Айсин, руководитель BI.ZONE SOC Consulting Фото: BI.ZONE 1 https://bi.zone/promo/samootsenka-zrelosti-tsentrov-monitoringa Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcw8d8A