Журнал "Information Security/ Информационная безопасность" #5, 2020

• 39 SOC www.itsec.ru SOC и ситуационные центры Есть такая проблема: поскольку мы работаем над информационной безопас- ностью, мы не видим очередь событий из систем физической безопасности – видеокамер, входных турникетов, пери- метровой защиты и т.д. Например, событие прохода чело- века в офис по чужой карточке не отразится в SOC. А ведь эта инфор- мация крайне важна для целей инфор- мационной безопасности. Именно эту брешь используют системы физиче- ского пентеста. Еще один пример. Нынешняя эпиде- миологическая ситуация подталкивает к тому, что необходимо централизо- ванно мониторить температуру у пер- сонала. На сегодняшний день темпе- ратура измеряется градусниками или бесконтактными термометрами, но это отнимает время и предполагает пря- мой контакт с людьми. Эту же задачу можно было бы решить с помощью тепловизоров с последующей переда- чей результатов в SOC, дополняя информацией о ношении человеком маски. Вендорам и маркетологам, которые продвигают только информационную безопасность, нужно выйти из зоны ком- форта и переквалифицировать базовую систему, добавив в SOC элементы клас- сического ситуационного центра. В свое время ситуационный кризис- центр, созданный министерством атом- ной энергии, умел решать весь спектр задач, и в части информационной, и в части ситуационной, физической безопасности. Всеслав Соленик, R-Vision: Это популярное мнение, но важно, что именно мы называем SOC. По факту даже отдел из трех человек, вручную обрабатывающих инциденты – это уже Security Operations Center. Но если под SOC подразумевать выделенное ИБ-подразделение с процессами высокого уровня зрелости и автоматизацией, то, конечно, такое решение требует и затрат, и компетенций, а значит целесообразно только при больших масштабах инфраструктуры. При этом зрелость процессов является не показателем потребности в SOC, а скорее критерием его качества. Алексей Юдин, Infosecurity a Softline company: SOC нельзя считать вершиной ИБ, но он является важной частью процессов ИБ, сильно зависящей от смежных процессов. Замечу также, что даже для небольшой, но высококритичной инфраструктуры в 20 серверов обычного логирования может оказаться недостаточно. Тимур Зиннятуллин, группа компаний Angara: На практике SOC может начаться и с трех инженеров, защищаю- щих небольшую инфраструктуру, но предоставляющих оценку актуальных угроз и рисков, информацию о злоумышленниках и их активностях, позволяющую самим защитникам и их орга- низации снизить возможный ущерб благодаря более коррект- ному принятию решений. А в теории – с пяти понятных, но непростых шагов: выбора "свой или outsource", набора услуг и задач, полномочий, ситуационной осведомленности, PDCA по всем направлениям деятельности. Никита Цыганков, АО "ДиалогНаука": Несомненно, задумываться о создании SOC следует, только достигнув определенного уровня зрелости компании в выстраивании процессов управления и реагирования на инциденты, повыше- нии компетентности персонала и пр. Илья Кондратьев, АМТ-ГРУП: Соглашусь, что с ростом обслуживаемой инфраструктуры эффект от SOС становится все более ощутимым. При этом становится целесообразным применение средств автоматизации процессов, за счет чего появляется возможность концентрации аналитиков на узко- специальных задачах. Роман Ванерке, АО "ДиалогНаука": На мой взгляд, автор немного запутался. С одной стороны, корректен вывод о том, что если инфраструктура невелика, то корреляция не нужна, а скорее нужен грамотный ИБ-специалист, который смо- жет закрыть большую часть вопросов. С другой стороны, у автора прослеживается некорректная мысль, что SOC = SIEM (корреляция). SOC – это не только SIEM, но и множество других подсистем информационной безопасности, каждая из которых выполняет свою задачу в рамках реализованных в SOC процес- сов (киберразведка, аналитика, расследование и т.д.). Руслан Рахметов, Security Vision: Не будем забывать, что SOC – это люди, процессы и технологии. Безусловно, для решения ограниченного числа задач в малых масштабах подойдет и система лог-менеджмента, и SIEM. Но по достижении определенного уровня сложности процессов ИБ в SOC, в част- ности при обработке киберинцидентов, нужны будут уже IRP/SOAR-решения. Можно сказать, что показателем зрелости центра SOC будет осознанная потребность в таких продуктах, позволяющих существенно ускорить обработку инцидентов и упростить решение рутинных задач ИБ. У нас есть авторская точка зрения на развитие систем автоматизации информа- ционной безопасности, где SIEM – это начальная точка зрелости и впереди большой путь развития, вплоть до автома- тического контроля и роботизации ИБ и ИТ. Ксения Темникова, Московский политех: Команда SOC выдает готовые знания, этими знаниями необходимо управлять. То есть в системе финансовой и нефинансовой мотивации команды SOC важно предусмотреть участие каждого члена этой команды в формировании системы управления знаниями. Это критически важно как для удержания тех, кто сейчас работает в SOC, так и для формирования кадрового резерва. Комментарии экспертов