Что такое SOC и почему растёт спрос на их услуги?

Введение

Количество киберугроз растёт, развивается хактивизм, появляются новые схемы для нападений, увеличивается число гибридных атак, а сами нападения становятся дешевле — в этом контексте проактивная защита выходит на первый план. 

Эффективный инструмент для этого — центры мониторинга, которые позволяют организациям оперативно обнаруживать и реагировать на кибератаки, а также предвосхищать их.

Что такое SOC?

Security operations center (SOC), центр оперативного реагирования на инциденты информационной безопасности (ИБ) или мониторинга кибербезопасности — вариантов названия много. Такие сервисы создают комплекс из технологических решений, процессов, навыков специалистов высокого уровня для формирования системы, защищающей от киберугроз. Цель — непрерывный контроль цифровой инфраструктуры бизнеса, минимизация рисков, а также последствий возможных атак

Специалисты по защите информации (системный администратор, аналитик, специалисты по настройке внутренних структур обработки инцидентов (SIEM, SOAR, IRP и т. д.), по реверс-инжинирингу, по киберразведке, форензик-эксперт) в реальном времени отслеживают угрозы с помощью технических средств, обнаруживают, анализируют, отвечают на происшествия. Менеджер SOC адаптирует техническую информацию от этой команды, позволяя руководству и собственникам понимать, какие угрозы возникают, какой наносят ущерб.

Такие структуры могут быть внутренними или внешними (аутсорсинговыми). Первые формирует сама компания, нанимая экспертов ИБ в штат, выстраивая нужную платформу. Аутсорсинговая структура предоставляет те же услуги, но от внешней группы экспертов и частично внешней же инфраструктуры, в соответствии с поставленными по договору KPI. Подобная структура не требует расширения штата, запустить постоянную работу можно оперативнее.

Преимущества SOC

• Комплексная и проактивная ИБ. Они предотвращают, предвосхищают кибератаки, анализируя уязвимости, исследуя угрозы, отслеживая новые инструменты атак. 
• Круглосуточный контроль и реагирование. Security operations center функционирует 24/7, обеспечивая постоянное наблюдение, мгновенно отвечая на происшествия. Позволяет при эскалации выходить за рамки шаблонных или ограниченных техникой решений.
• Высокий уровень экспертизы. SOC включает ряд экспертов различного профиля, способных работать отдельно и совместно, используя специфические знания и опыт.
• Использование новых технологий. Профильные структуры применяют системы обнаружения и предотвращения вторжений (IDS/IPS), решения для управления событиями ИБ (SIEM), аналитические платформы. Постоянно ведутся исследования, обновляются оборудование, ПО, сценарии, алгоритмы противодействия.
• Снижение затрат. Внешние эксперты обеспечения ИБ помогают бизнесу снизить расходы благодаря своей специализации.

При этом эксперты подчёркивают, что значимый фактор успеха — широта покрытия мониторингом ИТ-инфраструктуры организации.

Функции SOC

• Наблюдение и анализ информационных систем и отслеживание аномалий. SOC изучает сетевые события в реальном времени, анализирует данные для обнаружения подозрительной активности или вероятных угроз.
• Реагирование на киберугрозы и инциденты. SOC быстро предотвращает или минимизирует последствия атаки, останавливает распространение угрозы.
• Управление уязвимостями. Выявляет, а затем устраняет уязвимости, распознаёт и классифицирует инциденты по уровню критичности.
• Форензика (компьютерная криминалистика). После происшествия SOC выявляет причины и методы атаки, помогает улучшить «щит» и предотвратить повторные нападения.
• Обучение и консультирование. Предоставляет рекомендации и обучение для сотрудников заказчика, повышая их осведомлённость о киберугрозах и действенных практиках. 75% компаний проводят киберучения для повышения квалификации ИБ-специалистов, а в госсекторе у 82% предприятий есть обучение компетенциям ИБ.
• Соответствие регуляторным требованиям. В некоторых отраслях (финансах, здравоохранении и госсекторе) необходимо соблюдать нормативные акты и требования в области ИБ.

Коммерческие SOC — обзор рынка России

При росте рынка ИБ в целом на 15—35% в 2023 году рынок центров реагирования вырос на 50—60%. Тренду на повышение способствовало усиление законодательства в области ИБ, требующего от бизнеса соблюдения ряда стандартов и норм. Но ещё сильнее повлияла быстрая цифровизация бизнеса, открыв новые каналы для атак.

Российский рынок представлен сразу несколькими крупными игроками: 

• BI.ZONE предоставляет сервис по непрерывному мониторингу событий и реагированию на киберинциденты BI.ZONE TDR. 
• «Солар» (Solar JSOC) предлагает высокую степень автоматизации, развивает управляемые услуги безопасности (MSS), доступные малому бизнесу. 
• F.A.C.C.T. (Fight Against Cybercrime Technologies), в отличие от классического security operations center, самостоятельно реагируют на происшествия для оперативной локализации, ведут проактивный поиск киберугроз (threat hunting). 
• «Лаборатория Касперского» разрабатывает комплексные структуры security operations center, от стратегии до политик, процедур, рекомендаций, проводит оценку зрелости и разработку подходов к threat intelligence (TI).

Что учитывать при выборе коммерческого SOC?

Методология сравнения

При выборе коммерческого Security Operations Center, важно провести детальное сравнение различных предложений, чтобы выбрать наиболее подходящее решение для вашей организации. Рассмотрим критерии выбора.

Уровень экспертизы команды

Изучите квалификацию команды. Убедитесь, что у сотрудников есть необходимые сертификаты (например, CISSP, CEH, GIAC) и опыт работы в области ИБ. Некоторые security operations center могут специализироваться на отраслях — здравоохранении, энергетике и других.

Функционал и услуги

• Мониторинг и анализ событий. SOC должен предоставлять круглосуточную поддержку.
• Инцидент-менеджмент. Важно, чтобы были чётко прописанные процессы.
• Обнаружение угроз. Наличие инструментов анализа и обнаружения аномалий, таких как SIEM (security information and event management).
• Пресечение фишинговых атак. Проверка входящих сообщений на наличие фишинга и других видов социальной инженерии.
• Проактивная ИБ. Оценивайте возможность проведения тестов на проникновение (pentest) и аудитов.

Технологии и инструменты

• Security operations center должен использовать современные решения для сбора и корреляции логов, такие как Splunk, IBM QRadar, ArcSight и другие.
• Автоматизированные средства — для автоматического блокирования подозрительных действий и происшествий.
• Анализ поведения пользователей и сущностей (UEBA). Современные технологии анализа поведенческих моделей выявляют аномалии в поведении пользователей и устройств.

Поддерживаемые стандарты и соответствие требованиям

• Соответствие стандартам ISO/IEC 27001, PCI DSS, GDPR и другим нормативным актам, которые важны для вашего бизнеса.
• Наличие сертификатов и лицензий. Убедитесь, что есть все необходимые лицензии и аккредитации для предоставления услуг.

Масштабируемость и гибкость

• Адаптация под потребности заказчика. Нужно понимать, может ли  легко security operations center масштабироваться вместе с ростом бизнеса.
• Индивидуальные решения. Изучите, способен ли сервис предложить кастомизированные решения, учитывающие специфику бизнеса.

Отчетность и прозрачность

• Составление регулярных отчётов о состоянии ИБ. 
• Получение доступа к аналитическим инструментам и отчётам через веб-интерфейсы или API.

Стоимость и условия обслуживания

• Прозрачная ценовая политика. Сравните стоимость услуг поставщиков SOC, включая скрытые платежи за дополнительные функции.
• Гибкость тарифов. Предоставляет ли сервис тарифные планы для бизнеса разных размеров.
• Service level agreement (SLA). Какие гарантии качества обслуживания предлагаются: например, время реакции на инцидент, доступность сервиса и другие.

Ограничения SOC 

У security operations center есть и ряд ограничений. 

• Высокие траты. Создание с последующей поддержкой собственного security operations center требует трат на платформу, персонал, обновление технологий. Для малых или средних предприятий такие инвестиции могут оказаться неэффективными.
• Дефицит специалистов. Требуются квалифицированные сотрудники с узкой специализацией. в области кибербезопасности. При этом в России на середину 2024 года общая нехватка персонала ИБ уже составляет 45%.
• Сложность интеграции. Неудачная интеграция может снизить эффективность, создать дополнительные риски, что актуально для заказчиков с устаревшей инфраструктурой или разнородными информационными системами.
• Ложные срабатывания. SOC может генерировать большое количество ложных срабатываний (false positives), приводя к «утомлению от тревог» (alert fatigue), когда специалисты начинают игнорировать предупреждения, пропуская реальную угрозу.
• Комплексность управления. Координирование работы включает множество аспектов: техническое обеспечение, мониторинг, стратегическое планирование, постоянное обучение сотрудников заказчика.
• Ограниченная адаптация к специфическим угрозам. Некоторые SOC менее эффективны в обнаружении и реагировании на уникальные для определённой отрасли или бизнеса угрозы. Могут потребоваться специализированные решения, увеличивающие сложность и стоимость решений.

Общие сведения и тестовый период

Тестовый период позволяет заказчику оценить качество услуг и соответствие предложения своим потребностям перед заключением долгосрочного контракта. Проведение тестирования проходит в пять шагов.

1. Определение целей и задач тестирования

На этом этапе определяются показатели эффективности (KPI), которые будут использоваться заказчиком для оценки работы. Например, время обнаружения инцидента, скорость реакции, количество ложных срабатываний, уровень удовлетворённости пользователей.

2. Планирование и подготовка

Разработка плана тестирования, включающего:

• описание инфраструктуры клиента;
• перечень используемых инструментов и технологий;
• график проведения тестов;
• методы сбора и анализа информации.

3. Проведение пилотного проекта

В рамках пилотного проекта security operations center начинает работу с ограниченным набором функций и сервисов. Так проверяется взаимодействие между командами, выявляются возможные проблемы и оптимизируются процессы.

4. Оценка результатов

После завершения пилотного проекта проводится анализ полученной информации и сравнение с установленными KPI. На основе этого анализа заказчик делает вывод о том, насколько эффективно работает security operations center и какие улучшения необходимо внести.

5. Принятие решения

По итогам тестирования потенциальный заказчик принимает решение о продолжении сотрудничества или отказе от услуг. Если результаты положительные, подписывается контракт.

Услуги и технологии поставщиков

Поставщики коммерческих SOC предлагают спектр услуг и технологий, чтобы обеспечить неуязвимость данных заказчиков.

Услуги коммерческих SOC

• Мониторинг и анализ событий. Сбор и корреляция логов из разных источников (от сервера, сетевых устройств, из приложений). Анализ аномалий и подозрительных действий в реальном времени. 
• Управление инцидентами. Идентификация и классификация инцидентов. Определение приоритетов инцидентов на основе их критичности, планирование. Координация с внутренними командами заказчика и внешними партнёрами.
• Предоставление отчётов и аналитики. Регулярные отчёты о состоянии ИБ сети. Аналитика угроз и трендов кибератак. Прогнозирование уязвимостей и рисков.
• Консультации и обучение. Консультации по вопросам ИБ и обучение персонала заказчика. Проведение тренингов и симуляций атак.

10 главных технологий коммерческого SOC

1. SIEM-системы. Собирают и анализируют данные из множества источников, помогая выявлять угрозы и отвечать на них.
2. Технологии машинного обучения и искусственного интеллекта. Для автоматического обнаружения аномальных активностей и прогнозирования угроз, автоматизации рутинных задач.
3. Инструменты управления уязвимостями. Сканеры уязвимостей и инструменты для оценки конфигурации и соответствия стандартам ИБ.
4. Системы предотвращения вторжений (IPS). Блокировка подозрительной активности до того, как она нанесёт ущерб.
5. Решения для защиты конечных точек (EDR). Контроль за действиями пользователей и приложений на рабочих станциях и серверах. Выявление и устранение вредоносного ПО.
6. Анализ поведения пользователей и сущностей (UEBA). Технология, отслеживающая поведение пользователей и устройств, выявляя отклонения от нормы, которые могут указывать на компрометацию учётной записи или несанкционированный доступ.
7. Платформы оркестрации и автоматизации SOAR. Интеграция инструментов ИБ и автоматизация процессов.
8. Шифрование и управление ключами. Применяется для сохранения конфиденциальности информации при передаче и хранении, управление сертификатами.
9. Защищённое удалённое подключение (VPN). Обеспечение безопасного доступа к корпоративным ресурсам для сотрудников и партнёров.
10. Антивирусные решения и песочницы. Обнаружение и изоляция вредоносного ПО перед тем, как оно сможет нанести вред.

Кому не подходит SOC

Для малых предприятий с ограниченным бюджетом траты на создание и поддержание такой платформы могут быть непропорционально высокими по сравнению с потенциальными рисками. В таких случаях более эффективными могут быть MSS или облачные решения. Также организации с низким уровнем киберугроз, возможно, не получат достаточной выгоды от внедрения SOC. Для них может быть достаточно базовых мер: антивирусов или брандмауэров.

Если нет чёткой стратегии, выстроенного управления данными (неструктурированные затрудняют анализ взаимосвязей) или не хватает ресурсов, security operations center также не будет эффективен.

Перспективы рынка

Компании проявляют всё больший интерес к рынку ИБ, так как количество цифровых угроз непрерывно растёт. По оценкам аналитиков F.A.C.C.T., в 2023 году было обнаружено на 68% больше фишинговых доменов, чем в 2022 году. «Лаборатория Касперского» находит по 40—50 уязвимостей в программах с открытым кодом, а также по 100—150 уязвимостей высокого уровня. Бизнесу нужна эффективная защита, способная адаптироваться под постоянно изменяющиеся условия, SOC как раз направлен на решение подобной задачи. Поэтому, по оценкам экспертов, мировой рынок таких услуг будет в среднем расти на 10,3% ежегодно в прогнозируемый период до 2030 года.

• Чтобы быть в курсе важных трендов и мнений ведущих экспертов, следите за нами в телеграм-канале. О развитии навыков управления, личностном росте пишем в «Дзене». Про технологии и развитие в IT — в блоге на VC.