Операционный центр информационной безопасности

Операционный центр информационной безопасности ( ISOC или SOC ) — это объект, на котором корпоративные информационные системы ( веб-сайты , приложения , базы данных , центры обработки данных и серверы , сети , настольные компьютеры и другие конечные точки) контролируются, оцениваются и защищаются.

Цель

SOC связан с людьми, процессами и технологиями, которые обеспечивают ситуационную осведомленность посредством обнаружения, сдерживания и устранения ИТ-угроз с целью управления и повышения уровня безопасности организации. ^[1] SOC будет обрабатывать от имени учреждения или компании любой угрожающий ИТ-инцидент и обеспечивать его правильное выявление, анализ, передачу информации, расследование и отчетность. SOC также отслеживает приложения для выявления возможной кибератаки или вторжения (события) и определяет, является ли это подлинной злонамеренной угрозой (инцидентом) и может ли она повлиять на бизнес.

Нормативные требования

Создание и эксплуатация SOC обходится дорого и сложно; организациям должна быть веская причина, чтобы сделать это. Это может включать в себя:

Защита конфиденциальных данных
Соответствие отраслевым правилам, таким как PCI DSS . ^[2]
Соответствие государственным правилам, таким как CESG GPG53. ^[3]

Альтернативные названия

Центр операций безопасности (SOC) также можно назвать центром защиты безопасности (SDC), центром аналитики безопасности (SAC), центром операций сетевой безопасности (NSOC), ^[4] центр разведки безопасности, центр кибербезопасности, центр защиты от угроз, центр разведки и операций безопасности (SIOC). В федеральном правительстве Канады для описания SOC используется термин «центр защиты инфраструктуры» (IPC).

Технология

SOC обычно основаны на системе управления информацией о безопасности и событиями (SIEM), которая объединяет и сопоставляет данные из каналов безопасности, таких как обнаружения сетей и оценки уязвимостей системы ; системы управления, рисков и соответствия (GRC); системы оценки и мониторинга веб-сайтов, сканеры приложений и баз данных; инструменты тестирования на проникновение ; системы обнаружения вторжений (IDS); система предотвращения вторжений (IPS); системы управления журналами; анализ поведения сети и разведка киберугроз ; беспроводная система предотвращения вторжений; межсетевые экраны, корпоративный антивирус и унифицированное управление угрозами (UTM). Технология SIEM создает «единое окно», позволяющее аналитикам безопасности контролировать предприятие.

Люди

В штат SOC входят аналитики, инженеры по безопасности и менеджеры SOC, которые должны быть опытными специалистами в области ИТ и сетей. Они обычно проходят подготовку в области компьютерной инженерии , криптографии , сетевой инженерии или информатики и могут иметь такие полномочия, как CISSP или GIAC .

Планы штатного расписания SOC варьируются от восьми часов в день, пять дней в неделю (8x5), до двадцати четырех часов в день, семь дней в неделю (24x7). В смену должно входить как минимум два аналитика, а обязанности должны быть четко определены.

Организация

Крупные организации и правительства могут использовать более одного SOC для управления различными группами информационных и коммуникационных технологий или для обеспечения резервирования в случае недоступности одного сайта. Работу SOC можно передать на аутсорсинг, например, с помощью управляемой службы безопасности . Термин SOC традиционно использовался правительствами и поставщиками управляемой компьютерной безопасности, хотя такие центры также есть у все большего числа крупных корпораций и других организаций.

SOC и центр сетевых операций (NOC) дополняют друг друга и работают в тандеме. NOC обычно отвечает за мониторинг и обслуживание всей сетевой инфраструктуры, а его основной функцией является обеспечение бесперебойного сетевого обслуживания. SOC отвечает за защиту сетей, а также веб-сайтов, приложений, баз данных, серверов и центров обработки данных, а также других технологий. Аналогичным образом, SOC и операционный центр физической безопасности координируют свои действия и работают вместе. Физический SOC — это объект в крупных организациях, где сотрудники службы безопасности контролируют и контролируют сотрудников службы безопасности/охранников, сигнализацию, систему видеонаблюдения, физический доступ, освещение, транспортные барьеры и т. д.

Не каждый SOC выполняет одинаковую роль. Существует три различных направления деятельности, в которых SOC может быть активен и которые можно комбинировать в любой комбинации:

Контроль – сосредоточение внимания на состоянии безопасности с помощью тестирования на соответствие, тестирования на проникновение, тестирования уязвимостей и т. д.
Мониторинг — сосредоточение внимания на событиях и реагировании с помощью мониторинга журналов, администрирования SIEM и реагирования на инциденты.
Операционный - сосредоточено на оперативном администрировании безопасности, таком как управление идентификацией и доступом, управление ключами, администрирование брандмауэра и т. д.

В некоторых случаях SOC, NOC или физический SOC могут размещаться на одном объекте или организационно объединяться, особенно если основное внимание уделяется оперативным задачам. Если SOC создан организацией CERT , то основное внимание обычно уделяется мониторингу и контролю , и в этом случае SOC действует независимо от NOC, чтобы обеспечить разделение обязанностей . Обычно более крупные организации поддерживают отдельный SOC, чтобы обеспечить сосредоточенность и профессионализм. Затем SOC тесно сотрудничает с сетевыми операциями и операциями по физической безопасности.

Удобства

SOC обычно хорошо защищены физической, электронной, компьютерной и кадровой безопасностью. В центрах часто располагаются столы, обращенные к видеостене, на которой отображается важный статус, события и сигналы тревоги; продолжающиеся инциденты; угол стены иногда используется для показа новостного или метеорологического телеканала, поскольку это может держать персонал SOC в курсе текущих событий, которые могут повлиять на информационные системы. У инженера по безопасности или аналитика безопасности на столе может быть несколько компьютерных мониторов.

Процесс и процедуры

В процессах и процедурах внутри SOC будут четко определены роли и обязанности, а также процедуры мониторинга. Эти процессы включают бизнес, технологии, операционные и аналитические процессы. В них изложено, какие шаги следует предпринять в случае предупреждения или нарушения, включая процедуры эскалации, процедуры отчетности и процедуры реагирования на нарушения.

CloudSOC

Центр операций облачной безопасности (CloudSOC) может быть настроен для мониторинга использования облачных сервисов на предприятии (и держать под контролем проблемы теневых ИТ ), а также для анализа и аудита журналов ИТ-инфраструктуры и приложений с помощью технологий SIEM и платформ машинных данных для предоставления предупреждений. и подробности подозрительной деятельности.

Умный СОК

Smart SOC (Центр управления безопасностью) — это комплексное, независящее от технологий решение кибербезопасности , в котором используются передовые технологии и инструменты, высококвалифицированные и опытные человеческие кадры (состоящие из сборщиков киберразведки, аналитиков и экспертов по безопасности), а также принципы упреждающей кибервойны для предотвращать и нейтрализовать угрозы цифровой инфраструктуре, активам и данным организации.

Другие типы и ссылки

Кроме того, существует множество других часто упоминаемых терминов, связанных с первоначальным названием «ISOC», включая следующие:

SNOC, Центр управления сетями безопасности
ASOC, Центр операций повышенной безопасности
GSOC, Центр операций глобальной безопасности
vSOC, Центр управления виртуальной безопасностью ^[5]

См. также

Ссылки

^ Вильберт, М.; Бём, Ф.; Фихтингер, И.; Пернул, Г. (2020). «Центр управления безопасностью: систематическое исследование и открытые проблемы» . Доступ IEEE . 8 : 227756–227779. дои : 10.1109/ACCESS.2020.3045514 . ISSN 2169-3536 .
^ «PCI DSS 3.0: влияние на ваши операции по обеспечению безопасности» . Неделя безопасности . 31 декабря 2013 года . Проверено 22 июня 2014 г.
^ «Мониторинг транзакций для поставщиков онлайн-услуг HMG» (PDF) . ЦЕСГ . Проверено 22 июня 2014 г.
^ «Управляемые услуги в Центре управления сетевой безопасностью Tactical FLEX, Inc. (NSOC)» . Tactical FLEX, Inc. Архивировано из оригинала 24 сентября 2014 года . Проверено 20 сентября 2014 г.
^ «Что такое центр управления виртуальной безопасностью (VSOC)?» . www.cybersecurity.att.com .

[1] Вильберт, М.; Бём, Ф.; Фихтингер, И.; Пернул, Г. (2020). «Центр управления безопасностью: систематическое исследование и открытые проблемы» . Доступ IEEE . 8 : 227756–227779. дои : 10.1109/ACCESS.2020.3045514 . ISSN 2169-3536 .

[2] «PCI DSS 3.0: влияние на ваши операции по обеспечению безопасности» . Неделя безопасности . 31 декабря 2013 года . Проверено 22 июня 2014 г.

[3] «Мониторинг транзакций для поставщиков онлайн-услуг HMG» (PDF) . ЦЕСГ . Проверено 22 июня 2014 г.

[4] «Управляемые услуги в Центре управления сетевой безопасностью Tactical FLEX, Inc. (NSOC)» . Tactical FLEX, Inc. Архивировано из оригинала 24 сентября 2014 года . Проверено 20 сентября 2014 г.

[5] «Что такое центр управления виртуальной безопасностью (VSOC)?» . www.cybersecurity.att.com .

[1]

[2]

[3]

[4]

[5]