Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Защита сетевой инфраструктуры предприятия

Операционные центры информационной безопасности или SOC (Security Operations Center), они же центры мониторинга кибератак и реагирования на киберинциденты — фундамент, который обеспечивает устойчивость полностью «оцифрованных» и напрямую связанных с информационными технологиями процессов предприятия. С помощью программно-аппаратных средств и экспертизы специалистов они позволяют производить мониторинг ИТ-инфраструктуры и аккумулируют данные о событиях информационной безопасности, выявляют аномалии, реагируют на угрозы. Они же на основе собранной информации расследуют инциденты, оказывают помощь ИТ-службе в процессе инвентаризации информационных ресурсов, в зависимости от зрелости процессов могут выполнять множество других задач.  Об оценке эффективности SOC, выборе средств защиты, о том, какой модели отдать предпочтение: собственному SOC или коммерческому, рассказывает директор по продуктам компании «Гарда Технологии» Павел Кузнецов.

Какие метрики использовать для оценки эффективности SOC

Тема оценки эффективности SOC обширна, и подходы к такой оценке могут быть различными. Как правило, в базовый набор метрик входит выполнение всех прописанных SLA. Причем, временные параметры разнятся по классификации отрабатываемых процессов. Для инцидентов на критических для компании ресурсах эта метрика может быть максимально сжата и требование по времени реагирования и предоставления заинтересованным подразделениям информации, как правило, не превышает узких окон — в 5-15 минут. В случае же с отработками низкоприоритетного характера может быть установлено требование по формированию общего отчета за период. Это применимо, к примеру, для выявленной атаки, не подтвержденного инцидента, а только попытки проникновения, малоопасного и максимального распространенного, типа сканирования сервисов на периметре инфраструктуры. В Интернет сканируют «все и всех», поэтому экстренное реагирование на каждую попытку — это сжигание ресурсов. Важно удостовериться лишь, что такие попытки фиксируются автоматизированными средствами, не оставаясь незамеченными, на случай дальнейшего развития атаки. 

Временной параметр можно также декомпозировать на три основные составляющие: 

  • время обнаружения;
  • время оценки;
  • время реагирования. 

Для одних зафиксированных событий актуальны все три параметра, для каких-то достаточно и первого.

Вместе с тем, есть, на что обратить внимание, даже имея прописанную процессную модель с сопутствующими SLA и их контролем, ведь достижение состояния защищенности — постоянная игра «в догонялки» с не стоящими на месте атакующими. Именно поэтому любой SOC должен развиваться и быть готовым гибко реагировать на изменение ландшафта угроз.  С точки зрения тех же временных параметров, имеет смысл проводить сравнение затраченных на обнаружение, оценку и реагирование человеко-часов за различные периоды ДО и ПОСЛЕ внедрения новых средств защиты информации, средств автоматизации и оркестрации кибербезопасности. 

Речь не только об аналитических платформах, но и о подручных средствах, создаваемых как инженерами инфраструктуры SOC, так и сотрудниками всех линий мониторинга для облегчения своей работы с помощью сценарных языков программирования и API используемых средств защиты. 

Переходя же к качественному измерению, возможно, к примеру, оценить, сколько инцидентов покрывается автоматическим детектированием и отработкой дежурной смены по готовым playbook’ам реагирования, а сколько приходится эскалировать. Из этой метрики можно делать выводы о качестве детектирующего контента и ставить задачи второй и третьей линиям по его улучшению и дополнению после разбора и обнаружения причин тех случаев, когда требовалась передача. Полезной метрикой является число атак, либо подтвержденных инцидентов, затрагивающих критические активы. Их высокое количество может свидетельствовать о серьезных архитектурных недостатках либо всей защищаемой инфраструктуры, либо эшелонированной системы безопасности.

Однако наиболее качественно оценить эффективность работы SOC возможно только «в бою» — запустив процесс red team’инга (постоянной проверки инфраструктуры «на прочность» силами обособленного подразделения специалистов по тестированию на проникновение), либо организуя регулярные полноценные учения с привлечением внешней команды red team. С помощью такой проверки можно быстро оценить и понять все основные слабые места центра мониторинга: увидеть, где наблюдаются недостатки покрытия — «видимости» активов и событий, где сотрудники испытывают проблемы с корректным реагированием, и даже выяснить, что в сети появился в обход установленных процедур новый актив. 

Это, во-первых, может явиться причиной для пересмотра процессов взаимодействия с ИТ-подразделением и, во-вторых, впоследствии поможет избежать серьезных потерь при реальной атаке злоумышленников, так как SOC уже будет полностью готов к ее отражению, отработав соответствующие действия множество раз.

Обязательные, желательные, второстепенные средства защиты

Базовый набор инструментов описан достаточно давно в виде «триады видимости SOC» и включает в себя:

  1. Решения сетевого мониторинга и реагирования (network traffic analysis/network detection & response, NTA/NDR);
  2. Решения для работы с «конечными точками» в инфраструктуре (endpoint detection & response, EDR);
  3. SIEM-системы (Security information and event management), исторически ставшие ядром современных SOC. 

Последние используются зачастую как решение для onboarding’а на мониторинг всего того, что подключить к EDR и NTA/NDR пока что невозможно, либо трудозатратно с точки зрения непосредственно сбора и анализа событий и организации корректного реагирования. 

Триада видимости SOC

Для «зрелой» части системы информационной безопасности организации можно порекомендовать уделить дополнительное внимание защите именно критических активов. Например, в случае опасений, связанных с утечками информации, применить решения, защищающие хранилища и базы данных, классов DAM/DBF, а в случае критической необходимости обеспечить стабильность периметровых ресурсов — anti-DDoS решения. 

Зрелый подход к обеспечению киберустойчивости также предполагает проактивность, поэтому нелишне будет рассмотреть возможность подключения сервиса threat intelligence (TI, «проактивная аналитика киберугроз»). Это поможет лучше понимать ландшафт релевантных для защищаемой инфраструктуры угроз и получить возможность готовиться к атаке еще до ее начала, а также проводить на основе аналитических данных периодический compromise assessment — проверки на предмет возможно уже произошедшего, но пропущенного проникновения злоумышленника в сеть. А это, к сожалению, не редкость. Особенно если речь идет о квалифицированных атакующих, которые классифицируются как advanced persistent threat — в прямом переводе «устойчивая угроза продвинутого уровня». Подобные группы атакующих после успешного проникновения в сеть могут оставаться незамеченными даже годами.

SOC: свой или чужой

Свои плюсы и минусы есть и у внутреннего, и у внешнего, коммерческого SOC. Так, у совсем небольшого количества компаний, особенно не относящихся к отрасли ИТ, имеется достаточный ресурс на набор в штат команды действительно квалифицированных специалистов по кибербезопасности. Также необходимо принять во внимание сложную ситуацию с квалифицированными специалистами на рынке труда. Для многих компаний внешний SOC — очевидное решение, однако же степень знания инфраструктуры, погруженности в особенности процессов и контекста бизнеса у штатного сотрудника всегда будет выше. В этом случае рекомендуется комбинировать подходы. Внутренний специалист по кибербезопасности, погруженный в контекст организации, необходим ей с того момента, когда в ней появляется хотя бы минимальная зависимость стабильности бизнес-процессов от ИТ. Этот специалист (а в дальнейшем — растущее подразделение) может выступать интерфейсом взаимодействия с внешним SOC на всех этапах зрелости ИТ в компании, а затем, по мере появления ресурсов, можно начинать перенимать мониторинг от сервиса, следуя итеративному подходу. Поэтому какую-то конкретную точку принятия решения вида «свой SOC или сервис» назвать сложно. Однако, если мы ведем речь об активах, содержащих, к примеру, информацию ограниченного распространения, охраняемую законом, то внешний сервисный мониторинг безопасности таких активов будет затруднен, если не невозможен — и поэтому при их наличии строить свой SOC придется сразу же.

Как выбрать коммерческий SOC

При выборе коммерческого SOC следует обращать внимание на следующие параметры: 

  • наличие подтверждаемых компетенций в обеспечении кибербезопасности; 
  • соответствие предлагаемого набора услуг потребностям организации; 
  • репутационный фактор, в том числе наличие рекомендаций от текущих клиентов; 
  • степень зрелости и детализации предлагаемых SLA; 
  • готовность брать на себя ответственность в случае их нарушения.

Необходимо отметить, что российские коммерческие SOC являются зрелыми подразделениями, обладают отличным набором компетенций и укомплектованы специалистами, прошедшими, как правило, одну из лучших инженерных школ в мире — отечественную. Поэтому, определяя для себя сервисную модель как приоритетную, заказчик получает возможность выбирать из большого числа провайдеров. 

По всем вопросам обращайтесь:
Иван Романенко,
Менеджер по развитию бизнеса вендора Гарда Технологии
ivan.romanenko@softline.com
+79896114370
+7 (495) 2320023 ext. 5314

Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot.  

Теги:

Новости, истории и события
Смотреть все
ГК Softline стала платиновым партнером Eltex
Новости

ГК Softline стала платиновым партнером Eltex

27.05.2025

SL Soft (ГК Softline) представила новую версию модуля электронного наряд-допуска Visitech
Новости

SL Soft (ГК Softline) представила новую версию модуля электронного наряд-допуска Visitech

27.05.2025

Группа «Борлас» (ГК Softline) – эксклюзивный дистрибьютор ПО CAE Fidesys
Новости

Группа «Борлас» (ГК Softline) – эксклюзивный дистрибьютор ПО CAE Fidesys

23.05.2025

ГК Softline стала победителем премии «Технологические лидеры клиентоцентричности» в номинации «Позитивное упоминание продуктов и сервисов в медиа»
Новости

ГК Softline стала победителем премии «Технологические лидеры клиентоцентричности» в номинации «Позитивное упоминание продуктов и сервисов в медиа»

26.05.2025

Студенты МГТУ им. Н.Э. Баумана учатся работать в ОС «МСВСфера» 9 от «Инферит» (ГК Softline)
Новости

Студенты МГТУ им. Н.Э. Баумана учатся работать в ОС «МСВСфера» 9 от «Инферит» (ГК Softline)

26.05.2025

Внешний юридически значимый электронный документооборот крупной нефтяной компании обеспечен решением от SL Soft (ГК Softline) и СКБ Контур
Новости

Внешний юридически значимый электронный документооборот крупной нефтяной компании обеспечен решением от SL Soft (ГК Softline) и СКБ Контур

26.05.2025

Годовое общее собрание акционеров ПАО «Софтлайн» состоится 30 июня 2025 года
Новости

Годовое общее собрание акционеров ПАО «Софтлайн» состоится 30 июня 2025 года

26.05.2025

Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве
Новости

Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве

23.05.2025

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры
Новости

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры

23.05.2025

ГК Softline получила награду от МойОфис за высокие показатели продаж
Новости

ГК Softline получила награду от МойОфис за высокие показатели продаж

23.05.2025

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)
Новости

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)

22.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)

22.05.2025

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года
Новости

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года

22.05.2025

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS
Новости

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS

21.05.2025

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»
Новости

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»

21.05.2025

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»
Новости

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»

20.05.2025

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов
Новости

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов

19.05.2025

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова
Новости

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова

19.05.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться