При построении Security Operation Center каждый из его компонентов играет важную роль, уверен заместитель директора Angara SOC по развитию бизнеса Артём Грибков. По его словам, люди, процессы и технологии являются ключевыми активами для построения высокоэффективных центров мониторинга (Security Operation Center).
«Сложно переоценить важность каждого из них, ещё труднее говорить о превалировании одного над другими», — подчёркивает эксперт.
При выстраивании процессов SecOps нужно решить несколько задач, отметил Грибков. В первую очередь важно определить цели SOC, которые могут различаться в зависимости от специфики компании и её актуальных задач по защите цифровых активов. Далее — провести аудит активов и существующих бизнес-процессов, на основе которых строится модель потенциальных киберугроз. Следующий этап — определить стек технологий и средств защиты информации, чтобы покрыть тактики и техники злоумышленников в соответствии с разработанной моделью угроз и обеспечить сбор телеметрии, необходимой для анализа.
Также необходимо сформировать пул технических средств для реализации задач центра мониторинга, которые необходимы для анализа событий ИБ, управления жизненным циклом инцидентов ИБ, автоматизации процессов и т. д.
«Таким образом, создание консистентной технологической базы, которая позволит центру качественно и оперативно выполнять свои функции, является одной из ключевых задач SOC», — резюмирует представитель Angara SOC. По его мнению, автоматизация позволяет значительно снизить затраты человеческих ресурсов в рутинных процессах SOC.
«И в Angara SOC мы уделяем ей большое внимание, — заверил Артём Грибков. — Среди прочего значительных результатов нам удалось достичь в процессах первичного обогащения подозрений на инциденты, когда в линию аналитикам поступают не просто данные о результатах работы правил корреляции, а расширенный контекст события: сводка сработок СЗИ по задействованным активам, результаты проверки цифровой подписи файлов, дерево процессов, данные по вовлечённым учётным записям и многое другое».
Однако автоматизация не способна заменить людей, хотя и вполне успешно позволяет справляться с рутинными задачи, освобождая больше времени для «творческих», добавил эксперт.
Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. Развитие корпоративных и коммерческих центров мониторинга (SOC) немыслимо без новых технологий, которые постоянно появляются на рынке и помогают решать многочисленные задачи ИБ. Однако эффект от новых технологий напрямую зависит от правильности подобранного решения, его адаптации и эксплуатации.
Узнайте на «Технологии SOC», как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ!
