«Развиваете SOC? Мы знаем, как вам помочь». Как успевать за изменениями в сфере SOC

BIS Journal №4(43)/2021

6 декабря, 2021

«Развиваете SOC? Мы знаем, как вам помочь». Как успевать за изменениями в сфере SOC

Чтобы оценить, насколько всё изменилось в сфере SOC, достаточно ответить на встречный вопрос: а насколько поменялся мир в целом и образ жизни в последние годы?

Ваш ответ можно смело умножить на два, а лучше сразу на десять, так как процессы, структура, технологии, метрики и многое другое в информационной сфере (особенно в безопасности) меняются настолько быстро, что вы, читая эту статью (а она, как вы понимаете, готовилась намного заранее), уже немного не успеваете за трендами. Но это не есть плохо, главное – стремление чётко понять, что у вас происходит в центре мониторинга ИБ, ведь нельзя улучшить то, что нельзя измерить.

SOC состоит из ряда столпов, таких как люди, бизнес, процессы, технологии и сервисы. Каждый из них напоминает цепочку действий с обратной связью, задача которой – постоянное улучшение того или иного направления. Вспомним модель Шухарта — Деминга (PDCA): Plan-Do-Check-Act. Работа в SOC — это постоянная работа над ошибками.

Для того чтобы люди успешно работали, им необходимы хорошие инструменты. Что нужно использовать из технологий в центре мониторинга ИБ? Прежде всего, существуют основополагающие классы решений, такие как SIEM-системы, IRP, IAM-системы и Threat Intelligence, и базовые технологии: средства антивирусной защиты, сканеры уязвимостей, межсетевые экраны, средства обнаружения вторжений, средства динамического анализа и так далее. Каждый вектор атаки должен покрываться несколькими слоями защиты для соответствия принципу эшелонированной ИБ. Не нужно обходить стороной и новые системы защиты, например EDR, XDR, SOAR.

Как вы могли заметить, решений на рынке много, и полезно иметь в своём арсенале комплексные системы и платформы, которые смогут покрыть несколько классов систем. Примерами могут быть такие продукты, как Kaspersky Unified Monitoring and Analysis Platform (KUMA) или платформа Kaspersky AntiTargeted Attack (KATA). Первое решение сочетает в себе функциональность SIEM-системы, которая может работать под высокой нагрузкой, тикет-систему, которая потоково обогащается данными Threat Intelligence через платформу CyberTrace, а также имеет возможность автоматически (в случае срабатывания правила корреляции) запускать задачи на Kaspersky Security для бизнеса при помощи интеграции с Kaspersky Security Center. К слову, данная SIEM-система хорошо зарекомендовала себя не только на проектах у клиентов, но и при собственном использовании в SOC«Лаборатории Касперского».

Платформа Kaspersky AntiTargeted Attack сочетает в себе функциональность анализа сетевого трафика и продвинутого динамического анализа файлов и ссылок в веб-трафике, почте и др. Также платформа интегрирована с Kaspersky Endpoint Detectionand Response – решением для выявления продвинутых угроз и реагирования на них на уровне конечных станций и серверов. Вместе с Kaspersky EDR платформа Kaspersky AntiTargeted Attack составляет современное решение класса XDR (Extended Detectionand Response), которое предназначено для комплексной передовой защиты от сложных угроз и целевых атак, в том числе класса APT.

Использование лучших практик, наличие развитой инфраструктуры систем ИТ и ИБ, а также обученные специалисты в штате Security Operations Center –  далеко не верх зрелости центра компетенции, необходимо постоянно держать команду в тонусе – обучать новым навыкам и обмениваться опытом с другими продвинутыми центрами мониторинга ИБ. Делать всё вышеперечисленное своими силами не так просто, поэтому аутсорс услуг SOC набирает популярность. К примеру, «Лаборатория Касперского» предлагает сервис управляемой безопасности Kaspersky Managed Detection and Response, который включает основные преимущества собственного SOCбез затрат на его создание – в частности, круглосуточный мониторинг происходящего в системе безопасности и реагирование в случае возникновения инцидента. Кроме того, у «Лаборатории Касперского» есть специализированные сервисы Kaspersky SOC Framework Development и Kaspersky SOC Maturity Assessment. Первый поможет на всех этапах построения центра мониторинга ИБ, а второй будет полезен для тех, у кого уже есть сложившиеся практики операционной безопасности, – он поможет оценить их зрелость и наметить дорожную карту дальнейшего развития.

Для того чтобы оценить собственный уровень зрелости SOC и понять свои сильные и слабые стороны, можно самостоятельно применять SOC-CMM (Capability Maturity Model). Используйте новые подходы и идеи для улучшения работы процессов и условий труда специалистов и не бойтесь совершать ошибки, ведь ошибок не делает только тот, кто ничего не делает. А чтобы их было меньше, обращайтесь к нам – «Лаборатория Касперского» всегда к вашим услугам!

Смотрите также