ЦЕНТР ОПЕРАЦІЙ БЕЗПЕКИ: визначення, типи, аналітик, зарплата та структура

Дані з інфраструктури, мереж, хмарних служб і пристроїв організації корелюються центром безпеки (SOC). Управління загальним станом безпеки компанії та забезпечення обізнаності про ситуацію є відповідальністю SOC, яка є спільною групою спеціалістів з інформаційної безпеки. Дізнайтеся більше про роботу аналітика в центрі безпеки. Підходи до оборонної стратегії центрів безпеки (SOC) стандартизовані рамками SOC. Це допомагає мінімізувати ризики кібербезпеки та постійно покращувати роботу. 

Центр безпеки

Цілями діяльності SOC є розпізнавання, моніторинг, відстеження, аналіз, представлення та реагування на реальні та потенційні загрози компанії. Повсякденне керування безпекою мережі та інфраструктури в організації є обов’язком команди центру безпеки (SOC). Виявляти інциденти та загрози безпеці, аналізувати їх, а потім вживати відповідних заходів — це головні цілі команди SOC. 

Практики безпеки організації, процедури та реагування на інциденти безпеки уніфіковані та координуються SOC, що є головною перевагою ведення такої організації всередині компанії або її передання стороннім підрядникам. Удосконалені політики безпеки та запобіжні заходи, швидше виявлення загроз, а також швидші, ефективніші та доступніші відповіді на загрози безпеці є типовими результатами цього. Крім того, SOC може підвищити довіру клієнтів, а також оптимізувати й посилити дотримання організацією регіональних, національних і міжнародних норм конфіденційності.

Читайте також: СИСТЕМА БЕЗПЕКИ ПІДПРИЄМСТВА: що це таке, види та вартість

Робота Центру безпеки (SOC).

#1. Планування реагування на інциденти

SOC відповідає за створення плану реагування на інциденти організації, в якому описано дії, ролі та обов’язки у випадку загрози чи інциденту, а також показники, за якими буде оцінюватися ефективність будь-якого реагування на інцидент. 

#2. Будьте в курсі

SOC стежить за найновішими інноваціями та інструментами безпеки, а також за останніми даними про загрози, тобто новинами та подробицями про кібератаки та хакерів, які їх здійснюють, зібраними з соціальних мереж, бізнес-джерел і темної мережі. .

#3. Регулярне тестування

Команда SOC проводить оцінку вразливості, поглиблену оцінку, яка точно визначає сприйнятливість кожного ресурсу до потенційних небезпек і відповідні витрати. Крім того, він виконує тести на проникнення, які імітують певні атаки на додаткові системи. На основі результатів цих тестів команда виправляє або вдосконалює програми, інструкції з безпеки, найкращі практики та плани реагування на інциденти.

#4. Регулярне технічне обслуговування та підготовка

 SOC виконує профілактичне технічне обслуговування, як-от застосування програмних виправлень і оновлень, а також регулярне оновлення брандмауерів, білих і чорних списків, політик безпеки та процедур для максимального підвищення ефективності інструментів і заходів безпеки. SOC також може створювати резервні копії системи або допомагати в розробці політик або процедур резервного копіювання для забезпечення безперервності роботи в разі порушення даних, атаки програм-вимагачів або інших інцидентів кібербезпеки.

№5. Виявлення загрози

Команда SOC відокремлює сигнали від шуму, відокремлюючи ознаки реальних кіберзагроз і хакерських подвигів від помилкових спрацьовувань, перш ніж класифікувати загрози відповідно до їх серйозності. Штучний інтелект (AI) є компонентом сучасних рішень SIEM, який автоматизує ці процедури та поступово покращує ідентифікацію підозрілої активності шляхом «навчання» з даних.

Функції центру безпеки

• Керування та обслуговування: оновлення та виправлення для інструментів безпеки відстежуються та обробляються.
• Моніторинг журналів подій для інфраструктури, систем, пристроїв і мереж для виявлення незвичних або підозрілих дій.
• Збір розвідувальної інформації, а також виявлення та запобігання потенційним загрозам і атакам.
• Аналіз і розслідування інцидентів: виявлення причини події або загрози та визначення того, наскільки глибоко вони проникли та пошкодили системи компанії.
• Відповідь на загрозу або атаку: координація підходу для ефективного врегулювання та стримування загрози чи інциденту.
• Відновлення втрачених або викрадених даних, усунення вразливостей, оновлення інструментів попередження та повторна оцінка процедур — усе це частини відновлення та виправлення. 

Установа, яка використовується для централізованого моніторингу, виявлення, перевірки та реагування на кібератаки та інші інциденти безпеки, відома як Центр безпеки (SOC). Операційний центр безпеки (SOC) може бути фізичним або віртуальним простором, яким керує внутрішній персонал безпеки або постачальник послуг керованої безпеки (MSSP).

Види оперативного центру безпеки

Більшість компаній виявляють, що для ефективного управління кібербезпекою потрібно набагато більше, ніж здатна їхня традиційна ІТ-команда. Організації мають вибір між внутрішнім створенням SOC або укладанням контракту з керованим постачальником SOC для задоволення цієї зростаючої потреби.

#1. Виділений або самокерований

Ця стратегія передбачає використання об’єктів на місці та внутрішнього персоналу. Спеціальний SOC, який є централізованим SOC, складається з команди, яка зосереджена виключно на безпеці, а також на інфраструктурі та процедурах. Відповідно до розміру організації, стійкості до ризику та потреб у безпеці розмір виділеного SOC змінюється. 

#2. Розподілений SOC

Спільнокерованим центром безпеки, також відомим як MSSP, керує внутрішній член команди, якого наймають на неповний або повний робочий день для роботи разом із керованим постачальником послуг безпеки.

#3. Керований SOC

Цей метод включає MSSP, що надають компанії всі послуги SOC. Партнери з керованого виявлення та реагування (MDR) є додатковою категорією.

#4. Командування SOC

За допомогою цієї стратегії інші оперативні центри безпеки, які зазвичай спеціалізуються, можуть отримати доступ до інформації про загрози та знань безпеки. Він бере участь лише в діяльності, пов’язаній із розвідкою, і процедурах, пов’язаних із безпекою. 

#5. Віртуальний SOC

Це віддана команда безпеки, яка не базується на власності компанії. Він служить тій же меті, що і фізичний SOC, але з віддаленим персоналом. Для віртуального SOC (VSOC) немає виділеної інфраструктури чи фізичного розташування. Це веб-портал, створений з використанням децентралізованих технологій безпеки, що дозволяє командам, які працюють віддалено, відстежувати події та боротися із загрозами. 

#6. Спільне управління SOC

Спільно керована модель SOC використовує як зовнішній персонал, так і засоби моніторингу на місці. Оскільки вона поєднує локальні та зовнішні компоненти, цю стратегію також іноді називають гібридною стратегією. Спільне управління є гнучким варіантом, оскільки ці компоненти можуть суттєво відрізнятися між різними організаціями.

Переваги Центру безпеки

Нижче наведено переваги центру безпеки

• Розширені процедури та час реагування на інциденти.
• Скорочення MTTD (середній час виявлення) розривів між часом компрометації та виявлення.
• Аналіз та моніторинг підозрілої активності, постійна співпраця та ефективне спілкування.
• Поєднання апаратних і програмних ресурсів для створення більш комплексної стратегії безпеки.
• Клієнти та співробітники вільніше обмінюються конфіденційною інформацією.
• Покращена підзвітність і контроль над операціями безпеки.
• Ланцюжок контролю даних необхідний, якщо компанія має намір порушити судовий процес проти осіб, звинувачених у скоєнні кіберзлочинів.

Аналітик Центру безпеки операцій

Важливу роль у реагуванні на атаки кібербезпеки відіграє аналітик центру безпеки або аналітик SOC. Аналітик центру безпеки є ключовим членом сучасної команди безпеки, яка забезпечує безперервність роботи для організацій, які визнають важливість запобігання кібератакам і реагування на них. 

Аналітик центру безпеки — це технічний експерт, який відповідає за виявлення та припинення кібератак на корпоративні сервери та комп’ютерні системи. Вони розробляють і впроваджують протоколи для боротьби із загрозами та мають внести необхідні зміни, щоб зупинити такі випадки.

• Частиною цієї роботи є аналіз сприйнятливості інфраструктури компанії до загроз та виконання інших завдань.
• Слідкуйте за новинами в кібербезпеці
• Вивчення та фіксація потенційних загроз і проблем з інформаційною безпекою
• Оцінка нового обладнання та програмного забезпечення на предмет безпеки, щоб зменшити непотрібний ризик
• Створення офіційних планів відновлення після катастроф, в ідеалі, до того, як виникнуть проблеми. 

Як отримати кваліфікацію, щоб стати аналітиком центру безпеки?

Більшість роботодавців очікують, що аналітики SOC матимуть ступінь бакалавра або асоційованого спеціаліста з інформатики чи комп’ютерної інженерії, а також додаткові навички, отримані з реального досвіду роботи в мережах чи інформаційних технологіях. 

Ці навички включають:

•  Відмінні комунікативні навички 
• Тверде володіння Linux, Windows, IDS, SIEM, CISSP і Splunk
• Досконале знання інформаційної безпеки
• Можливість захисту мереж шляхом захисту трафіку та виявлення підозрілої активності
• Розуміння тестування на злочин для виявлення вразливості систем, мереж і програм
• Зупиніть і зменшіть наслідки порушень безпеки
• Збирайте, вивчайте та представляйте інформацію про безпеку для комп’ютерної експертизи
• Зловмисне програмне забезпечення зворотного проектування включає зчитування та ідентифікацію параметрів програмного забезпечення.

Аналітики SOC часто працюють у команді з іншими співробітниками служби безпеки. Організація повинна враховувати думку аналітика центру безпеки. Їхні пропозиції можуть покращити кібербезпеку та зменшити ризик втрати через порушення безпеки та інші випадки.  

Сертифікація аналітика Центру безпеки

Аналітики SOC часто проходять додаткове навчання та отримують ліцензію сертифікованого аналітика операційного центру безпеки (CSA), щоб покращити свої навички, окрім отримання ступеня бакалавра комп’ютерної інженерії, інформатики чи суміжної галузі.

Додаткові відповідні сертифікати включають:

• Сертифікований етичний хакер (CEH)
• Судовий слідчий з комп'ютерних хакерів (CHFI)
• Сертифікований аналітик безпеки Ради ЄС (ECSA)
• Ліцензований тестер проникнення (LPT)
• CompTIA Security +
• Аналітик з кібербезпеки CompTIA (CySA+)

Відповідальність аналітика безпеки

Мережа та системне спостереження всередині організації. Робота аналітика центру безпеки полягає в тому, щоб тримати ІТ-систему організації під наглядом. Це передбачає стеження за будь-якими аномаліями, які можуть вказувати на злам або атаку за допомогою систем безпеки, програм і мереж.

#1. Оцінка, ідентифікація та пом’якшення загроз у реальному часі

Аналітик SOC тісно співпрацює зі своєю командою, щоб визначити, що пішло не так із системою та як це виправити після виявлення загрози.

#2. Реагування на інциденти та розслідування

Перш ніж повідомити правоохоронні органи, якщо буде потрібно, аналітик SOC співпрацюватиме з рештою команди, щоб провести додаткове дослідження інциденту.

Після ретельного вивчення кожного інциденту вони також повідомлять будь-яку свіжу інформацію про поточні кіберзагрози або вразливості мережі, щоб, якщо це можливо, запобігти майбутнім інцидентам шляхом негайного впровадження оновлень. 

#3. Працює у співпраці з іншими членами команди для впровадження процедур безпеки, рішень і найкращих практик на практиці

Щоб бізнес продовжував працювати безпечно та надійно, аналітики SOC працюють разом з іншими членами команди, щоб забезпечити належні протоколи. Це включає встановлення нових систем і, за потреби, оновлення тих, що вже є.

#4. Слідкуйте за останніми загрозами безпеці

Аналітики SOC повинні бути в курсі останніх кіберзагроз безпеці своєї організації, дізнаючись про нові фішингові шахрайства або відстежуючи, які зловмисники зараз використовують інструменти злому. Ця інформація дає їм змогу швидко вживати заходів щодо будь-яких потенційних проблем, перш ніж вони створять проблеми для вашого бізнесу.

Зарплата аналітика центру безпеки

Експерти з безпеки гарантують, що співробітники пройдуть необхідну підготовку та дотримуються всіх правил і норм компанії.

Ці аналітики безпеки працюють разом із внутрішньою ІТ-групою організації та бізнес-адміністраторами, щоб обговорити та задокументувати проблеми безпеки в рамках своїх обов’язків. Аналітики безпеки в Сполучених Штатах заробляють у середньому 88,570 XNUMX доларів США на рік. (Ресурс: Glassdoor).

Місцезнаходження, компанія, досвід, освіта та посада – це лише деякі змінні, які можуть вплинути на потенціал прибутку.

Навички аналітиків SOC 

Незважаючи на те, що кібертенденції можуть змінюватися, аналітик SOC все одно повинен мати багато тих самих навичок. Переконайтеся, що аналітики SOC мають ці здібності, якщо ви хочете максимально використати те, що вони можуть запропонувати вашій компанії.

• Навички програмування
• Комп'ютерна криміналістика
• Етичний злом
• Зворотна інженерія
• Управління ризиками
• Вирішення проблем
• Критичне мислення 
• Ефективне спілкування 

Framework Центру операцій безпеки

Структура SOC, яка окреслена загальною архітектурою, деталізує компоненти SOC та їх взаємодію. Важливо створити структуру Центру безпеки, побудовану на системі моніторингу та реєстрації інцидентів.

Структура SOC — це загальна архітектура, яка детально описує компоненти, що забезпечують функціональність SOC, і те, як вони взаємодіють один з одним. Іншими словами, структура SOC повинна бути побудована на системі моніторингу, яка відстежує та реєструє події безпеки.

Основні принципи SOC Framework

№1. Моніторинг

 Діяльність моніторингу є найважливішою послугою, яку може запропонувати функціональна структура операційного центру безпеки. Природно, мета такого моніторингу – з’ясувати, чи відбулося порушення чи воно триває. Однак експерти з кібербезпеки повинні бути в курсі ситуації, щоб прийняти таке рішення. Інструменти SIEM, аналітика поведінкових загроз і брокери безпеки доступу до хмари – це кілька прикладів автоматизованих інструментів і технологій, які можуть допомогти у моніторингу. Хоча не завжди, ці інструменти можуть використовувати штучний інтелект і технології машинного навчання.

№ 2. Аналіз

Аналіз має стати наступною послугою, яку пропонує SOC. Мета аналізу — визначити, чи сталася вразливість або порушення, пов’язане з діяльністю підприємства. Аналітики SOC перевіряють тривоги та сповіщення, надіслані системою моніторингу, як частину функції перевірки, щоб перевірити, чи збігаються вони з раніше поміченими шаблонами атак або використанням вразливостей.

#3. Реагування на інциденти та стримування

Наступною послугою, що надається структурою центру безпеки, є реагування на інциденти; те, як це робиться, залежить від типу, обсягу та серйозності інциденту, а також від того, чи є SOC внутрішнім, чи підприємство має контракт із стороннім постачальником SOC, який потребує допомоги, окрім попередження.

#4. Аудит і журналювання

Як згадувалося, SOC відіграє важливу, але часто ігнорувану роль у журналюванні та аудиті: підтверджувати відповідність і записувати реакцію на інциденти безпеки, які можуть бути використані як частина посмертного аналізу. Багато інструментів SOC містять вражаючу кількість документації з часовими мітками, яка може бути корисною для експертів із відповідності та аналітиків з кібербезпеки.

#5. Полювання на загрозу

Аналітики SOC все ще мають виконувати інші обов’язки, навіть коли системи функціонують нормально, що означає відсутність серйозних інцидентів у середовищі. Вони перевіряють служби аналізу загроз, щоб відстежувати та оцінювати зовнішні загрози, а якщо вони є третіми сторонами з декількома клієнтами, вони сканують і аналізують міжклієнтські дані, щоб визначити шаблони атак і вразливості. Постачальники SOC, внутрішні чи зовнішні, можуть бути на крок попереду зловмисників, активно шукаючи загрози. Вони також можуть вжити профілактичних заходів, якщо напад все-таки відбудеться.

Нарешті, добре спроектована структура центру безпеки повинна бути здатна обробляти набагато більше, ніж просто моніторинг тривог і попереджень. SOC може допомогти стримувати інциденти, якщо його правильно налаштувати та керувати ним. Крім того, він може запропонувати безцінне розуміння посмертних подій і запропонувати профілактичний захист. 

Загальні рамки SOC

#1. NIST

Національний інститут стандартів і технологій (NIST) Сполучених Штатів публікує структуру кібербезпеки NIST, яка пропонує стандарти та рекомендації щодо управління життєвим циклом загроз, щоб допомогти організаціям розробити плани безпеки та оптимізувати ключові показники ефективності. Нижче наведено п’ять найкращих практик, рекомендованих NIST:

• ідентифікувати
• Захист
• Виявлення
• Реагувати
• Відновлювати

#2. МІТР АТТ&СК

Adversarial Tactics, Techniques, and Common Knowledge — абревіатура цієї фрази. Ця структура, розроблена Mitre Corporation і опублікована в 2013 році, зосереджена на аналізі суперницької поведінки для розробки відповідей і нових захисних стратегій. Це допомагає з розвідкою про загрози, виявленням і аналізом загроз, червоною командою та емуляцією противника, а також розробкою та оцінкою.   

#3. Кіберланцюг вбивств

Ця структура, створена компанією Lockheed Martin, базується на військовій ідеї організації атаки у відповідь на тактику та слабкі сторони противника. Ланцюг вбивств служить базовим архетипом, базуючи свої дії на діях типового суб’єкта загрози. Cyber ​​Kill Chain — це поетапна стратегія, яка включає наступні кроки:

• Розвідка
• Вторгнення
• експлуатація
• Ескалація привілеїв
• Бічний рух
• Обфусування
• Відмова в обслуговуванні
• ексфільтраціі

#4. Уніфікований ланцюг вбивств

Щоб запропонувати більш ретельний метод розуміння супротивника та ранжирування ризиків, цей фреймворк поєднує фреймворки MITRE ATT&CK і Cyber ​​Kill Chain. Він використовує сильні сторони кожної структури, щоб допомогти усунути загальні прогалини. Додавши 18 додаткових фаз, ця структура розширює ланцюг атак.

Що робить центр безпеки?

Здатність організації виявляти загрози, реагувати на них і запобігати подальшій шкоді покращується завдяки операційному центру безпеки, який об’єднує та координує всі технології та операції кібербезпеки.

Що таке NOC і SOC? 

У той час як центри безпеки (SOC) відповідають за захист компанії від онлайн-загроз, центри мережевих операцій (NOC) відповідають за підтримку технічної інфраструктури комп’ютерної системи компанії.

Ефективна продуктивність мережі підтримується центром мережевих операцій (NOC), а загрози та кібератаки ідентифікуються, розслідуються та розглядаються центром операцій безпеки (SOC).

Яка різниця між SOC і SIEM? 

Основна відмінність між SIEM і SOC полягає в тому, що перший збирає дані з різних джерел і корелює їх, тоді як другий збирає дані з різних джерел і надсилає їх до SIEM. 

Що означає NOC у сфері безпеки?

Центри мережевих операцій (NOC) — це централізовані місця, де комп’ютерні, телекомунікаційні чи супутникові мережеві системи контролюються та керуються цілодобово, щодня на тиждень. У разі збоїв у мережі він служить першою лінією захисту.

Які є три типи SOC? 

• Спільне управління SOC
• Віртуальний SOC
• Виділений SOC

Що таке TopSOC? 

• Мережі Arctic Wolf
• Мережа Palo Alto
• Нецуріон
• IBM
• CISCO

Висновок 

Операційний центр безпеки, або SOC, важливий, оскільки підприємства приділяють більше уваги кібербезпеці. Головною організацією, відповідальною за захист вашого бізнесу від кіберзагроз, є ваш SOC. Об’єднуючи всі операції та технології кібербезпеки під одним дахом, центр безпеки розширює можливості організації щодо виявлення загроз, реагування та запобігання.

Статті по темі

1. УПРАВЛІННЯ ИНЦИДЕНТАМИ: Посібник із процесу та найкращі практики
2. ІНТЕЛЕКТ ПРО КІБЕРЗАГРОЗИ: значення, інструменти, аналітик і зарплата
3. УПРАВЛІННЯ РИЗИКАМИ КІБЕРБЕЗПЕКИ: структура, план і послуги
4. Посадовий опис кол-центру: повний посібник (
5. КОЛ-ЦЕНТР: значення, послуги, програмне забезпечення та навчання

посилання 

• cybersecurityforme.com
• IBM
• CompTIA