Документ описывает ключевые аспекты работы Центра операций безопасности (SOC), включая его функции, архитектуру, режим работы и подбор персонала. Основное внимание уделяется интеграции процесса мониторинга, реагирования на инциденты и управления угрозами для обеспечения информационной безопасности. Также рассматриваются вопросы аутсорсинга и инсорсинга услуг SOC, а также необходимость обучения и обмена опытом внутри команды.

1. Андрей Янкин,
руководитель отдела консалтинга ИБ
SOC: от идеи к результату

2. © 2015 Инфосистемы ДжетБольше чем безопасность 2
Security Operation Center
 SOC (Security Operation Center) – это команда,
организованная для обнаружения, анализа,
реагирования, уведомления и предотвращения
инцидентов информационной безопасности.
 Эффективный SOC = персонал + процессы + технические
инструменты.

3. © 2015 Инфосистемы ДжетБольше чем безопасность 3
SOC: функцииОбработкаданных
вреальном
времени
Колцентр
Мониторинг и
разбор
данных в
режиме
реального
времени
Работасвнешними
источниками
информации,
стратегическое
планирование
Сбор внешних
данных и их анализ
Распространение
информации из
внешних источников
Подготовка
материалов для
внешнего
распространения
Обогащение правил
SOC на основе
внешних данных
Стратегическое
планирование
Оценка угроз
Анализи
реагированиена
инциденты
Анализ инцидентов
Слежка за
нарушителем
Координация
реагирования на
инциденты
Внедрение контрмер
Работы по
реагированию на
инцидент на
пострадавшей
площадке
Удаленное
реагирование на
инцидент
Анализцифровых
образцов
Сбор
цифровых
образцов
Анализ
вредоносного
кода
Анализ
прочих
цифровых
образцов
Обеспечение
работоспособност
иинструментов
SOC
Поддержка работы
граничных систем
сетевой
безопасности
Поддержка работы
инфраструктуры
SOC
Поддержка работы
сенсоров
Создание
собственных правил
и сигнатур
Подбор и внедрение
решений,
использующихся в
работе SOC
Разработка решений,
использующихся в
работе SOC
Аудити
отслеживание
внутреннихугроз
Сбор и
хранение
данных
аудита
Управление и
обработка
данных
аудита
Поддержка
при работе с
внутренними
угрозами
Расследован
ие случаев
внутренних
нарушений
Сканированиеи
оценка
защищенности
Создание и
актуализация
карт сети
Сканировани
е
уязвимостей
Оценка
защищенност
и
Тестировани
е на
проникновен
ие
Прочее
Оценка средств
защиты
Консультирование по
вопросам
информационной
безопасности
Повышение
осведомленности
Оперативное
информирование
Распространение
наработок
Взаимодействие с
общественностью и
СМИ

4. © 2015 Инфосистемы ДжетБольше чем безопасность 4
SOC: использование инструмента SIEMОбработкаданных
вреальном
времени
Колцентр
Мониторинг и
разбор
данных в
режиме
реального
времени
Работасвнешними
источниками
информации,
стратегическое
планирование
Сбор внешних
данных и их анализ
Распространение
информации из
внешних источников
Подготовка
материалов для
внешнего
распространения
Обогащение правил
SOC на основе
внешних данных
Стратегическое
планирование
Оценка угроз
Анализи
реагированиена
инциденты
Анализ инцидентов
Слежка за
нарушителем
Координация
реагирования на
инциденты
Внедрение контрмер
Работы по
реагированию на
инцидент на
пострадавшей
площадке
Удаленное
реагирование на
инцидент
Анализцифровых
образцов
Сбор
цифровых
образцов
Анализ
вредоносного
кода
Анализ
цифровых
образцов
Обеспечение
работоспособност
иинструментов
SOC
Поддержка работы
граничных систем
сетевой
безопасности
Поддержка работы
инфраструктуры
SOC
Поддержка работы
сенсоров
Создание
собственных правил
и сигнатур
Подбор и внедрение
решений,
использующихся в
работе SOC
Разработка решений,
использующихся в
работе SOC
Аудити
отслеживание
внутреннихугроз
Сбор и
хранение
данных
аудита
Управление и
обработка
данных
аудита
Поддержка
при работе с
внутренними
угрозами
Расследован
ие случаев
внутренних
нарушений
Сканированиеи
оценка
защищенности
Создание и
актуализация
карт сети
Сканировани
е
уязвимостей
Оценка
защищенност
и
Тестировани
е на
проникновен
ие
Прочее
Оценка средств
защиты
Консультирование по
вопросам
информационной
безопасности
Повышение
осведомленности
Оперативное
информирование
Распространение
наработок
Взаимодействие с
общественностью и
СМИ

5. © 2015 Инфосистемы ДжетБольше чем безопасность 5
Ядровые домены
SOC
Мониторинг и анализ данных ИТ-систем
Сбор данных от пользователей
Расследование и реагирование на
инциденты
Оперативное информирование

6. © 2015 Инфосистемы ДжетБольше чем безопасность 6
Outsource VS Insource
Параметр OutsourceInsource
Контроль
Настройка под себя
Скорость развертывания
Стоимость
Полный
Полностью
До 2 лет
Дешевле через 3-5
лет
???
Частичный
Стандартные сервисы
2 месяца
Дешевле на старте,
OPEX
ПредсказуемоеКачество

7. © 2015 Инфосистемы ДжетБольше чем безопасность 7
Типовой outsourceОбработкаданных
вреальном
времени
Колцентр
Мониторинг и
разбор
данных в
режиме
реального
времени
Работасвнешними
источниками
информации,
стратегическое
планирование
Сбор внешних
данных и их анализ
Распространение
информации из
внешних источников
Подготовка
материалов для
внешнего
распространения
Обогащение правил
SOC на основе
внешних данных
Стратегическое
планирование
Оценка угроз
Анализи
реагированиена
инциденты
Анализ инцидентов
Слежка за
нарушителем
Координация
реагирования на
инциденты
Внедрение контрмер
Работы по
реагированию на
инцидент на
пострадавшей
площадке
Удаленное
реагирование на
инцидент
Анализцифровых
образцов
Сбор
цифровых
образцов
Анализ
вредоносного
кода
Анализ
прочих
цифровых
образцов
Обеспечение
работоспособност
иинструментов
SOC
Поддержка работы
граничных систем
сетевой
безопасности
Поддержка работы
инфраструктуры
SOC
Поддержка работы
сенсоров
Создание
собственных правил
и сигнатур
Подбор и внедрение
решений,
использующихся в
работе SOC
Разработка решений,
использующихся в
работе SOC
Аудити
отслеживание
внутреннихугроз
Сбор и
хранение
данных
аудита
Управление и
обработка
данных
аудита
Поддержка
при работе с
внутренними
угрозами
Расследован
ие случаев
внутренних
нарушений
Сканированиеи
оценка
защищенности
Создание и
актуализация
карт сети
Сканировани
е
уязвимостей
Оценка
защищенност
и
Тестировани
е на
проникновен
ие
Прочее
Оценка средств
защиты
Консультирование по
вопросам
информационной
безопасности
Повышение
осведомленности
Оперативное
информирование
Распространение
наработок
Взаимодействие с
общественностью и
СМИ

8. © 2015 Инфосистемы ДжетБольше чем безопасность 8
Обоснование создания SOC
Статистика по инцидентам,
атакующим
Данные аудитов безопасности (с
рекомендациями)
Требования compliance
Привлеките в союзники другие
подразделения
Примеры инцидентов и ущерба в
вашей отрасли
Свяжите цели создания SOC с
целями бизнеса
}
Через
призму
рисков для
бизнеса

9. © 2015 Инфосистемы ДжетБольше чем безопасность 9
Архитектура
Цели
Задачи
Макро KPI Процессы
Архитектура
Орг.
структура
Тех.
средства
Микро KPI

10. © 2015 Инфосистемы ДжетБольше чем безопасность 10
Архитектура
Линия 1
Линия 2
Менеджеры и
администраторы

11. © 2015 Инфосистемы ДжетБольше чем безопасность 11
Архитектура
Линия 1
Линия 2
Менеджеры и
администраторы
Линия 1,5

12. © 2015 Инфосистемы ДжетБольше чем безопасность 12
Режим работы SOC
24/7 – дорогое удовольствие:
 Min 8-10 человек на первой линии
 Min 5 человек на второй линии
 Сложность найти аналитиков для ночной работы
Альтернативные схемы:
 Смены со смещением по часовым
поясам
 Работа 12/5, 12/7 или 12/5+8/2
 Вторая линия ночью – на связи

13. © 2015 Инфосистемы ДжетБольше чем безопасность 13
Подбор персонала
 Background: администрирование серверов и сети,
практическая безопасность (в т.ч. pentest), программирование
 Работники компании
 Ядро – звезды
 Часть ролей – другие подразделения, аутсорсинг

14. © 2015 Инфосистемы ДжетБольше чем безопасность 14
Развитие компетенций
 Обучение по продуктам
 Обучение при приеме на работу
 Регулярный обмен опытом, ротации внутри SOC
 Анализ, обработка и распространение новостей в области ИБ
 Обмен опытом с другими SOC, участие в CERT
 Ясные KPI для сотрудников
 Обучение не только сотрудников SOC

15. © 2015 Инфосистемы ДжетБольше чем безопасность 15
Развитие SOC. Имитация нарушений
 Имитация действий потенциального нарушителя (как внешнего, так и
внутреннего)
 Фиксация реакции средств защиты
 Рекомендации по настройке средств защиты и обнаружения, SIEM

16. © 2015 Инфосистемы ДжетБольше чем безопасность 16
Оперативное информирование
 SOC – «термометр» ИБ
 Оперативное информирование руководства, владельцев
бизнеса и АС, ИТ-блока, ЭБ, ФБ, департамента рисков,
аудиторы и т.д.:
 Уровень ИБ
 Риски
 Угрозы
 Инциденты
 Рекомендации
 Compliance
 Популяризация SOC

17. © 2015 Инфосистемы ДжетБольше чем безопасность 17
Информация о контексте работы
ИТ-инфраструктура
• ИТ-активы
• Сетевая топология
• СЗИ и встроенная
безопасность
• Профили штатного
функционирования
• Данные об
изменениях,
статистике
• Уязвимости
Бизнес
• Цели и задачи
• Физическое
расположение активов
и их ценность
• Взаимоотношения с
внешними сторонами,
конфликты
• Соответствие между
БП и ИС
• Основные группы
пользователей, их
права и обязанности
Угрозы
• Нарушители
• Векторы атак
• Эксплуатируемые
уязвимости
SOC

18. © 2015 Инфосистемы ДжетБольше чем безопасность 18
Необходимая документация
Для кого:
 Руководство
 Сотрудники SOC
 Подразделения, задействованные в расследовании инцидентов
 Аудиторы
 Все сотрудники компании

19. © 2015 Инфосистемы ДжетБольше чем безопасность 19
Необходимая документация
Уровень ПримерыТип
I
II
III
IV
Политика верхнего
уровня
Частные политики,
стратегии
Политика ИБ
Политики управления инцидентами ИБ,
уязвимостями ИБ, аудитами ИБ,
контроля защищенности ИА,
обеспечения осведомленности и т.д.
Стратегия развития SOC
Регламент расследования инцидента ИБ
Регламент действий ЮД в случае
возникновения инцидента ИБ
Регламент оценки эффективности SOC
Регламенты
Операционная
документация
Инструкции, формы, журналы, карты
сети, обучающие курсы

20. © 2015 Инфосистемы ДжетБольше чем безопасность 20
Выбор технических средств
 SOC – прежде всего команда
 Тех. средства – инструмент выполнения работы
 SIEM – центральное ТС SOC, но и оно не обязательно (Log
Management + скрипты для маленьких SOC)
 Инструментов необходимо много:
 IPS/IDS
 Сканеры безопасности
 Service Desk
 Средства анализа дампов памяти и трафика
 Инструменты для исследования вредоносов
 Оснастки для подключения к СУБД, ИС
 Информационный портал
 …

21. © 2015 Инфосистемы ДжетБольше чем безопасность 21
KPI
Макро KPI
• Цели и задачи SOC
Микро KPI
• Отдельные процессы
Индивидуальные KPI
• Сотрудники, задания
KPI
KPI

22. © 2015 Инфосистемы ДжетБольше чем безопасность 22
Развитие SOC. Масштабирование

23. © 2015 Инфосистемы ДжетБольше чем безопасность 23
Развитие SOC. Масштабирование
 Развивать SOC – как растить слона
 Слон без ножек – чистый пассив

24. Контакты:
Андрей Янкин
руководитель отдела консалтинга ИБ
тел: +7 (495) 411-7601
av.yankin@jet.su