Новая информационная безопасность: какой SOC выбрать

Выручка как начало и конец

Традиционные задачи корпоративной информационной безопасности по охранеконфиденциальной информации во многом устарели. Даже в крупных организациях сразвитыми бизнес-процессами нет уверенности, что конфиденциальная информация былаопределена верно и ее список еще актуален. Наконец, что ее разглашениедействительно нанесет реальный финансовый ущерб организации.

Реальная проблема – остановкабизнес-процессов из-за реализации тех или иных атак. Когда продажи стоят,отгрузки не идут, а снабжение не может обеспечить непрерывные поставки сырьядля заводов, вопросов о необходимости информационной безопасности не возникает.Для непрерывных и опасных производств ситуация может быть и неизмеримо хуже –человеческие жертвы и экологические проблемы, увы, еще не сведены к нулю напроизводствах страны.

Более узкая проблема – хищениеденежных средств (ранее накопленная выручка). Казалось бы, финансовые хищения могутпроизойти у каждой организации, но на практике злоумышленники понимают, чтогальку лучше всего спрятать на пляже и воруют в первую очередь у финансовых иквазифинансовых (криптоэкономических) организаций.

И самая узкая – привлечение средствинвесторов через размещение на бирже (квази-выручка). Инвесторы желают знать,что операционная деятельность компании стабильна, и у нее будет будущая выручка,чтобы выплатить им дивиденды или купоны по облигациям. А, значит, организациядолжна соответствовать определенным нормам, например, закону Sarbanes-OxleyAct (нормативный акт, которыйопределяет требования к документообороту и финансовой отчетности компаний и процедурурегулярного независимого аудита), что в итоге потребует и мониторингафинансовых приложений и используемых ими серверов в организации, а в идеале имониторинга поведения сотрудников критичных функций (например, продаж) дляболее точного прогнозирования выручки.

Итоговая оценка бизнес-риска проста.Организации точно нужен Центр мониторинга, если она стремится обеспечить непрерывностьсвоей операционной деятельности, в том числе устойчивость перед кибератаками иотказами в ИТ-инфраструктуре. Также он необходим компаниям, которые находятся впривлекательном для злоумышленников секторе (обладают значительными по меркамэкономики финансовыми активами, резко изменили чистую стоимость активов или работаютв модном секторе – криптоэкономике и др.). Центр мониторинга будет нужен и тем,кто стремится обеспечить корректность и достоверность финансовой отчетности, а такжепрозрачность функционирования ключевых бизнес-процессов.

Сервисы SOC

Основным сервисом любого SOC являетсямониторинг сетевой безопасности (далее – SOC.MON):сбор и обработка журналов безопасности с существующих и установленныхперсоналом SOC средств безопасности. Мониторинг позволяет в режиме, близкомк реальному времени, находить атаки, которые уже проводятся против организациии снизить ущерб от них, отреагировав до того, как атакующий добьется своей цели– например, зашифрует финансовую базу и потребует выкуп.

Мониторинг также представляет собой«прививку от теоретиков» – организация начинает понимать, что реально происходитв ее инфраструктуре, кто по ней перемещается, используя сетевые протоколы иучетные записи в информационных системах.

Более превентивным (работающим на опережениеатаки) классическим сервисом SOC является мониторинг уязвимостей (он же – управление уязвимостямиили SOC.VM). Сервис заключается в систематическомпоиске и оценке критичности уязвимостей в сети организации для ихсвоевременного закрытия – сужения коридора возможностей для атакующей стороны.

Крупные и территориальнораспределенные организации подходят и к упреждающему сервису внешнегомониторинга киберугроз («киберразведке» – SOC.TI).Киберразведка направлена на своевременное получение из внешнего мира информацииоб актуальных для конкретной страны, отрасли, а то и компании, хакерскихгруппировках, инструментах и тактиках атаки – что позволяет не только болееэффективно находить атаки, но и трезво оценивать риски для организации.

Пути корпорации к своему SOC

Прежде чем двигаться к своему SOC необходимовыбрать нужный для себя набор сервисов – хотя бы из тех базовых, чтопредставлены выше. К примеру, для обеспечения достоверности финансовойотчетности в соответствующем ландшафте информационных систем нужны будут SOC.MON + SOC.VM. Дляобеспечения непрерывности деятельности в зависимости от масштаба деятельности изначимости на рынке организации может понадобиться и SOC.TI, а для организаций традиционно атакуемых секторов (финансы,ОПК и др.) SOC.TIпростонеобходим.

В зависимости от бизнес-цели иразмера организации необходимо определить и куратора проекта по созданию SOC. Достоверность финансовойотчетности – очевидно забота финансового директора, непрерывность операционнойдеятельности – операционного, а в иных случаях куратором скорее всего придетсяназначить директора СБ или директора по ИТ (за неимением развитой СБ).

Для небольших и средних корпораций (Small and Medium Enterprise или до 4 000хостов) рационально будет привлечь сервис-провайдера для оказания услуг мониторинга,для компаний покрупнее – логичным будет создание своего SOC сселективным привлечением сервис-провайдера в «узких» местах или еще пока неразвитых процессах.

Есть и отраслевая специфика – кпримеру, 5 000 хостов в нефтедобыче совсем не то, что в ритейле, где4 500 из них будут одинаковы, и безопасность их будет проще обеспечить засчет внедрения строгих норм и стандартов. Относить такие компании нужно будет кSME.

Панацеи нет или когда SOC бесполезен

Перед принятием окончательного стратегического решения по SOC необходимоответить на вопрос: готова ли организация что-то делать по итогам сигналов от SOC? SOC демонстрируетвозврат инвестиций в случае синхронной работы с организацией (в парадигме ГРУГШ МО РФ «Узнавать чтобы действовать или действовать, чтобы узнавать»). Если поитогам сообщений и отчетов SOC другие подразделения организации не будут готовы реагироватьна вскрывшиеся проблемы и инциденты – SOC возможно еще преждевременная историядля конкретной организации.

Лучше один раз увидеть

Ежегодно, в мае проходит крупнейшийв России форум по кибербезопасности Positive HackDays, на котором будетпредставлен не один SOC,значимое количество компаний, что уже построили или подключились к SOC, а так же многоэффективных технологий безопасности для создания или повышения результативностиSOC. Посетители форумасмогут увидеть, как SOC работает в «реальном времени» в рамках традиционной кибербитвыThe Standoff («Противостояние»).В рамках конкурса будут состязаться команды атакующих, защитников и SecurityOperations Centers (SOC). Профессиональные команды атакующих «Противостояния» покажут,каким угрозам подвержены ресурсы любого крупного города, а команды специалистовпо защите информации и экспертные центры безопасности продемонстрируютэффективные методы противодействия. События на площадке максимально приближенык реальности, игровой полигон представляет собой масштабную эмуляцию городскойинфраструктуры.


Источник: CNEWS


Добавить комментарий

Оставить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив