Операции по информационной безопасности центр ( ISOC или SOC ) является учреждение , где информационные системы предприятия ( веб - сайты , приложения , базы данных , центров обработки данных и серверы , сети , настольные компьютеры и другие конечные точки) контролируются, оцениваются и защищал.
Цель [ править ]
SOC связан с людьми, процессами и технологиями, которые обеспечивают ситуационную осведомленность посредством обнаружения, сдерживания и устранения ИТ-угроз с целью управления и повышения уровня безопасности организации. [1] SOC будет обрабатывать от имени учреждения или компании любой угрожающий ИТ-инцидент и гарантирует, что он будет надлежащим образом идентифицирован, проанализирован, сообщен, исследован и сообщен. SOC также отслеживает приложения, чтобы идентифицировать возможную кибератаку или вторжение (событие), и определяет, является ли это подлинной вредоносной угрозой (инцидентом) и может ли это повлиять на бизнес.
Нормативные требования [ править ]
Создание и эксплуатация SOC - дело дорогое и трудное; организациям для этого нужна веская причина. Это может включать:
- Защита конфиденциальных данных
- Соответствие отраслевым правилам, таким как PCI DSS . [2]
- Соблюдение государственных правил, таких как CESG GPG53. [3]
Альтернативные названия [ править ]
Операционный центр безопасности (SOC) также может называться центром защиты безопасности (SDC), центром аналитики безопасности (SAC), центром операций сетевой безопасности (NSOC), [4] центром разведки безопасности, центром кибербезопасности, центром защиты от угроз, безопасностью. разведывательно-операционный центр (SIOC). В канадском федеральном правительстве термин «центр защиты инфраструктуры» (IPC) используется для описания SOC.
Технология [ править ]
SOC обычно основаны на системе управления информацией и событиями безопасности (SIEM), которая объединяет и коррелирует данные из каналов безопасности, таких как системы обнаружения сетей и оценки уязвимостей ; системы корпоративного управления, рисков и соответствия (GRC); системы оценки и мониторинга веб-сайтов, сканеры приложений и баз данных; инструменты тестирования на проникновение ; системы обнаружения вторжений (IDS); система предотвращения вторжений (IPS); системы управления журналами; анализ сетевого поведения и разведка киберугроз ; беспроводная система предотвращения вторжений; брандмауэры, корпоративный антивируси единое управление угрозами (UTM). Технология SIEM создает «единое стекло» для аналитиков безопасности, которые могут контролировать предприятие.
Люди [ править ]
В состав SOC входят аналитики, инженеры по безопасности и менеджеры SOC, которые должны быть опытными специалистами в области ИТ и сетей. Обычно они обучаются компьютерной инженерии , криптографии , сетевой инженерии или информатике и могут иметь такие учетные данные, как CISSP или GIAC .
Кадровые планы SOC варьируются от восьми часов в день, пять дней в неделю (8x5) до двадцати четырех часов в день, семь дней в неделю (24x7). Смены должны включать как минимум двух аналитиков, а обязанности должны быть четко определены.
Организация [ править ]
Крупные организации и правительства могут использовать более одного SOC для управления различными группами информационных и коммуникационных технологий или для обеспечения избыточности в случае, если один сайт недоступен. Работа SOC может быть передана на аутсорсинг, например, с помощью управляемой службы безопасности . Термин SOC традиционно использовался правительствами и управляемыми поставщиками компьютерной безопасности, хотя все большее число крупных корпораций и других организаций также имеют такие центры.
SOC и центр сетевых операций (NOC) дополняют друг друга и работают в тандеме. NOC обычно отвечает за мониторинг и поддержку всей сетевой инфраструктуры, а его основная функция - обеспечение бесперебойного сетевого обслуживания. SOC отвечает за защиту сетей, а также веб-сайтов, приложений, баз данных, серверов и центров обработки данных, а также других технологий. Точно так же SOC и центр операций по физической безопасности координируют свои действия и работают вместе. Физический SOC - это объект в крупных организациях, где сотрудники службы безопасности контролируют и контролируют сотрудников службы безопасности / охранников, сигнализацию, систему видеонаблюдения, физический доступ, освещение, шлагбаумы и т. Д.
Не все SOC играют одинаковую роль. Есть три различных основных направления, в которых может действовать SOC, и которые можно комбинировать в любой комбинации:
- Контроль - сосредоточение внимания на состоянии безопасности с помощью тестирования на соответствие, тестирования на проникновение, тестирования уязвимостей и т. Д.
- Мониторинг - сосредоточение внимания на событиях и реагировании с помощью мониторинга журналов, администрирования SIEM и реагирования на инциденты.
- Оперативный - с упором на оперативное администрирование безопасности, такое как управление идентификацией и доступом, управление ключами, администрирование межсетевого экрана и т. Д.
В некоторых случаях SOC, NOC или физический SOC могут быть размещены на одном объекте или организационно объединены, особенно если основное внимание уделяется оперативным задачам. Если SOC исходит из организации CERT , то обычно основное внимание уделяется мониторингу и контролю , и в этом случае SOC работает независимо от NOC, чтобы поддерживать разделение обязанностей . Как правило, в более крупных организациях существует отдельный SOC для обеспечения целенаправленности и компетентности. Затем SOC тесно сотрудничает с сетевыми операциями и операциями по обеспечению физической безопасности.
Услуги [ править ]
SOC обычно хорошо защищены физической, электронной, компьютерной и кадровой безопасностью. Центры часто располагаются столами, обращенными к видеостене, на которой отображается важный статус, события и сигналы тревоги; текущие инциденты; угол стены иногда используется для показа новостного телеканала или телеканала о погоде, так как это может держать сотрудников SOC в курсе текущих событий, которые могут повлиять на информационные системы. Инженер по безопасности или аналитик по безопасности может иметь на столе несколько компьютерных мониторов.
Процесс и процедуры [ править ]
Процессы и процедуры внутри SOC будут четко определять роли и обязанности, а также процедуры мониторинга. Эти процессы включают бизнес, технологии, операционные и аналитические процессы. В них изложены шаги, которые необходимо предпринять в случае предупреждения или нарушения, включая процедуры эскалации, процедуры отчетности и процедуры реагирования на нарушения.
CloudSOC [ править ]
Операционный центр облачной безопасности (CloudSOC) может быть настроен для мониторинга использования облачных сервисов на предприятии (и контроля проблемы теневых ИТ ) или анализа и аудита журналов ИТ-инфраструктуры и приложений с помощью технологий SIEM и платформ машинных данных для предоставления предупреждений. и подробности подозрительной активности.
Smart SOC [ править ]
Smart SOC (Security Operations Center) - это комплексное решение для обеспечения кибербезопасности , не зависящее от технологий, которое использует передовые технологии и инструменты, высококвалифицированные и опытные человеческие ресурсы (состоящие из собирателей киберразведки, аналитиков и экспертов по безопасности) и принципы упреждающей кибервойны для предотвращение и нейтрализация угроз цифровой инфраструктуре, активам и данным организации.
Другие типы и ссылки [ править ]
Кроме того, есть много других часто упоминаемых терминов, связанных с исходным названием «ISOC», включая следующие:
- SNOC, Центр управления сетью безопасности
- АСОК, Центр расширенных операций безопасности
- GSOC, Глобальный операционный центр безопасности
- vSOC, Виртуальный центр управления безопасностью [5]
См. Также [ править ]
- Дата центр
- Управляемая служба безопасности
Ссылки [ править ]
- ^ Vielberth, M .; Böhm, F .; Fichtinger, I .; Пернул, Г. (2020). «Операционный центр безопасности: систематическое исследование и открытые проблемы» . Доступ IEEE . 8 : 227756–227779. DOI : 10,1109 / ACCESS.2020.3045514 . ISSN 2169-3536 .
- ^ «PCI DSS 3.0: Влияние на ваши операции по обеспечению безопасности» . Неделя безопасности . 31 декабря 2013 . Проверено 22 июня 2014 .
- ^ «Мониторинг транзакций для поставщиков онлайн-услуг HMG» (PDF) . CESG . Проверено 22 июня 2014 .
- ^ «Управляемые службы в Центре управления сетевой безопасностью (NSOC) Tactical FLEX, Inc.» . Tactical FLEX, Inc. архивации с оригинала на 24 сентября 2014 года . Проверено 20 сентября 2014 года .
- ^ "Что такое виртуальный центр управления безопасностью (VSOC)?" . cybersecurity.att.com .