Центр управления информационной безопасностью

Операционный центр национальной безопасности США c. 1985 г.

Операции по информационной безопасности центр ( ISOC или SOC ) является учреждение , где информационные системы предприятия ( веб - сайты , приложения , базы данных , центров обработки данных и серверы , сети , настольные компьютеры и другие конечные точки) контролируются, оцениваются и защищал.

Цель [ править ]

SOC связан с людьми, процессами и технологиями, которые обеспечивают ситуационную осведомленность посредством обнаружения, сдерживания и устранения ИТ-угроз с целью управления и повышения уровня безопасности организации. ^[1] SOC будет обрабатывать от имени учреждения или компании любой угрожающий ИТ-инцидент и гарантирует, что он будет надлежащим образом идентифицирован, проанализирован, сообщен, исследован и сообщен. SOC также отслеживает приложения, чтобы идентифицировать возможную кибератаку или вторжение (событие), и определяет, является ли это подлинной вредоносной угрозой (инцидентом) и может ли это повлиять на бизнес.

Нормативные требования [ править ]

Создание и эксплуатация SOC - дело дорогое и трудное; организациям для этого нужна веская причина. Это может включать:

Защита конфиденциальных данных
Соответствие отраслевым правилам, таким как PCI DSS . ^[2]
Соблюдение государственных правил, таких как CESG GPG53. ^[3]

Альтернативные названия [ править ]

Операционный центр безопасности (SOC) также может называться центром защиты безопасности (SDC), центром аналитики безопасности (SAC), центром операций сетевой безопасности (NSOC), ^[4] центром разведки безопасности, центром кибербезопасности, центром защиты от угроз, безопасностью. разведывательно-операционный центр (SIOC). В канадском федеральном правительстве термин «центр защиты инфраструктуры» (IPC) используется для описания SOC.

Технология [ править ]

SOC обычно основаны на системе управления информацией и событиями безопасности (SIEM), которая объединяет и коррелирует данные из каналов безопасности, таких как системы обнаружения сетей и оценки уязвимостей ; системы корпоративного управления, рисков и соответствия (GRC); системы оценки и мониторинга веб-сайтов, сканеры приложений и баз данных; инструменты тестирования на проникновение ; системы обнаружения вторжений (IDS); система предотвращения вторжений (IPS); системы управления журналами; анализ сетевого поведения и разведка киберугроз ; беспроводная система предотвращения вторжений; брандмауэры, корпоративный антивируси единое управление угрозами (UTM). Технология SIEM создает «единое стекло» для аналитиков безопасности, которые могут контролировать предприятие.

Люди [ править ]

В состав SOC входят аналитики, инженеры по безопасности и менеджеры SOC, которые должны быть опытными специалистами в области ИТ и сетей. Обычно они обучаются компьютерной инженерии , криптографии , сетевой инженерии или информатике и могут иметь такие учетные данные, как CISSP или GIAC .

Кадровые планы SOC варьируются от восьми часов в день, пять дней в неделю (8x5) до двадцати четырех часов в день, семь дней в неделю (24x7). Смены должны включать как минимум двух аналитиков, а обязанности должны быть четко определены.

Организация [ править ]

Крупные организации и правительства могут использовать более одного SOC для управления различными группами информационных и коммуникационных технологий или для обеспечения избыточности в случае, если один сайт недоступен. Работа SOC может быть передана на аутсорсинг, например, с помощью управляемой службы безопасности . Термин SOC традиционно использовался правительствами и управляемыми поставщиками компьютерной безопасности, хотя все большее число крупных корпораций и других организаций также имеют такие центры.

SOC и центр сетевых операций (NOC) дополняют друг друга и работают в тандеме. NOC обычно отвечает за мониторинг и поддержку всей сетевой инфраструктуры, а его основная функция - обеспечение бесперебойного сетевого обслуживания. SOC отвечает за защиту сетей, а также веб-сайтов, приложений, баз данных, серверов и центров обработки данных, а также других технологий. Точно так же SOC и центр операций по физической безопасности координируют свои действия и работают вместе. Физический SOC - это объект в крупных организациях, где сотрудники службы безопасности контролируют и контролируют сотрудников службы безопасности / охранников, сигнализацию, систему видеонаблюдения, физический доступ, освещение, шлагбаумы и т. Д.

Не все SOC играют одинаковую роль. Есть три различных основных направления, в которых может действовать SOC, и которые можно комбинировать в любой комбинации:

Контроль - сосредоточение внимания на состоянии безопасности с помощью тестирования на соответствие, тестирования на проникновение, тестирования уязвимостей и т. Д.
Мониторинг - сосредоточение внимания на событиях и реагировании с помощью мониторинга журналов, администрирования SIEM и реагирования на инциденты.
Оперативный - с упором на оперативное администрирование безопасности, такое как управление идентификацией и доступом, управление ключами, администрирование межсетевого экрана и т. Д.

В некоторых случаях SOC, NOC или физический SOC могут быть размещены на одном объекте или организационно объединены, особенно если основное внимание уделяется оперативным задачам. Если SOC исходит из организации CERT , то обычно основное внимание уделяется мониторингу и контролю , и в этом случае SOC работает независимо от NOC, чтобы поддерживать разделение обязанностей . Как правило, в более крупных организациях существует отдельный SOC для обеспечения целенаправленности и компетентности. Затем SOC тесно сотрудничает с сетевыми операциями и операциями по обеспечению физической безопасности.

Услуги [ править ]

SOC обычно хорошо защищены физической, электронной, компьютерной и кадровой безопасностью. Центры часто располагаются столами, обращенными к видеостене, на которой отображается важный статус, события и сигналы тревоги; текущие инциденты; угол стены иногда используется для показа новостного телеканала или телеканала о погоде, так как это может держать сотрудников SOC в курсе текущих событий, которые могут повлиять на информационные системы. Инженер по безопасности или аналитик по безопасности может иметь на столе несколько компьютерных мониторов.

Процесс и процедуры [ править ]

Процессы и процедуры внутри SOC будут четко определять роли и обязанности, а также процедуры мониторинга. Эти процессы включают бизнес, технологии, операционные и аналитические процессы. В них изложены шаги, которые необходимо предпринять в случае предупреждения или нарушения, включая процедуры эскалации, процедуры отчетности и процедуры реагирования на нарушения.

CloudSOC [ править ]

Операционный центр облачной безопасности (CloudSOC) может быть настроен для мониторинга использования облачных сервисов на предприятии (и контроля проблемы теневых ИТ ) или анализа и аудита журналов ИТ-инфраструктуры и приложений с помощью технологий SIEM и платформ машинных данных для предоставления предупреждений. и подробности подозрительной активности.

Smart SOC [ править ]

Smart SOC (Security Operations Center) - это комплексное решение для обеспечения кибербезопасности , не зависящее от технологий, которое использует передовые технологии и инструменты, высококвалифицированные и опытные человеческие ресурсы (состоящие из собирателей киберразведки, аналитиков и экспертов по безопасности) и принципы упреждающей кибервойны для предотвращение и нейтрализация угроз цифровой инфраструктуре, активам и данным организации.

Другие типы и ссылки [ править ]

Кроме того, есть много других часто упоминаемых терминов, связанных с исходным названием «ISOC», включая следующие:

SNOC, Центр управления сетью безопасности
АСОК, Центр расширенных операций безопасности
GSOC, Глобальный операционный центр безопасности
vSOC, Виртуальный центр управления безопасностью ^[5]

См. Также [ править ]

Дата центр
Управляемая служба безопасности

Ссылки [ править ]

^ Vielberth, M .; Böhm, F .; Fichtinger, I .; Пернул, Г. (2020). «Операционный центр безопасности: систематическое исследование и открытые проблемы» . Доступ IEEE . 8 : 227756–227779. DOI : 10,1109 / ACCESS.2020.3045514 . ISSN 2169-3536 .
^ «PCI DSS 3.0: Влияние на ваши операции по обеспечению безопасности» . Неделя безопасности . 31 декабря 2013 . Проверено 22 июня 2014 .
^ «Мониторинг транзакций для поставщиков онлайн-услуг HMG» (PDF) . CESG . Проверено 22 июня 2014 .
^ «Управляемые службы в Центре управления сетевой безопасностью (NSOC) Tactical FLEX, Inc.» . Tactical FLEX, Inc. архивации с оригинала на 24 сентября 2014 года . Проверено 20 сентября 2014 года .
^ "Что такое виртуальный центр управления безопасностью (VSOC)?" . cybersecurity.att.com .

[1] Vielberth, M .; Böhm, F .; Fichtinger, I .; Пернул, Г. (2020). «Операционный центр безопасности: систематическое исследование и открытые проблемы» . Доступ IEEE . 8 : 227756–227779. DOI : 10,1109 / ACCESS.2020.3045514 . ISSN 2169-3536 .

[2] «PCI DSS 3.0: Влияние на ваши операции по обеспечению безопасности» . Неделя безопасности . 31 декабря 2013 . Проверено 22 июня 2014 .

[3] «Мониторинг транзакций для поставщиков онлайн-услуг HMG» (PDF) . CESG . Проверено 22 июня 2014 .

[4] «Управляемые службы в Центре управления сетевой безопасностью (NSOC) Tactical FLEX, Inc.» . Tactical FLEX, Inc. архивации с оригинала на 24 сентября 2014 года . Проверено 20 сентября 2014 года .

[5] "Что такое виртуальный центр управления безопасностью (VSOC)?" . cybersecurity.att.com .

[1]