Главная Вики Информационная безопасность

SOC: центр мониторинга информационной безопасности

SOC (Security Operations Center — центр мониторинга безопасности) — это команда людей и набор процессов, которые круглосуточно следят за событиями безопасности, выявляют инциденты, расследуют их и реагируют. Если коротко: SOC — это «дежурная смена», которая не спит и видит атаку в момент, когда она происходит.

Эта страница — часть разбора аудита информационной безопасности: мониторинг и реагирование — одна из областей зрелой защиты, и SOC отвечает за неё на постоянной основе, после того как аудит выявил риски.

Зачем это нужно

Средства защиты — межсетевые экраны, антивирусы, системы обнаружения вторжений — генерируют сигналы, но сами по себе не принимают решений. Кто-то должен на эти сигналы смотреть, отличать ложные срабатывания от реальной угрозы и действовать. Атаки не выбирают рабочее время: значительная часть взломов и запусков шифровальщиков приходится на ночь и выходные, когда в обычной компании никого нет. SOC закрывает именно этот разрыв — круглосуточное человеческое внимание к безопасности.

Из чего состоит SOC

SOC — это связка трёх элементов: люди, процессы и технологии.

Люди. Аналитики разных линий. Первая линия фильтрует поток алертов и отсеивает шум. Вторая — разбирает подтверждённые инциденты глубже. Старшие специалисты ведут расследования сложных атак и улучшают правила обнаружения.

Процессы. Регламенты: что считать инцидентом, как его классифицировать по критичности, кого и когда оповещать, какие шаги предпринимать. Без процессов даже сильные специалисты работают хаотично.

Технологии. Главный инструмент SOC — это SIEM, который собирает и коррелирует события. К нему добавляются другие средства мониторинга и реагирования. Технологии без людей бесполезны, люди без технологий не справятся с объёмом — работает только связка.

SOC и SIEM — не одно и то же

Это частая путаница. SIEM — это система (инструмент), которая собирает логи и поднимает алерты. SOC — это команда и процессы, которые на эти алерты реагируют. SIEM можно сравнить с пожарной сигнализацией, а SOC — с пожарной командой, которая по сигналу выезжает и тушит. Сигнализация без команды просто шумит впустую; команда без сигнализации узнаёт о пожаре слишком поздно.

SOC и NOC — в чём разница

Ещё одна важная пара понятий. NOC (Network Operations Center) следит за работоспособностью инфраструктуры: доступностью серверов, каналов связи, сервисов — то есть за тем, чтобы всё работало. SOC следит за безопасностью: за тем, чтобы инфраструктуру не взломали и не украли данные. В крупных организациях это разные команды; на практике для среднего бизнеса функции мониторинга часто объединяются в одной дежурной службе аутсорсера, которая закрывает и доступность, и безопасность.

Свой SOC или аутсорсинг

Построить собственный SOC — дорого: нужны круглосуточная смена аналитиков, лицензии на ПО, выстроенные процессы. Для большинства компаний среднего бизнеса это экономически неоправданно. Поэтому распространена модель аутсорсинга: мониторинг и реагирование берёт на себя внешний подрядчик, который обслуживает несколько клиентов и за счёт этого делает услугу доступной.

Когда стоит задуматься о подключении к SOC (своему или аутсорсинговому):

Что включает наша услуга

Получить расчёт

Начните с аудита ИБ — он покажет, нужен ли вам круглосуточный мониторинг и в каком объёме. Свяжитесь с нами, обсудим формат.

Связанные термины
Расчёт стоимости

Нужен круглосуточный мониторинг безопасности?

Начните с аудита ИБ — он покажет реальную потребность. Откройте калькулятор или напишите нам.

Открыть калькулятор Получить консультацию