Операцíйний центр безпéки (Security Operations Center, SOC) — централізований підрозділ установи, який вирішує питання з інформаційної та кібербезпеки на організаційному та технічному рівні. Операційний центр безпеки — це об'єкт, де корпоративні інформаційні системи (вебсайти, додатки, бази даних, центри обробки даних, сервери, активне мережеве обладнання, комп'ютери та інше кінцеве обладнання) контролюється, оцінюється та захищається.
Завдання ОЦБ
Первинна функція ОЦБ — аналіз на основі поточного моніторингу подій інформаційної безпеки. Далі за пріоритетністю ідуть виявлення тривог, відповідь на інциденти безпеки та виправлення наслідків кожної відстеженої події.
ОЦБ об'єднує людей, процеси та технології для забезпечення обізнаності в поточній ситуації щодо інформаційної безпеки. В організації, частиною якої є ОЦБ, він розбирається з будь-якою загрозливою подією щодо інформаційної безпеки. Це включає належну ідентифікацію, аналіз, інформування, розслідування та подальше звітування. ОЦБ також веде моніторинг застосунків для виявлення можливої кібератаки чи вторгнення (тобто, події інформаційної безпеки), і визначає можливу шкоду для діяльності організації.
Одним із завдань ОЦБ є навчання та інформування користувачів, зокрема, прищеплення їм культури кібербезпеки, а також оперативне інформування про виникнення загроз та план дій на випадок кібератак. Без такої роботи з користувачами кібербезпеки може виявитися неефективною.
Функції ОЦБ
Для повноцінного захисту даних та ІТ-систем ОЦБ виконує наступні функції:
- проактивний нагляд за ІТ-системами та постійний аналіз поточного стану загроз;
- розпізнання слабких місць у ІТ-безпеці та їхнє усунення;
- централізоване управління безпеки різноманітними пристоями у системі;
- «сигналізація» у випадку розпізнання нападів та загроз;
- безпосередні заходи щодо захисту та/або мінізації шкоди під час кібератак;
- проведення оцінки стану систем ІТ-безпеки;
- технічна підтримка в усіх пов'язаних з ІТ-безпекою питаннях;
- звітування щодо роботи ОЦБ та усіх пов'язаних з ІТ-безпекою систем.
Відмінність ОЦБ від SIEM
Часто термін ОЦБ помилково прирівнюють до поняття SIEM, яке об'єднує керування інформаційною безпекою та подіями безпеки. SIEM представлений застосунками, приладами чи послугами, він також використовується для журналювання даних та генерації звітів задля сумісності з іншими даними організації. ОЦБ в свою чергу є комплексом програмно-технічних засобів, кваліфікованого персоналу та процесів їхньої взаємодії. ОЦБ також має такі завдання, як: адміністрування засобів гарантування інформаційної безпеки, постійний контроль за вразливостями в периметрі та в підконтрольних системах всередині мережі, контроль за привілейованими користувачами тощо.
Складові ОЦБ
ОЦБ — досить широке поняття, яке об'єднує такі складові, як:
Фізична
Організацію ОЦБ рекомендують проводити після ретельного планування, адже фізична безпека центру має важливу роль. Розташування ОЦБ повинно бути зручним та фунцкціональним з урахуванням параметрів освітлення та акустики. Як правило, в ОЦБ є кілька зон, зокрема, операційне приміщення, командний пункт ([en]»), а також офіси керівництва. Кожна із зон в ідеалі має особливе, налаштоване під потреби облаштування, ключовими параметрами вважається комфорт, видимість, ефективність та контроль.
Технологічна
Зазвичай ОЦБ базуються на системі безпеки інформації та керування подіями (SIEM), яка агрегує та корелює дані з каналів безпеки, таких як мережеве відкриття та системи оцінки вразливості; системи управління, ризику та дотримання (GRC); системи оцінки та моніторингу вебсайтів, прикладних програм та сканерів баз даних; інструменти тестування проникнення; системи виявлення вторгнень (англ. Intrusion Detection System, IDS); система запобігання вторгненню (англ. Intrusion prevention system, IPS); систем управління журналами; аналіз поведінки в мережі та інтелектуальна безпека Cyber threat; бездротова система запобігання вторгненню; брандмауери, корпоративний антивірус та уніфіковане управління загрозами (англ. Unified Threat Management, UTM). Технологія SIEM створює базу даних для аналітиків безпеки для моніторингу установи.
У сфері кібербезпеки наявні і комплексні рішення, зокрема, для протидії загрозам «нульового дня» та APT-атакам. Наприклад, системи боротьби зі шкідливим програмним забезпеченням, які засновані на поведінковому аналізі, системи аналізу аномалій та динамічної сегментації мережі, системи аналізу потенційно небезпечних файлів (так звані «пісочниці») та інші.
Персонал
У складі ОЦБ виокремлюють керівні, інженерні, аналітичні та операційні посади. До складу ОЦБ, як правило, входять аналітики, інженери з безпеки та керівники, які повинні бути досвідченими спеціалістами зі знаннями інформаційних технологій та мереж. Вони, як правило, навчаються в області комп'ютерної інженерії, криптографії, інженерії мережі або комп'ютерної науки.
Графік роботи персоналу ОЦБ коливається від восьми годин на день, п'ять днів на тиждень (8x5) до двадцяти чотирьох годин на день, сім днів на тиждень (24x7). Зміни повинні містити щонайменше два аналітика, і обов'язки повинні бути чітко визначені. Часто йдеться про дві чи три зміни аналітиків, які працюють почергово. Вважається, що такі центри мають працювати безперервно: ОЦБ — «це насамперед комплекс програмно-технічних засобів, кваліфікованого персоналу цілодобової чергової зміни з вивіреними процесами взаємодії, з точно виписаними параметрами обслуговування».
Значну важливість має командна робота: усі дії повинні бути скоординовані щодо співпраці та розподілу обов'язків, часових витрат та ефективності. Кожен член команди повинен бути обізнаним з місією та стратегією. Керівник ОЦБ повинен зміцнювати команду, мотивувати її членів, утримувати фахівців та заохочувати до створення додаткової цінності для організації та самих себе.
Визначення точної кількості членів ОЦБ вважається складною задачею: часто бюджетні та організаційні обмеження заважають винайняти необхідну команду. З іншого боку, недостатнє комплектування ОЦБ загрожує подальшими втратами через порушення інформаційної безпеки. Спеціалістів підряджають також і на аутсорсингу. В Україні, як і в світі, поступово зростає ринок комерційних ОЦБ. Провайдери таких послуг, для яких експлуатація ОЦБ — основний бізнес, за оплату надають послуги інформаційної безпеки та можуть перевести інформаційну безпеку клієнтів, зокрема з обмеженим бюджетом, на якісно новий рівень.
Організація
Великі організації та уряди можуть керувати кількома ОЦБ для управління різними групами інформаційно-комунікаційних технологій або надання резервування у випадку, якщо один із сайтів недоступний. Роботу ОЦБ можна передавати на аутсорсинг, наприклад, за допомогою керованої служби безпеки. Термін «ОЦБ» традиційно використовувався урядами, хоча в таких центрах також є велика кількість великих корпорацій та інших організацій.
ОЦБ та мережевий операційний центр (НОК) доповнюють один одного та працюють у тандемі. НОК, як правило, несе відповідальність за моніторинг та підтримку загальної мережевої інфраструктури, основною функцією якої є забезпечення безперебійного обслуговування мережі. ОЦБ відповідає за захист мереж, а також вебсайти, програми, бази даних, сервери та центри обробки даних, а також інші технології. Подібним чином, ОЦБ та центр операцій з фізичної безпеки координував та працював разом. Фізичний ОЦБ є об'єктом у великих організаціях, де співробітники служби безпеки стежать та контролюють співробітників служб безпеки / охоронців, сигналізацій, відеоспостереження, фізичного доступу, освітлення, транспортних перешкод тощо.
Не кожен ОЦБ має ту ж саму роль. Існує три різні напрямки, в яких ОЦБ може працювати, і які можуть бути об'єднані в будь-яку комбінацію: Контроль — зосередження на стані безпеки з перевіркою відповідності, тестування проникнення, тестування на вразливість тощо.
Моніторинг — зосередження уваги на події та реагування з моніторингом журналів, адміністрацією SIEM та реакцією на інциденти.
Операційна діяльність — зосередження уваги на операціях забезпечення безпеки операційної безпеки, таких як управління ідентифікацією та доступом, керування ключами, адміністрування брандмауера тощо.
Успіх роботи ЦОБ визначається, зокрема, якісною автоматизацією безпеки для гарантування її ефективності та дієвості. Поєднання автоматизації із роботою професійних безпекових аналітиків дає організації можливість убезпечити себе від витоку даних та кібератак.
ОЦБ як послуга
Через високий попит на фахівців у сфері ІТ-безпеки та їхні порівняно високі зарплати малому та середньому бізнесу часто складно організувати власний ОЦБ. Через це пропонується аутсорс ОЦБ — так званий ОЦБ як послуга (SOCaaS, Security Operation Center as a Service). Конкретний набір завдань у пакеті ОЦБ як послуги варіюється у різних постачальників. В основі всіх лежить моніторинг статусу безпеки, пошук ознак можливих атак, оцінка релевантної до ІТ-безпеки інформації та тематична аналітика.
У межах ОЦБ як послуги пропонується зокрема наступне:
- 24-годинний моніторинг подій безпеки;
- підготовка звітів про ситуацію та аналіз безпеки;
- аналіз поточних подій безпеки;
- активна «сигналізація»;
- за потреби: сервіс відповіді на інциденти;
- використання безпекових рішень для SIEM, IDS/IPS, виявлення та усування прогалин у безпеці, ІТ-криміналістика, захист від DDoS-атак, управління фаєрволом, управління профілями користувачів, безпека застосунків, безпека електронної пошти та користування мережею.
Див. також
Джерела
- What is a SOC (Security Operations Center)?. Security Affairs (амер.). 24 травня 2016. Процитовано 30 квітня 2018.
- Штаб цифровой крепости. Как устроен центр информационной безопасности. Процитовано 30 квітня 2018.
- KG, Vogel Business Media GmbH & Co. Was ist ein Security Operations Center (SOC)?. Процитовано 30 квітня 2018.
- Цифровая осада: Как защититься от целевых кибератак. Процитовано 30 квітня 2018.
- Information security operations center. https://en.wikipedia.org/wiki/Information_security_operations_center (Англійська) . Вікіпедія. Процитовано 28.04.2018.
- What is a Security Operations Center (SOC)?. Digital Guardian. 14 листопада 2016. Процитовано 30 квітня 2018.
- KG, Vogel Business Media GmbH & Co. Security Operations Center (SOC) als Dienstleistung. Процитовано 30 квітня 2018.
- Security Operation Center (SOC) FAQ: Was Unternehmen über Security Operation Center wissen müssen - computerwoche.de. www.computerwoche.de (нім.). Процитовано 30 квітня 2018.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Operacijnij centr bezpeki Security Operations Center SOC centralizovanij pidrozdil ustanovi yakij virishuye pitannya z informacijnoyi ta kiberbezpeki na organizacijnomu ta tehnichnomu rivni Operacijnij centr bezpeki ce ob yekt de korporativni informacijni sistemi vebsajti dodatki bazi danih centri obrobki danih serveri aktivne merezheve obladnannya komp yuteri ta inshe kinceve obladnannya kontrolyuyetsya ocinyuyetsya ta zahishayetsya Centr kiberbezpeki v KiyeviZavdannya OCBPervinna funkciya OCB analiz na osnovi potochnogo monitoringu podij informacijnoyi bezpeki Dali za prioritetnistyu idut viyavlennya trivog vidpovid na incidenti bezpeki ta vipravlennya naslidkiv kozhnoyi vidstezhenoyi podiyi OCB ob yednuye lyudej procesi ta tehnologiyi dlya zabezpechennya obiznanosti v potochnij situaciyi shodo informacijnoyi bezpeki V organizaciyi chastinoyu yakoyi ye OCB vin rozbirayetsya z bud yakoyu zagrozlivoyu podiyeyu shodo informacijnoyi bezpeki Ce vklyuchaye nalezhnu identifikaciyu analiz informuvannya rozsliduvannya ta podalshe zvituvannya OCB takozh vede monitoring zastosunkiv dlya viyavlennya mozhlivoyi kiberataki chi vtorgnennya tobto podiyi informacijnoyi bezpeki i viznachaye mozhlivu shkodu dlya diyalnosti organizaciyi Odnim iz zavdan OCB ye navchannya ta informuvannya koristuvachiv zokrema prisheplennya yim kulturi kiberbezpeki a takozh operativne informuvannya pro viniknennya zagroz ta plan dij na vipadok kiberatak Bez takoyi roboti z koristuvachami kiberbezpeki mozhe viyavitisya neefektivnoyu Funkciyi OCBDlya povnocinnogo zahistu danih ta IT sistem OCB vikonuye nastupni funkciyi proaktivnij naglyad za IT sistemami ta postijnij analiz potochnogo stanu zagroz rozpiznannya slabkih misc u IT bezpeci ta yihnye usunennya centralizovane upravlinnya bezpeki riznomanitnimi pristoyami u sistemi signalizaciya u vipadku rozpiznannya napadiv ta zagroz bezposeredni zahodi shodo zahistu ta abo minizaciyi shkodi pid chas kiberatak provedennya ocinki stanu sistem IT bezpeki tehnichna pidtrimka v usih pov yazanih z IT bezpekoyu pitannyah zvituvannya shodo roboti OCB ta usih pov yazanih z IT bezpekoyu sistem Vidminnist OCB vid SIEM Chasto termin OCB pomilkovo pririvnyuyut do ponyattya SIEM yake ob yednuye keruvannya informacijnoyu bezpekoyu ta podiyami bezpeki SIEM predstavlenij zastosunkami priladami chi poslugami vin takozh vikoristovuyetsya dlya zhurnalyuvannya danih ta generaciyi zvitiv zadlya sumisnosti z inshimi danimi organizaciyi OCB v svoyu chergu ye kompleksom programno tehnichnih zasobiv kvalifikovanogo personalu ta procesiv yihnoyi vzayemodiyi OCB takozh maye taki zavdannya yak administruvannya zasobiv garantuvannya informacijnoyi bezpeki postijnij kontrol za vrazlivostyami v perimetri ta v pidkontrolnih sistemah vseredini merezhi kontrol za privilejovanimi koristuvachami tosho Skladovi OCBOCB dosit shiroke ponyattya yake ob yednuye taki skladovi yak Fizichna Organizaciyu OCB rekomenduyut provoditi pislya retelnogo planuvannya adzhe fizichna bezpeka centru maye vazhlivu rol Roztashuvannya OCB povinno buti zruchnim ta funckcionalnim z urahuvannyam parametriv osvitlennya ta akustiki Yak pravilo v OCB ye kilka zon zokrema operacijne primishennya komandnij punkt en a takozh ofisi kerivnictva Kozhna iz zon v ideali maye osoblive nalashtovane pid potrebi oblashtuvannya klyuchovimi parametrami vvazhayetsya komfort vidimist efektivnist ta kontrol Tehnologichna Zazvichaj OCB bazuyutsya na sistemi bezpeki informaciyi ta keruvannya podiyami SIEM yaka agreguye ta korelyuye dani z kanaliv bezpeki takih yak merezheve vidkrittya ta sistemi ocinki vrazlivosti sistemi upravlinnya riziku ta dotrimannya GRC sistemi ocinki ta monitoringu vebsajtiv prikladnih program ta skaneriv baz danih instrumenti testuvannya proniknennya sistemi viyavlennya vtorgnen angl Intrusion Detection System IDS sistema zapobigannya vtorgnennyu angl Intrusion prevention system IPS sistem upravlinnya zhurnalami analiz povedinki v merezhi ta intelektualna bezpeka Cyber threat bezdrotova sistema zapobigannya vtorgnennyu brandmaueri korporativnij antivirus ta unifikovane upravlinnya zagrozami angl Unified Threat Management UTM Tehnologiya SIEM stvoryuye bazu danih dlya analitikiv bezpeki dlya monitoringu ustanovi U sferi kiberbezpeki nayavni i kompleksni rishennya zokrema dlya protidiyi zagrozam nulovogo dnya ta APT atakam Napriklad sistemi borotbi zi shkidlivim programnim zabezpechennyam yaki zasnovani na povedinkovomu analizi sistemi analizu anomalij ta dinamichnoyi segmentaciyi merezhi sistemi analizu potencijno nebezpechnih fajliv tak zvani pisochnici ta inshi Personal U skladi OCB viokremlyuyut kerivni inzhenerni analitichni ta operacijni posadi Do skladu OCB yak pravilo vhodyat analitiki inzheneri z bezpeki ta kerivniki yaki povinni buti dosvidchenimi specialistami zi znannyami informacijnih tehnologij ta merezh Voni yak pravilo navchayutsya v oblasti komp yuternoyi inzheneriyi kriptografiyi inzheneriyi merezhi abo komp yuternoyi nauki Grafik roboti personalu OCB kolivayetsya vid vosmi godin na den p yat dniv na tizhden 8x5 do dvadcyati chotiroh godin na den sim dniv na tizhden 24x7 Zmini povinni mistiti shonajmenshe dva analitika i obov yazki povinni buti chitko viznacheni Chasto jdetsya pro dvi chi tri zmini analitikiv yaki pracyuyut pochergovo Vvazhayetsya sho taki centri mayut pracyuvati bezperervno OCB ce nasampered kompleks programno tehnichnih zasobiv kvalifikovanogo personalu cilodobovoyi chergovoyi zmini z vivirenimi procesami vzayemodiyi z tochno vipisanimi parametrami obslugovuvannya Znachnu vazhlivist maye komandna robota usi diyi povinni buti skoordinovani shodo spivpraci ta rozpodilu obov yazkiv chasovih vitrat ta efektivnosti Kozhen chlen komandi povinen buti obiznanim z misiyeyu ta strategiyeyu Kerivnik OCB povinen zmicnyuvati komandu motivuvati yiyi chleniv utrimuvati fahivciv ta zaohochuvati do stvorennya dodatkovoyi cinnosti dlya organizaciyi ta samih sebe Viznachennya tochnoyi kilkosti chleniv OCB vvazhayetsya skladnoyu zadacheyu chasto byudzhetni ta organizacijni obmezhennya zavazhayut vinajnyati neobhidnu komandu Z inshogo boku nedostatnye komplektuvannya OCB zagrozhuye podalshimi vtratami cherez porushennya informacijnoyi bezpeki Specialistiv pidryadzhayut takozh i na autsorsingu V Ukrayini yak i v sviti postupovo zrostaye rinok komercijnih OCB Provajderi takih poslug dlya yakih ekspluataciya OCB osnovnij biznes za oplatu nadayut poslugi informacijnoyi bezpeki ta mozhut perevesti informacijnu bezpeku kliyentiv zokrema z obmezhenim byudzhetom na yakisno novij riven OrganizaciyaVeliki organizaciyi ta uryadi mozhut keruvati kilkoma OCB dlya upravlinnya riznimi grupami informacijno komunikacijnih tehnologij abo nadannya rezervuvannya u vipadku yaksho odin iz sajtiv nedostupnij Robotu OCB mozhna peredavati na autsorsing napriklad za dopomogoyu kerovanoyi sluzhbi bezpeki Termin OCB tradicijno vikoristovuvavsya uryadami hocha v takih centrah takozh ye velika kilkist velikih korporacij ta inshih organizacij OCB ta merezhevij operacijnij centr NOK dopovnyuyut odin odnogo ta pracyuyut u tandemi NOK yak pravilo nese vidpovidalnist za monitoring ta pidtrimku zagalnoyi merezhevoyi infrastrukturi osnovnoyu funkciyeyu yakoyi ye zabezpechennya bezperebijnogo obslugovuvannya merezhi OCB vidpovidaye za zahist merezh a takozh vebsajti programi bazi danih serveri ta centri obrobki danih a takozh inshi tehnologiyi Podibnim chinom OCB ta centr operacij z fizichnoyi bezpeki koordinuvav ta pracyuvav razom Fizichnij OCB ye ob yektom u velikih organizaciyah de spivrobitniki sluzhbi bezpeki stezhat ta kontrolyuyut spivrobitnikiv sluzhb bezpeki ohoronciv signalizacij videosposterezhennya fizichnogo dostupu osvitlennya transportnih pereshkod tosho Ne kozhen OCB maye tu zh samu rol Isnuye tri rizni napryamki v yakih OCB mozhe pracyuvati i yaki mozhut buti ob yednani v bud yaku kombinaciyu Kontrol zoseredzhennya na stani bezpeki z perevirkoyu vidpovidnosti testuvannya proniknennya testuvannya na vrazlivist tosho Monitoring zoseredzhennya uvagi na podiyi ta reaguvannya z monitoringom zhurnaliv administraciyeyu SIEM ta reakciyeyu na incidenti Operacijna diyalnist zoseredzhennya uvagi na operaciyah zabezpechennya bezpeki operacijnoyi bezpeki takih yak upravlinnya identifikaciyeyu ta dostupom keruvannya klyuchami administruvannya brandmauera tosho Uspih roboti COB viznachayetsya zokrema yakisnoyu avtomatizaciyeyu bezpeki dlya garantuvannya yiyi efektivnosti ta diyevosti Poyednannya avtomatizaciyi iz robotoyu profesijnih bezpekovih analitikiv daye organizaciyi mozhlivist ubezpechiti sebe vid vitoku danih ta kiberatak OCB yak poslugaCherez visokij popit na fahivciv u sferi IT bezpeki ta yihni porivnyano visoki zarplati malomu ta serednomu biznesu chasto skladno organizuvati vlasnij OCB Cherez ce proponuyetsya autsors OCB tak zvanij OCB yak posluga SOCaaS Security Operation Center as a Service Konkretnij nabir zavdan u paketi OCB yak poslugi variyuyetsya u riznih postachalnikiv V osnovi vsih lezhit monitoring statusu bezpeki poshuk oznak mozhlivih atak ocinka relevantnoyi do IT bezpeki informaciyi ta tematichna analitika U mezhah OCB yak poslugi proponuyetsya zokrema nastupne 24 godinnij monitoring podij bezpeki pidgotovka zvitiv pro situaciyu ta analiz bezpeki analiz potochnih podij bezpeki aktivna signalizaciya za potrebi servis vidpovidi na incidenti vikoristannya bezpekovih rishen dlya SIEM IDS IPS viyavlennya ta usuvannya progalin u bezpeci IT kriminalistika zahist vid DDoS atak upravlinnya fayervolom upravlinnya profilyami koristuvachiv bezpeka zastosunkiv bezpeka elektronnoyi poshti ta koristuvannya merezheyu Div takozhBezpeka merezhi Informacijna bezpeka Ukrayini Kriteriyi ocinki informacijnoyi bezpeki Agentstvo Yevropejskogo Soyuzu z pitan merezhevoyi ta informacijnoyi bezpeki Zahist informaciyi Stanciya aktivnih pereshkod Zagroza IT DzherelaWhat is a SOC Security Operations Center Security Affairs amer 24 travnya 2016 Procitovano 30 kvitnya 2018 Shtab cifrovoj kreposti Kak ustroen centr informacionnoj bezopasnosti Procitovano 30 kvitnya 2018 KG Vogel Business Media GmbH amp Co Was ist ein Security Operations Center SOC Procitovano 30 kvitnya 2018 Cifrovaya osada Kak zashititsya ot celevyh kiberatak Procitovano 30 kvitnya 2018 Information security operations center https en wikipedia org wiki Information security operations center Anglijska Vikipediya Procitovano 28 04 2018 What is a Security Operations Center SOC Digital Guardian 14 listopada 2016 Procitovano 30 kvitnya 2018 KG Vogel Business Media GmbH amp Co Security Operations Center SOC als Dienstleistung Procitovano 30 kvitnya 2018 Security Operation Center SOC FAQ Was Unternehmen uber Security Operation Center wissen mussen computerwoche de www computerwoche de nim Procitovano 30 kvitnya 2018