На сегодня известно множество классификаций центров мониторинга информационной безопасности. Попробуем разобраться в этом сложном вопросе.
Внешний vs внутренний SOC
Если рассматривать центр мониторинга относительно оказываемых им услуг, то он может быть внутренним, построенным в организации, или внешним, работающим на аутсорсе.
В случае внутреннего SOC основная задача центра – осуществлять контроль собственной инфраструктуры.
Особенность внутреннего SOC в том, что специалисты контролируют известную им инфраструктуру. Кроме того, в случае обнаружения атаки либо инцидента внутренний SOC может оперативнее взаимодействовать с ИТ-отделом, в том числе и самостоятельно принимать меры по устранению инцидента.
Однако далеко не все организации могут позволить себе создать свой собственный центр мониторинга. Причин здесь много. Это и нехватка SOC-специалистов, и недостаточное финансирование на приобретение дорогостоящих компонентов системы мониторинга, и сложности с практической реализацией в одиночку такого сложного проекта.
Так появилась необходимость в сторонних центрах мониторинга (внешний SOC). Их главная задача – оказывать организациям-клиентам услуги по мониторингу и реагированию на инциденты информационной безопасности. Хотя зачастую такие центры одновременно выполняют функцию и внутреннего SOC: контролируют события в собственной инфраструктуре.
Внешние центры работают на договорной основе, а также могут одновременно являться корпоративными центрами ГосСОПКА, о которых расскажем ниже.
Гибридный SOC vs SOC-as-a-service
Ещё один принцип, по которому можно классифицировать центры мониторинга – это формат оказания услуг, который завязан на технологии. Существуют сторонние центры, которые оказывают услуги мониторинга инцидентов безопасности, но предварительно они занимаются внедрением в организации системы мониторинга (ее организация закупает сама). Это модель гибридного SOC.
В случае, если организация планирует строить свой SOC, такой вариант может стать неким промежуточным вариантом. Он позволит обучать своих специалистов в то время, как сторонний центр мониторинга будет обеспечивать безопасность. Но так как не все организации планируют создавать свой SOC, этот вариант может оставаться рабочим на постоянной основе.
В противовес гибридному SOC функционируют центры, которые оказывают услуги как сервис. Сервисная модель предполагает предоставление организации компонент системы мониторинга, при помощи которых в дальнейшем будет осуществляться сбор событий с активов.
В большинстве случаев центры мониторинга реализуют оба варианта подключения, то есть помогают закрыть потребности конкретной организации.
Корпоративные и ведомственные центры ГосСОПКА
В России функционируют центры мониторинга, являющиеся корпоративными или ведомственными центрами ГосСОПКА. С перечнем таких центров можно ознакомиться на сайте – https://gossopka.ru/.
Создать корпоративный центр ГосСОПКА непросто. Для начала необходимо получить лицензию ФСТЭК и ФСБ России, при этом в лицензию ФСТЭК должен быть включен пункт «в» – мониторинг. Потребуется также заключение соглашения с ФСБ России или НКЦКИ, а также активное взаимодействие в последствии с этими структурами.
Корпоративные или ведомственные центры ГосСОПКА обладают классом, в зависимости от которого меняется состав выполняемых ими функций.
Отдельно можно выделить ведомственные центры ГосСОПКА, которые осуществляют мониторинг не только в рамках своей инфраструктуры, но и инфраструктуры подконтрольных организаций: филиалов как отдельных юридических лиц, подведомственных организаций органов исполнительной власти и т.д.
Классификация центров мониторинга по функционалу
Центры мониторинга можно делить и по функционалу. Например, есть центры, которые реализуют исключительно базовый набор услуг: мониторинг и реагирование на инциденты безопасности. Но есть и такие команды, которые дополняют работы анализом уязвимостей и тестированием на проникновение. То есть держат в штате кроме SOC-аналитиков еще и профессиональных пентестеров. Другие центры дополнительно занимаются расследованием инцидентов, поиском новых угроз, прогнозированием новых векторов атак и т.д.
Режим работы у разных центров мониторинга может также отличаться. На сегодня успешно себя зарекомендовал формат работы 24х7 – круглосуточный мониторинг. Это значит, что в таком SOC аналитики работают сменами. Оптимальным количеством сотрудников в этом случае будет 8-9 человек. Такой штат учитывает необходимость отпусков, возможных больничных, а также исключает переработку специалистов.
Однако несмотря на то, что круглосуточный мониторинг кажется наиболее эффективным форматом для своевременного выявления угроз, не все организации выбирают его для защиты своей инфраструктуры. Так случается, если в организации нет круглосуточных смен ИБ-специалистов, чтобы в нерабочее время отрабатывать инциденты. Поэтому некоторые организации выбирают режим мониторинга 8х5. Это значит, что контролироваться инфраструктура будет 8 часов 5 дней в неделю (с 8.00 до 17.00).
Необходимо отметить, что не все центры могут реализовать мониторинг 24х7. Для этого нужен опыт и профессиональная команда SOC-аналитиков.
Итак, в статье мы рассмотрели разные типы классификации SOC-центров. Резюмирую отметим, что такое многообразие связано с потребностью и финансовыми возможностями организаций. Одним необходим исключительно мониторинг инцидентов безопасности, другим – мониторинг плюс взаимодействие с ГосСОПКА, третьим – глубокая аналитика. Соответственно, в зависимости от поставленных целей и задач строится либо собственный SOC, либо выбирается сторонний центр мониторинга. Далее в зависимости от состава услуг, необходимых технологий и выбранного формата работ формируется итоговая стоимость проекта.