2. Основы
В этом разделе мы рассмотрим основные понятия SOC: что такое SOC, его основные задачи, инструменты, которые он использует для их выполнения, а также ключевые факторы, влияющие на достижение его целей. Большая часть материала описана в последующих разделах.
Даже если вы уже имеете опыт участия в процессе реагирования на инциденты или обеспечения безопасности, вам может быть полезно прочитать этот раздел, поскольку в нем уточняется ключевая терминология и факторы, используемые в книге.
2.1 Что такое SOC?
SOC определяется прежде всего через свою основную задачу – защиту компьютерных сетей (computer network defense, CND). Мы адаптировали определение из [42], характеризующее CND как:
действия по защите от несанкционированной деятельности в компьютерных сетях, включая мониторинг, обнаружение, анализ (например, анализ трендов и паттернов), реагирование и восстановление.
Существует множество терминов, которые использовались для обозначения команд экспертов по кибербезопасности, выполняющих задачи по CND. Среди них:
- Команда реагирования на инциденты компютерной безопасности (Computer Security Incident Response Team (CSIRT)).
- Команда реагирования на компьютерные инциденты (Computer Incident Response Team (CIRT)).
- Центр реагирования на компьютерные инциденты (Computer Incident Response Center (or Capability) (CIRC)).
- Центр реагирования на инциденты компьютерной безопасности (Computer Security Incident Response Center (or Capability) (CSIRC)).
- Центр обеспечения безопасности (Security Operations Center (SOC)).
- Центр обеспечения кибербезопасности (Cybersecurity Operations Center (CSOC)).
- Группа экстренного реагирования на компьютерные инциденты (Computer Emergency Response Team (CERT [1]).
Обычно вариации названия включают такие слова, как «сеть», «компьютер», «безопасность», «кибер», «информационные технологии», «экстренный», «инцидент», «операции» или «предприятие».
Аббревиатура «CSIRT» является наиболее технически точным термином, который может использоваться в отношении команды персонала, собранной для поиска и предотвращения вторжений. Однако его использование далеко не универсально, на практике большинство CSIRT имеют другие обозначения, отличные от «CSIRT». В последние годы данный термин встречается все реже. В результате, одного только названия недостаточно для полноценного определения команд по реагированию на инциденты. В разговорной речи многие (если не большинство) специалисты в области кибербезопасности обозначают CSIRT с помощью термина «SOC», однако его использование таким образом не совсем корректно.[2]
Использование CSIRT как более корректного термина может сбить с толку многих читателей, а мы хотим соответствовать современному общепринятому употреблению базовых понятий. Поэтому в данной книге мы будем придерживаться термина «SOC». Ниже представлено объединенное определение CSIRT из [42] и «SOC» из [43]:
SOC – это команда, состоящая в основном из аналитиков по безопасности, в задачи которой входит обнаружение и анализ инцидентов кибербезопасности, оперативное реагирование, предотвращение их возникновения и составление отчетности.
SOC предоставляет услуги ряду клиентов, называемых потребителями услуг SOC – ограниченному набору пользователей, сайтов, ИТ-активов, сетей и организаций. На основании определений из [43] и [8], j87a можно сказать, что потребители определяются в соответствии с организационными, географическими, политическими, техническими или договорными ограничениями.
Вновь обращаясь к историческому определению «CSIRT», [44] излагает три критерия, которые организация должна выполнить, чтобы считаться CSIRT. Мы будем рассматривать их применительно к SOC. Для того чтобы организация считалась SOC, она должна:
- Предоставить потребителям средства для того, чтобы сообщать об инцидентах кибербезопасности.
- Предоставлять клиентам помощь в обработке инцидентов.
- Передавать информацию, связанную с инцидентами, потребителям услуг SOC и внешним участникам.
SOC предоставляет клиентам набор услуг, который связан с основной миссией обнаружения и реагирования на инциденты – например, в области повышения осведомленности о безопасности или оценки уязвимости. Услуги, предоставляемые SOC потребителям, можно сравнить с тем, как работает пожарная служба или скорая помощь. Главная задача пожарных и других сотрудников аварийно-спасательных служб – помочь людям в чрезвычайных ситуациях, но гораздо больший упор в их работе делается на предотвращение вреда. Сюда входит, помимо прочего, обучение пожарной безопасности, инспекция жилищ и предприятий, а также обучение первой помощи. Информационная деятельность имеет большое значение для предотвращения ущерба – как от пожаров, так и инцидентов информационной безопасности.
У некоторых пожарных отделений есть ресурсы для проведения подробного расследования причин возникновения и путей распространения пожара. Аналогичным образом, некоторые SOC обладают навыками и ресурсами для проведения подробной экспертизы в отношении скомпрометированных систем. Другие, однако, вынуждены обращаться к SOC-партнерам или внешним организациям, если необходимо провести углубленное расследование. В разделе 2.4 рассматривается спектр услуг, которые SOC может предоставить.
[1] – Термин Computer Emergency Response Team (CERT) зарегистрирован в U.S. Patent and Trademark Office Университетом Carnegie Mellon.
[2] – Следует также отметить, что некоторые центры физической безопасности также проходят под названием «SOC». В названии этой книги мы использовали «Кибер», чтобы отделить нашу тему.