2.1 Что такое SOC? (перевод гайда MITRE)

2. Основы

В этом разделе мы рассмотрим основные понятия SOC: что такое SOC, его основные задачи, инструменты, которые он использует для их выполнения, а также ключевые факторы, влияющие на достижение его целей. Большая часть материала описана в последующих разделах.

Даже если вы уже имеете опыт участия в процессе реагирования на инциденты или обеспечения безопасности, вам может быть полезно прочитать этот раздел, поскольку в нем уточняется ключевая терминология и факторы, используемые в книге.

2.1 Что такое SOC?

SOC определяется прежде всего через свою основную задачу – защиту компьютерных сетей (computer network defense, CND). Мы адаптировали определение из [42], характеризующее CND как:

действия по защите от несанкционированной деятельности в компьютерных сетях, включая мониторинг, обнаружение, анализ (например, анализ трендов и паттернов), реагирование и восстановление.

Существует множество терминов, которые использовались для обозначения команд экспертов по кибербезопасности, выполняющих задачи по CND. Среди них:

  • Команда реагирования на инциденты компютерной безопасности (Computer Security Incident Response Team (CSIRT)).
  • Команда реагирования на компьютерные инциденты (Computer Incident Response Team (CIRT)).
  • Центр реагирования на компьютерные инциденты  (Computer Incident Response Center (or Capability) (CIRC)).
  • Центр реагирования на инциденты компьютерной безопасности (Computer Security Incident Response Center (or Capability) (CSIRC)).
  • Центр обеспечения безопасности (Security Operations Center (SOC)).
  • Центр обеспечения кибербезопасности (Cybersecurity Operations Center (CSOC)).
  • Группа экстренного реагирования на компьютерные инциденты (Computer Emergency Response Team (CERT [1]).

Обычно вариации названия включают такие слова, как «сеть», «компьютер», «безопасность», «кибер», «информационные технологии», «экстренный», «инцидент», «операции» или «предприятие».

Аббревиатура «CSIRT» является наиболее технически точным термином, который может использоваться в отношении команды персонала, собранной для поиска и предотвращения вторжений. Однако его использование далеко не универсально, на практике большинство CSIRT имеют другие обозначения, отличные от «CSIRT». В последние годы данный термин встречается все реже. В результате, одного только названия недостаточно для полноценного определения команд по реагированию на инциденты. В разговорной речи многие (если не большинство) специалисты в области кибербезопасности обозначают CSIRT с помощью термина «SOC», однако его использование таким образом не совсем корректно.[2]

Использование CSIRT как более корректного термина может сбить с толку многих читателей, а мы хотим соответствовать современному общепринятому употреблению базовых понятий. Поэтому в данной книге мы  будем придерживаться термина «SOC». Ниже представлено объединенное определение CSIRT из [42] и «SOC» из [43]:

SOC – это команда, состоящая в основном из аналитиков по безопасности, в задачи которой входит обнаружение и анализ инцидентов кибербезопасности, оперативное реагирование, предотвращение их возникновения и составление отчетности.

SOC предоставляет услуги ряду клиентов, называемых потребителями услуг SOC – ограниченному набору пользователей, сайтов, ИТ-активов, сетей и организаций. На основании определений из [43] и [8], j87a можно сказать, что потребители определяются в соответствии с организационными, географическими, политическими, техническими или договорными ограничениями.

Вновь обращаясь к историческому определению «CSIRT», [44] излагает три критерия, которые организация должна выполнить, чтобы считаться CSIRT. Мы будем рассматривать их применительно к SOC. Для того чтобы организация считалась SOC, она должна:

  1. Предоставить потребителям средства для того, чтобы сообщать об инцидентах кибербезопасности.
  2. Предоставлять клиентам помощь в обработке инцидентов.
  3. Передавать информацию, связанную с инцидентами, потребителям услуг SOC и внешним участникам.

SOC предоставляет клиентам набор услуг, который связан с основной миссией обнаружения и реагирования на инциденты – например, в области повышения осведомленности о безопасности или оценки уязвимости. Услуги, предоставляемые SOC потребителям, можно сравнить с тем, как работает пожарная служба или скорая помощь. Главная задача пожарных и других сотрудников аварийно-спасательных служб – помочь людям в чрезвычайных ситуациях, но гораздо больший упор в их работе делается на предотвращение вреда. Сюда входит, помимо прочего, обучение пожарной безопасности, инспекция жилищ и предприятий, а также обучение первой помощи. Информационная деятельность имеет большое значение для предотвращения ущерба – как от пожаров, так и инцидентов информационной безопасности.

У некоторых пожарных отделений есть ресурсы для проведения подробного расследования причин возникновения и путей распространения пожара. Аналогичным образом, некоторые SOC обладают навыками и ресурсами для проведения подробной экспертизы в отношении скомпрометированных систем. Другие, однако, вынуждены обращаться к SOC-партнерам или внешним организациям, если необходимо провести углубленное расследование. В разделе 2.4 рассматривается спектр услуг, которые SOC может предоставить.



[1] – Термин Computer Emergency Response Team (CERT) зарегистрирован в U.S. Patent and Trademark Office Университетом Carnegie Mellon.

[2] – Следует также отметить, что некоторые центры физической безопасности также проходят под названием «SOC». В названии этой книги мы использовали «Кибер», чтобы отделить нашу тему.

Поделиться записью: