Войти
Операционный центр национальной безопасности США в 1975 году операционный центр информационной безопасности (ISOC или SOC ) - это объект, где корпоративные информационные системы (веб-сайты, приложения, базы данных, центры обработки данных и серверы, сети, настольные компьютеры и другие конечные точки) отслеживаются, оцениваются и защищаются.
SOC относится к людям, процессам и технологиям, которые обеспечивать ситуационную осведомленность посредством обнаружения, локализации и устранения ИТ-угроз. SOC будет обрабатывать от имени учреждения или компании любой угрожающий ИТ-инцидент и гарантирует, что он будет надлежащим образом идентифицирован, проанализирован, сообщен, исследован и представлен. SOC также отслеживает приложения, чтобы идентифицировать возможную кибератаку или вторжение (событие), и определяет, является ли это реальной вредоносной угрозой (инцидентом) и может ли это повлиять на бизнес.
Создание и функционирование SOC дорого и сложно; организациям для этого нужна веская причина. Это может включать:
Операционный центр безопасности (SOC) может также называться центром защиты безопасности (SDC), центром аналитики безопасности (SAC), центром операций сетевой безопасности (NSOC), центром разведки безопасности, центром кибербезопасности, центром защиты от угроз, аналитикой безопасности и операционный центр (SIOC). В канадском федеральном правительстве термин «центр защиты инфраструктуры» (IPC) используется для описания SOC.
SOC обычно основаны на системе информации о безопасности и управления событиями (SIEM), которая объединяет и сопоставляет данные из каналов безопасности, таких как обнаружение сети и системы оценки уязвимости ; системы корпоративного управления, рисков и соответствия (GRC); системы оценки и мониторинга веб-сайтов, сканеры приложений и баз данных; тестирование на проникновение инструменты; системы обнаружения вторжений (IDS); система предотвращения вторжений (IPS); системы управления журналами; анализ сетевого поведения и разведка киберугроз ; беспроводная система предотвращения вторжений; брандмауэры, корпоративный антивирус и единое управление угрозами (UTM). Технология SIEM создает «единую стеклянную панель» для аналитиков безопасности, которые могут контролировать предприятие.
В состав SOC входят аналитики, инженеры по безопасности и менеджеры SOC, которые должны быть опытными специалистами в области ИТ и сетей. Обычно они обучаются компьютерной инженерии, криптографии, сетевой инженерии или информатике и могут иметь такие учетные данные, как CISSP. или GIAC.
Кадровые планы SOC варьируются от восьми часов в день, пять дней в неделю (8x5) до двадцати четырех часов в день, семь дней в неделю (24x7). Смены должны включать как минимум двух аналитиков, а обязанности должны быть четко определены.
Крупные организации и правительства могут использовать несколько SOC для управления различными группами информационных и коммуникационных технологий или для обеспечения избыточности в случае, если один сайт недоступен. Работа SOC может быть передана на аутсорсинг, например, с помощью управляемой службы безопасности. Термин SOC традиционно использовался правительствами и поставщиками управляемых систем компьютерной безопасности, хотя все большее число крупных корпораций и других организаций также имеют такие центры.
SOC и центр сетевых операций (NOC) дополняют друг друга и работают в тандеме. NOC обычно отвечает за мониторинг и поддержку всей сетевой инфраструктуры, а его основная функция - обеспечение бесперебойной работы сети. SOC отвечает за защиту сетей, а также веб-сайтов, приложений, баз данных, серверов и центров обработки данных, а также других технологий. Точно так же SOC и центр операций физической безопасности координируют свои действия и работают вместе. Физический SOC - это объект в крупных организациях, где сотрудники службы безопасности контролируют и контролируют сотрудников службы безопасности / охранников, сигнализацию, систему видеонаблюдения, физический доступ, освещение, шлагбаумы и т. Д.
Не все SOC выполняют одинаковую роль. SOC может быть активен в трех различных областях, которые можно комбинировать в любой комбинации:
В некоторых случаях SOC, NOC или физический SOC могут быть размещены на одном объекте или организационно объединены, особенно если основное внимание уделяется оперативным задачам. Если SOC исходит от организации CERT, то обычно больше внимания уделяется мониторингу и контролю, и в этом случае SOC работает независимо от NOC, чтобы поддерживать разделение обязанностей. Как правило, в более крупных организациях существует отдельный SOC для обеспечения целенаправленности и компетентности. Затем SOC тесно сотрудничает с сетевыми операциями и операциями физической безопасности.
SOC обычно хорошо защищены физической, электронной, компьютерной и кадровой безопасностью. Центры часто располагаются столами, обращенными к видеостене, на которой отображается важный статус, события и тревоги; текущие инциденты; угол стены иногда используется для показа новостного телеканала или телеканала о погоде, поскольку это может держать сотрудников SOC в курсе текущих событий, которые могут повлиять на информационные системы. Инженер по безопасности или аналитик по безопасности может иметь на своем столе несколько компьютерных мониторов.
Процессы и процедуры в SOC будут четко определять роли и обязанности, а также процедуры мониторинга. Эти процессы включают бизнес, технологии, операционные и аналитические процессы. Они определяют, какие шаги необходимо предпринять в случае предупреждения или нарушения, включая процедуры эскалации, процедуры отчетности и процедуры реагирования на нарушения.
Операционный центр облачной безопасности (CloudSOC) может быть настроен для мониторинга использования облачных сервисов на предприятии (и держать проблему Shadow IT под контролем), или анализировать и проверять ИТ-инфраструктуру и журналы приложений с помощью технологий SIEM и платформ машинных данных (например, LogRhythm, Splunk, Assuria, Fusus, HP ArcSight, CYBERShark и Elastica) для предоставления предупреждений и сведений о подозрительной активности.
Smart SOC (Security Operations Center) - это комплексное, технологически независимое решение кибербезопасности, в котором используются передовые технологии и инструменты, высококвалифицированные и опытные люди талант (состоит из собирателей киберразведки, аналитиков и экспертов по безопасности) и проактивные принципы кибервойны для предотвращения и нейтрализации угроз цифровой инфраструктуре, активам и данным организации.
Кроме того, есть много других часто упоминаемых терминов, связанных с исходным названием «ISOC», включая следующие:
