Центры мониторинга и реагирования на инциденты информационной безопасности (SOC)

Построение и развитие центров мониторинга информационной безопасности (SOC)

Задача построения и развития Security Operation Center (SOC) актуальна для многих компаний, что связано прежде всего с постоянным ростом и совершенствованием атак и потребностью в современном инструменте противодействия киберугрозам. Эффективный центр реагирования на инциденты информационной безопасности может стать основой оперативной защиты инфраструктуры Компании от современных атак. Основные цели SOC – обнаружение инцидентов ИБ, оперативное реагирование на них, предотвращение их возникновения и, как следствие, сокращение финансовых и репутационных потерь, к которым могут привести инциденты.

Возможные драйверы создания SOC

  • Рост угроз ИБ – рост потерь компаний и граждан от киберпреступлений увеличивается по сравнению с прошлыми периодами, при сохранении текущей динамики.
  • Повышение эффективности инвестиций в ИБ – современный SOC позволяет наиболее эффективно использовать имеющиеся ресурсы в компаниях с распределенной географией для координации действий при инцидентах ИБ, а также сократить время реагирования на инциденты ИБ.
  • Сложность ИТ-инфраструктуры – наличие большой, сложной и разнотипной ИТ инфраструктуры требует дополнительных усилий по ее контролю. Современный SOC позволяет организовать централизованный мониторинг инцидентов ИБ из единой точки.
  • Автоматизация бизнес-процессов – рост автоматизации бизнес-процессов приводит к возникновению новых рисков ИБ. Создание современного центра мониторинга позволяет снизить риски потерь к минимуму.
  • Требования регуляторов и стандартов – создание SOC является основой для выполнения требований ФЗ-187 по интеграции с ГосСОПКА и отдельных стандартов ИБ.
  • Переход на аутсорсинг ИТ – увеличение доли внутренних ИТ-систем, передаваемых на аутсорсинг и внешние технические поддержки, приводит к необходимости наличия современных средств по их контролю.

Оценка уровня зрелости процессов SOC согласно методике PWC

Мы проводим оценку текущего уровня зрелости SOC по следующим 6 направлениям согласно методике PWC:

Каждый из направлений SOC анализируется на обеспеченность персоналом, наличием выстроенных процессов и технологий. Проводится оценка покрытия периметра компании различными контролями и СЗИ, анализируются процессы выявления внешних и внутренних угроз, определяется наличие категоризации инцидентов, квалификация персонала и т.д. Каждый сервис, указанный на шестиграннике, оценивается по шкале от 0 до 4. Из полученных оценок по сервисам определяется оценка каждого направления.

Как PwC может помочь?

Наша команда выполняет проекты по SOC для российских и зарубежных компаний. Мы оказываем следующие услуги в этой области:

Повышение эффективности

Современный бизнес постоянно находится в процессе изменения: все время появляются новые потребности, новые технологии и новые угрозы. Именно поэтому SOC должен адаптироваться под меняющиеся требования: становиться более зрелым, охватывать больше систем, использовать новые методы выявления атак. На данном этапе мы предоставляем следующие услуги:

  • оценка зрелости существующего SOC по собственной методике PwC;
  • оценка текущих и формулирование новых сценариев выявления атак (Use Case), учитывающих новые угрозы и риски бизнеса;
  • консультирование по выбору направления развития системы контроля безопасности с учетом актуальных угроз и существующих потребностей;
  • проведение сравнительного анализа текущего и целевого состояния элементов SOC компании с подобными организациями в мире (benchmarking);
  • внедрение метрик и KPI оценки работы и управленческой отчетности SOC.

Подробнее

Подготовка стратегии и архитектуры

На этом этапе определяется Стратегия SOC и «дорожная карта» внедрения в условиях бюджетных и временных ограничений. Происходит выбор поставщика SIEM-системы и других подсистем SOC (системы обработки инцидентов, поставщиков информации о киберугрозах, контроля и анализа трафика и проч.). На этом этапе мы предоставляем следующие услуги:

  • создание Стратегии и «дорожной карты» внедрения и развития SOC;
  • определение организационной структуры;
  • сравнение SIEM-систем и выбор подсистем SOC;
  • проектирование архитектуры SOC и его подсистем.

Подробнее

Выстраивание процессов

На этом этапе мы можем оказать вам содействие в виде следующих услуг:

  • построение процессов SOC, например:
    • управления инцидентами ИТ-безопасности;
    • управления уязвимостями;
    • управления знаниями;
    • управление исключениями;
    • мониторинг и контроль работы SOC;
  • содействие в подборе персонала для работы в SOC, организация обучения для сотрудников SOC, тестирование текущих сотрудников;
  • разработка инструкций по реагированию на инциденты (Playbook).

Подробнее

Внедрение технических решений

Внедрение SOAR-систем не является простой задачей. Системы типа SOAR должна быть интегрирована со множеством систем компании. В процессе интеграции вы можете столкнуться с различными трудностями, которые хорошо известны нашей команде. Мы можем внедрить данную технологию под ключ, что подразумевает решение следующих задач:

  • техническое проектирование SOAR-системы и вспомогательных подсистем SOC;
  • внедрение системы SOAR и вспомогательных подсистем SOC;
  • интеграция с источниками событий, включая системы, не поддерживаемые поставщиком SOAR;
  • разработка и внедрение сценариев реагирования на инциденты ИБ, отчетов и средств визуализации;
  • интеграция с поставщиками информации об аналитике киберугроз.

Также мы можем взять на себя функции контроля качества за исполнением сторонним интегратором своих обязательств, выполняя проверку качества работ в ходе проекта.

Подробнее

{{filterContent.facetedTitle}}

{{contentList.loadingText}}

Контакты

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности, PwC в России

Тел: +7 (495) 967 6153

Михаил Курзин

Директор, практика по оказанию услуг в области кибербезопасности, PwC в России

Тел: +7 (495) 223 5040

Мы в социальных сетях