Центр оперативного управління кібербезпекою (Security Operation Center або Оперативний центр кібербезпеки)

є для кожної організації тією точкою, куди стікається вся оперативна інформація про стан захищеності та події, які впливають на кібербезпеку бізнесу. Такий центр також відповідає за вироблення рішень, формування правил, встановлення процедур і управління всіма діями, спрямованими на усунення інцидентів або підвищення загальної якості кіберзахисту. Для простоти будемо далі називати цю структурну одиницю організації загальноприйнятим у всьому світі терміном «SOC».

Навіщо SOC потрібен бізнесу?

Для бізнесу SOC є центром компетенцій і оперативного прийняття рішень із усіх питань кібербезпеки. Побудова SOC у десятки разів прискорює роботу підрозділів інформаційної безпеки та ІТ при реагуванні на критичні ситуації та робить її більш узгодженою й ефективною. Завдяки інтеграції всієї інфраструктури в рамках однієї платформи управління подіями, уразливостями, знаннями й інцидентами кібербезпеки, SOC стає постачальником цінної інформації про інформаційні системи та всю інфраструктуру, яка використовується ІТ та бізнес-підрозділами для кращого розуміння того, що відбувається.

Ключовими елементами будь-якого SOC є:

Технології

комплекс програмно-апаратних засобів, призначений для автоматизації всіх операцій SOC, який підвищує ефективність роботи команди;

Люди

 

високопрофесійна, добре організована й мобільна команда фахівців із виявлення, аналізу та реагування на інциденти кібербезпеки;

Процеси та процедури

сполучна ланка між людьми, технологіями, постачальниками даних для SOC і споживачами його послуг. Вони визначають правила та порядок взаємодії елементів SOC між собою, із зовнішнім світом і бізнес-підрозділами організації.

Без наявності всіх цих компонент SOC або не виконуватиме всі свої функції належним чином, або якість його послуг буде залишати бажати кращого.

Додатково SOC надає наступні важливі переваги

 

Зниження рівня ризику успішних кібератак

Більш швидке відновлення в разі масової атаки або

зараження

Швидша ідентифікація зловмисників і підозрілих дій у

мережі

Підвищення стійкості інфраструктури

Зниження шкоди від реалізації кіберзагроз

Виконання регуляторних вимог щодо термінів і процедур розкриття відомостей про атаки та витоки даних

Більш ефективне витрачання коштів на ІТ та

інформаційну безпеку

Значне спрощення проходження зовнішніх і внутрішніх

аудитів ІТ-безпеки (ISO27001, PCI DSS, GMP / GCP,

GDPR, SOC2 тощо)

 
Під час пошуку постачальника SOC важливим є вибір правильної моделі взаємодії

On-Permise SOC. Усі компоненти SOC розгортаються на майданчику компанії-замовника, формується внутрішній підрозділ, розробляються процеси та регламентна документація. Робота постачальника полягає в наданні устаткування та ліцензій, налаштуванні технологічної платформи, навчанні персоналу, допомозі в написанні документації та запуску процесів. Подальше операційне обслуговування SOC і виконання всіх завдань оперативного моніторингу та управління виконується замовником самостійно. Це найбільш довгий, затратний і ризикований варіант, який виправданий тільки для компаній дуже великого розміру, таких що мають специфічні вимоги до SOC або планують самостійно надавати послуги SOC у своєму секторі ринку.

Cloud SOC. Підхід аналогічний до on-Premise SOC, із тією лише різницею, що компоненти технологічної платформи розгортаються не у власних датацентрах, а на орендованих «хмарних» потужностях. Завдяки цьому прискорюється процес упровадження та запуску SOC, але ціною такого прискорення є збільшення загальної вартості володіння SOC. В Україні такий підхід не поширений, тому що при порівняно невеликих перевагах, з'являється істотний недолік - критичні дані про інфраструктуру компанії зберігаються в «хмарах» провайдера. Не кожна компанія готова миритися зі зростаючим ризиком витоку або неправомірного використання цієї інформації.

SOC-as-a-Service. У цьому випадку компанія не створює у себе ні технологічну платформу, ні команду SOC, повністю покладаючись на засоби й компетенції хмарного провайдера. Явними перевагами такого підходу є - швидкість запуску SOC, відсутність капітальних витрат, можливість використання чужого кращого досвіду, відсутність непередбачуваних накладних операційних витрат. До недоліків слід віднести малу гнучкість у налаштуванні сервісів і систем провайдера під себе, обмежений набір послуг, повну залежність від постачальника, відсутність контролю того, де зберігається та як використовується інформація компанії. Така модель найбільш виправдана для невеликих компаній, стартапів і тих, хто вже активно використовує хмарну інфраструктуру й додатки та має можливість отримати послуги SOC «з коробки» на додаток до інших послуг із одних рук.

Managed SOC. У такій моделі замовник отримує технологічну платформу в своє володіння та використовує команду постачальника для операційного супроводу процесів SOC. Для цього постачальник надає йому послуги інженерів, адміністраторів, операторів, аналітиків різного рівня та профілю, розробників, тестувальників і керівників проекту. Як правило, у такому випадку постачальник також виділяє сервіс-менеджера для швидкого вирішення будь-яких питань прямого зв'язку з командами замовника. Основною перевагою даного підходу є можливість зберігання й обробки всіх даних на стороні замовника. При цьому швидкість реалізації проекту та якість послуг SOC підвищуються за рахунок відсутності необхідності підбору, навчання й утримання власних фахівців. При такому підході інвестиції замовника найбільш захищені, послуги SOC максимально наближені до внутрішніх потреб і враховують усі особливості бізнесу, замовник завжди залишає за собою право змінити команду в будь-який момент із мінімумом витрат і простоїв. Це призводить до підвищення конкурентоздатності та загальної якості даної послуги на ринку.

 

Наша команда пропонує повний набір послуг Managed SOC і послуги з впровадження, технічної підтримки, навчання персоналу, розробки та документування процесів для On-Premise SOC і Cloud SOC. Не будучи провайдером хмарних послуг, ми не зможемо надати вам послугу в форматі SOC-as-a-Service, але з радістю проконсультуємо в питаннях підбору провайдера та допоможемо проконтролювати якість і повноту його процесів.

У рамках нашого SOC ви можете замовити всі або один із нижченаведених сервісів

Управління подіями та зберіганням журналів (Log Management);

Управління інцидентами кібербезпеки

(Incident Management)

Управління вразливостями

(Vulnerability Management)

Моніторинг топології, конфігурацій і змін мережі (Network Security Monitoring)

Аналіз підозрілих/шкідливих файлів

(Malware Analysis)

Моніторинг поведінки користувачів

(User Behavior Analysis)

Розслідування інцидентів кібербезпеки (CyberForensics)

Активний пошук і аналіз загроз у мережі

(Threat Hunting)

Управління активним обладнанням захисту

FW/IPS/WAV/AV (Security Device Management)

Аудит і діагностика платформ і процесів

SOC/SIEM (SOC Assessment)

Ми успішно впроваджуємо системи моніторингу подій інформаційної безпеки SIEM в Україні та країнах Східної Європи більше 6 років. Починаючи з 2018 року, у нашій компанії діє самостійний SOC, який обслуговує комерційних замовників за схемою Managed SOC. Наша команда має унікальний досвід із протидії цілеспрямованим атакам, зупинки масових заражень, розслідувань складних інцидентів, виявлення нових «диких» зразків шкідливого коду.

Ми обслуговуємо компанії різного розміру з різних галузей. Нам довіряють державні установи, торгово-логістичні мережі, виробничі підприємства, банківсько-фінансові, фінтех і телекомунікаційні компанії.

Серед наших шановних клієнтів представлені такі лідери в своїх напрямках, як:

  • АТ «Концерн Галнафтогаз» (ТМ «ОККО», «Meiwei», «ТОБІ», «Hot Cafe», «A la minute», «Pasta mia»);

  • ТОВ «Профікс» (оператор SWIFT):

  • АТ «Фармак»;

  • УДЦР.

 
Етапи впровадження SOC

Для побудови повнофункціонального SOC необхідно пройти ряд важливих кроків, які дозволять визначити вимоги до системи, команди, програмного, організаційного та документального забезпечення процесів. Увесь проект побудови SOC від підписання договору до запуску всіх процесів займає від 3-х до 6-ти місяців.

 
Формування вимог
  • Що ви очікуєте від SOC?

  • Як його мета та завдання співвідносяться зі стратегією та потребами бізнесу?

  • Що для вас є найбільш критичним, а що приємним доповненням?

На ці питання дуже важливо отримати відповіді до початку проектування та впровадження SOC.

Вимоги слід розглядати за наступними категоріями:

  • Вимоги до технологічної платформи (Functionality)

  • Вимоги до інфраструктури та ступеня покриття (Coverage / Sources)

  • Вимоги до сценаріїв інцидентів (Use Cases)

  • Вимоги до процесів SOC (Processes)

  • Вимоги до команди (Competence)

  • Вимоги до звітності (Dashboards and Reports)

  • Вимоги до взаємодії (Cooperation)

  • Вимоги до параметрів і якості обслуговування (SLA)

Формування архітектури технологічної платформи та процесів

Ґрунтуючись на ваших вимогах і очікуваннях, а також із урахуванням поточної інфраструктури організації, наші архітектори розробляють індивідуальний міні-проект технологічної платформи SOC. У цьому проекті враховуються канали, способи комунікацій, розміщення компонент, використання апаратних, віртуалізованих і хмарних ресурсів, способи збору даних зі спостережуваних систем.

Розробка технічного завдання

За підсумками перших двох кроків ми розробляємо повне технічне завдання на побудову SOC, яке враховує всі вимоги й архітектурні особливості. Технічне завдання є основним орієнтиром для команди в ході реалізації проекту та джерелом критеріїв приймання системи.

Розгортання платформи

На даному етапі готується апаратна платформа, встановлюються, активуються і запускаються в роботу всі компоненти технологічної платформи.

Підключення джерел даних

У ході даного етапу виконується підключення джерел даних усередині мережі організації. До таких джерел можуть належати:

  • Proxy

  • Firewall

  • Antivirus

  • Active Directory

  • Робочі станції

  • DNS

  • IDS

  • DLP

  • VPN

  • Routers&Switches

  • WIFI Access Points

  • Databases

  • Terminal Servers

  • Application Servers

  • Email filters

Налаштування джерел, правил кореляції, сценаріїв обробки інцидентів

На даному етапі відбувається конфігурація систем згідно з технічним завданням, реалізація кореляційних правил, їх тестування та запуск.

Налаштування додаткових додатків і інтеграція

У ході даного кроку виконується установка додаткових додатків на SIEM систему, які розширюють її функціонал і забезпечують інтеграцію в ІТ-інфраструктуру замовника, наприклад:

  • Виявлення аномалій у поведінці користувачів;

  • Інвентаризація активів і моніторинг змін;

  • Автоматизація роботи команд SOC;

  • Інтеграція з системами звітності, постановки завдань і кіберзахисту;

  • Моніторинг якості роботи системи SIEM.

Налаштування звітності та зведених інформаційно-аналітичних панелей

Наші інженери виконують підготовку даних, розробляють дизайн і реалізують у системі відображення інформаційних панелей і звітів для різних споживачів усередині організації: керівництво, бізнес, ІТ, мережеве адміністрування, користувачі, служба безпеки та інші.

Запуск процесів

На даному етапі запускають у пробному режимі процеси забезпечення роботи SOC:

  • Управління інцидентами;

  • Управління подіями;

  • Управління вразливостями;

  • Аналіз шкідливих файлів (Malware Analysis);

  • Глобальна аналітика загроз (Threat Intelligence);

  • Управління сценаріями інцидентів (UseCase management);

  • Активний пошук загроз у мережі (Threat hunting);

  • Моніторинг змін.

Документування системи й процесів

У ході даного кроку фіналізується проектна, процесна й експлуатаційна документація, формується повний пакет документації на систему та процеси й запускається база знань (Knowledge Base) для швидкого доступу до документів.

Тестування

Проводиться тестування систем і процесів згідно методики та плану тестування, складених на основі вимог технічного завдання.

Приймання та старт промислової експлуатації

Система повністю реалізована, готова до виконання своїх завдань і запущена в експлуатацію.

Переваги побудови SOC/SIEM разом із ІТ Спеціаліст
Індивідуальний підхід

Ми не зупиняємося на стандартній пропозиції або універсальному наборі послуг. Для кожного замовника ми намагаємося виробити індивідуальну цінність і значення SOC. Ми постійно вдосконалюємо знання про своїх замовників і їх інфраструктури, 
пропонуючи найбільш адаптовані технології, сервіси та системи для вирішення актуальних завдань.

Доступність

Ми знаходимося в центрі Києва, працюємо по всій Україні, обслуговуємо клієнтів на трьох мовах у 10 країнах. Ми завжди відкриті до співпраці та знаходимо рішення для будь-яких, навіть найскладніших, завдань. Наші клієнти мають можливість звернутися до нас у будь-який час доби й через будь-який із каналів спілкування (телефон, пошта, Telegram, Skype, WhatsApp, Slack, Viber).

Професіоналізм

Усі учасники нашої команди проходять постійне навчання та сертифікацію. Ми беремо участь у локальних і міжнародних конференціях.

Гнучкість

Для нас немає складних завдань, нездійсненних вимог і специфічних побажань. До кожного клієнта ми ставимося як до унікальної можливості допомогти зробити ІТ-інфраструктуру й бізнес більш надійними та безпечними. Кожна наша пропозиція є індивідуальною, кожен проект націлений на вирішення специфічних задач клієнта.

Досвід

У нас працюють аналітики й архітектори з більш ніж 20-річним досвідом в області ІТ і кібербезпеки. Вони виконували найскладніші проекти в розподілених, високонавантажених і висококритичних системах. Широкий спектр компетенцій дозволяє нам бути впевненими в тому, що будь-яка ІТ технологія або система замовника, від Legacy до High-end, нам, як мінімум, знайома.

Швидкість

Ми працюємо швидко. Сучасний світ змінюється так стрімко, що проект на кілька років може втратити свою актуальність вже через місяць. Уклавши з нами договір, уже через два тижні ви почнете отримувати користь від роботи SOC.

 
ЗАЯВКА НА ПРОРАХУНОК ВАРТОСТІ ПОСЛУГИ

Київ, вул. Печенізька 32

+380 (44) 489 32 26