Centrum operacji bezpieczeństwa informacji
Centrum operacji bezpieczeństwa informacji ( ISOC lub SOC ) to obiekt, w którym systemy informacyjne przedsiębiorstwa ( strony internetowe , aplikacje , bazy danych , centra danych i serwery , sieci , komputery stacjonarne i inne punkty końcowe) są monitorowane, oceniane i chronione.
Cel
SOC jest powiązany z ludźmi, procesami i technologiami, które zapewniają świadomość sytuacyjną poprzez wykrywanie, powstrzymywanie i usuwanie zagrożeń IT w celu zarządzania i ulepszania stanu bezpieczeństwa organizacji. SOC zajmie się w imieniu instytucji lub firmy każdym zagrażającym incydentem informatycznym i zapewni jego odpowiednią identyfikację, analizę, komunikację, zbadanie i zgłoszenie. SOC monitoruje również aplikacje w celu zidentyfikowania potencjalnego cyberataku lub włamania (zdarzenia) i określa, czy jest to rzeczywiste złośliwe zagrożenie (incydent) i czy może mieć wpływ na działalność biznesową.
Wymogi regulacyjne
Ustanowienie i prowadzenie SOC jest kosztowne i trudne; organizacje powinny mieć dobry powód, aby to zrobić. Może to obejmować:
- Ochrona wrażliwych danych
- Zgodność z przepisami branżowymi, takimi jak PCI DSS .
- Przestrzeganie przepisów rządowych, takich jak CESG GPG53.
Alternatywne nazwy
Centrum operacji bezpieczeństwa (SOC) można również nazwać centrum obrony bezpieczeństwa (SDC), centrum analizy bezpieczeństwa (SAC), centrum operacji bezpieczeństwa sieci (NSOC), centrum wywiadu bezpieczeństwa, centrum bezpieczeństwa cybernetycznego, centrum obrony przed zagrożeniami, wywiad i operacje bezpieczeństwa centrum (SIOC). W kanadyjskim rządzie federalnym termin centrum ochrony infrastruktury (IPC) jest używany do opisania SOC.
Technologia
SOC zazwyczaj opierają się na systemie zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), który agreguje i koreluje dane z kanałów bezpieczeństwa, takich jak systemy wykrywania sieci i oceny podatności na zagrożenia ; systemy zarządzania, ryzyka i zgodności (GRC); systemy oceny i monitorowania witryn internetowych, skanery aplikacji i baz danych; do testów penetracyjnych ; systemy wykrywania włamań (IDS); system zapobiegania włamaniom (IPS); systemy zarządzania dziennikami; analiza zachowania sieci i analiza zagrożeń cybernetycznych ; bezprzewodowy system zapobiegania włamaniom; firewalle, oprogramowanie antywirusowe dla przedsiębiorstw i ujednolicone zarządzanie zagrożeniami (UTM). Technologia SIEM tworzy „pojedynczą taflę szkła” dla analityków bezpieczeństwa do monitorowania przedsiębiorstwa.
Ludzie
Personel SOC obejmuje analityków, inżynierów bezpieczeństwa i menedżerów SOC, którzy powinni być doświadczonymi specjalistami w dziedzinie IT i sieci. Zwykle są przeszkoleni w zakresie inżynierii komputerowej , kryptografii , inżynierii sieci lub informatyki i mogą mieć poświadczenia, takie jak CISSP lub GIAC .
Plany kadrowe SOC wahają się od ośmiu godzin dziennie, pięć dni w tygodniu (8x5) do dwudziestu czterech godzin dziennie, siedem dni w tygodniu (24x7). Zmiany powinny obejmować co najmniej dwóch analityków, a obowiązki powinny być jasno określone.
Organizacja
Duże organizacje i rządy mogą obsługiwać więcej niż jeden SOC w celu zarządzania różnymi grupami technologii informacyjnych i komunikacyjnych lub w celu zapewnienia redundancji w przypadku, gdy jedna lokalizacja jest niedostępna. Prace SOC można zlecić na zewnątrz, na przykład za pomocą zarządzanej usługi bezpieczeństwa . Termin SOC był tradycyjnie używany przez rządy i dostawców zarządzanych zabezpieczeń komputerowych, chociaż coraz więcej dużych korporacji i innych organizacji również ma takie centra.
SOC i centrum operacji sieciowych (NOC) uzupełniają się i współpracują ze sobą. NOC jest zwykle odpowiedzialny za monitorowanie i utrzymanie całej infrastruktury sieciowej, a jego podstawową funkcją jest zapewnienie nieprzerwanej obsługi sieci. SOC odpowiada za ochronę sieci, a także witryn internetowych, aplikacji, baz danych, serwerów i centrów danych oraz innych technologii. Podobnie SOC i centrum operacji bezpieczeństwa fizycznego koordynują i współpracują ze sobą. Fizyczny SOC to obiekt w dużych organizacjach, w którym pracownicy ochrony monitorują i kontrolują funkcjonariuszy/strażników ochrony, alarmy, CCTV, fizyczny dostęp, oświetlenie, bariery samochodowe itp.
Nie każdy SOC ma taką samą rolę. Istnieją trzy różne obszary zainteresowania, w których SOC może być aktywny i które można łączyć w dowolnej kombinacji:
- Kontrola - skupienie się na stanie bezpieczeństwa z testami zgodności, testami penetracyjnymi, testami podatności itp.
- Monitorowanie — skupianie się na zdarzeniach i reakcjach z monitorowaniem logów, administracją SIEM i reagowaniem na incydenty
- Operacyjne — skupiające się na administrowaniu bezpieczeństwem operacyjnym, takim jak zarządzanie tożsamością i dostępem, zarządzanie kluczami, administracja firewallem itp.
W niektórych przypadkach SOC, NOC lub fizyczny SOC może być umieszczony w tym samym obiekcie lub połączony organizacyjnie, zwłaszcza jeśli koncentruje się na zadaniach operacyjnych . Jeśli SOC wywodzi się z organizacji CERT , zwykle koncentruje się bardziej na monitorowaniu i kontroli , w którym to przypadku SOC działa niezależnie od NOC, aby zachować rozdział obowiązków . Zazwyczaj większe organizacje utrzymują oddzielne SOC, aby zapewnić koncentrację i wiedzę specjalistyczną. Następnie SOC ściśle współpracuje z operacjami sieciowymi i operacjami związanymi z bezpieczeństwem fizycznym.
Udogodnienia
SOC są zwykle dobrze chronione za pomocą zabezpieczeń fizycznych, elektronicznych, komputerowych i personelu. Centra są często rozplanowane z biurkami skierowanymi w stronę ściany wideo, która wyświetla istotne statusy, zdarzenia i alarmy; bieżące incydenty; róg ściany jest czasami używany do wyświetlania kanału telewizyjnego z wiadomościami lub pogodą, ponieważ może to informować personel SOC o bieżących wydarzeniach, które mogą mieć wpływ na systemy informacyjne. Inżynier bezpieczeństwa lub analityk bezpieczeństwa może mieć na swoim biurku kilka monitorów komputerowych.
Proces i procedury
Procesy i procedury w ramach SOC jasno określają role i obowiązki, a także procedury monitorowania. Procesy te obejmują procesy biznesowe, technologiczne, operacyjne i analityczne. Określają, jakie kroki należy podjąć w przypadku alarmu lub naruszenia, w tym procedury eskalacji, procedury zgłaszania i procedury reagowania na naruszenia.
CloudSOC
Centrum operacji bezpieczeństwa w chmurze (CloudSOC) może zostać utworzone w celu monitorowania korzystania z usług w chmurze w przedsiębiorstwie (i kontrolowania problemu Shadow IT ) lub analizowania i audytowania infrastruktury IT i dzienników aplikacji za pośrednictwem technologii SIEM i platform danych maszynowych w celu dostarczania alertów i szczegóły podejrzanej aktywności.
Inteligentny SOC
Smart SOC (Security Operations Center) to kompleksowe, niezależne od technologii rozwiązanie w zakresie cyberbezpieczeństwa , które wykorzystuje najnowocześniejsze technologie i narzędzia, wysoko wykwalifikowany i doświadczony talent ludzki (składający się z zbieraczy informacji cybernetycznych, analityków i ekspertów ds . zapobiegać i neutralizować zagrożenia dla cyfrowej infrastruktury, zasobów i danych organizacji.
Inne typy i referencje
Ponadto istnieje wiele innych powszechnie przywoływanych terminów związanych z oryginalnym tytułem „ISOC”, w tym:
- SNOC, centrum operacyjne sieci bezpieczeństwa
- ASOC, Centrum Zaawansowanych Operacji Bezpieczeństwa
- GSOC, Globalne Centrum Operacji Bezpieczeństwa
- vSOC, Wirtualne Centrum Operacyjne Bezpieczeństwa