Кибербезопасность: что такое SOC?

06/10/17

Мир кибербезопасности с каждым днем ​​становится более сложным, и все больше организаций начинают пользоваться возможностью пользоваться услугами Центр обеспечения безопасности (SOC) или создать его в вашей организации.

Но что такое Центр оперативной безопасности?

Чтобы сделать это немного ясным, я использую документ, который я нашел очень понятным, и что я приглашаю вас прочитать: "Классификация центров оперативной безопасности(Пьер Джейкобс, Алапан Арнаб, Барри Ирвин) работают в Отделе компьютерных наук в Университете Родес в Грэхемстауне, Южная Африка.
Мы сейчас заинтересованы в том, чтобы выделить концепцию SOC, для которой я несу первый абзац вышеупомянутого документа:

"Центр безопасности (SOC) можно определить как централизованную организацию безопасности, которая помогает компаниям в выявлении, управлении и исправлении распределенных атак безопасности [1]. В зависимости от возможностей, требуемых SOC со стороны предприятия или клиента, SOC также может нести ответственность за управление техническим контролем. Конечной целью SOC является улучшение положения безопасности организации путем обнаружения и реагирования на угрозы и атаки, прежде чем они окажут влияние на бизнес."

Из сказанного сразу же понятно, что SOC является централизованной организационной структурой, которая направлена ​​на то, чтобы помочь компаниям в выявлении, управлении и устранении распространенных атак безопасности. SOC также можно вызвать для обработки всех технических проверок компании, использующих ее услуги.
SOC может быть внутренним по отношению к компании и работать только для ее поддержки или предлагать услуги другим компаниям. В любом случае, конечная цель SOC - улучшить «состояние безопасности» организации путем выявления рисков и атак и реагирования на них до того, как они смогут повлиять на основная деятельность организация.
Было бы лучше сказать, что SOC «стремится избегать воздействия компьютерных атак на бизнес организации или ограничивать ее ущерб», как более реалистичное заявление.

В документе вы можете найти углубленный анализ функций и компонентов SOC, но в настоящий момент нас интересует только вышеуказанная концепция.
Мы сразу же говорим, что SOC не является изобретением нашего дня, и оно даже не приходит из мира ИКТ. Он говорил об этом так часто в областях, которые занимаются физической безопасностью, и мир ИКТ ничего не сделал, кроме как принять его.
В настоящее время мы говорим о SOC пятого поколения, имея в виду структуры, оснащенные возможностями прогнозного анализа, а также мониторинга и реагирования.
Уместно сразу выделить аспект, на мой взгляд, более важный: один Центр обеспечения безопасности представляет собой сложное, обычно централизованное организационное подразделение, которое занимается выявлением, управлением и устранением проблем ИТ-безопасности и состоит из процессов, инструментов и людей.

Хотя процессы и инструменты легко найти и заменить при необходимости, то же самое не относится к людям, которые должны быть надлежащим образом подготовлены и хорошо знакомы с организацией, в которой они работают.

Как правило, SOC использует один или несколько компьютерных инструментов SIEM, то есть Безопасность и управление событиями, для агрегирования и корреляции данных и информации из разных систем.
До сих пор мы говорили о теории ...

В Италии существует несколько SOC, управляемых одними из крупнейших в мире компаний в области ИКТ, включая компанию Инженерия, А именно Италтел и Леонардо.

Чтобы лучше понять полезность SOC в современном обществе, я обратился к инженеру Pesaresi of Engineering, команде Italtel и команде Leonardo, задав им несколько вопросов.

Киберпространство инженера Пезареши прочно вошло в нашу жизнь благодаря ежедневным новостям. Я полагаю, что нечто подобное происходит в организациях. Насколько важен кибер-сектор для инженерии? Почему ваша компания почувствовала необходимость создания SOC?

Инженерия: Я бизнес-менеджер BU (Бизнес-единица, ndr) Обороны и космической техники. В корпоративном видении проблемы кибербезопасности должны решаться с помощью многодисциплинарного подхода, основанного на объединении и интеграции правовых, экономических и технологических навыков, поскольку теперь стало очевидным, что определение эффективных и ответов на возникающие проблемы требуют, помимо очевидных компетенций в области ИКТ, глубокого понимания оценок нормативных, доменных и социально-экономических последствий.
В этих областях Engineering уделяет самое пристальное внимание CyberSecurity, так как считается, что она имеет первостепенное значение для защиты информации, хранящейся и обрабатываемой компьютерными системами и передаваемой через сети, с целью обеспечения конфиденциальности, целостности и доступности информации.
Портфель Cyber ​​Security Group специализируется на безопасности приложений, защите периметра ИТ-инфраструктуры, обеспечении безопасности обмена информацией между сетями различного уровня классификации и критической инфраструктурой.

Инженерная группа работает через интегрированную сеть 4 Data Center, расположенную в Понте-Сен-Мартен, Турин, Милан и Виченца, с системой услуг и инфраструктуры, которые гарантируют лучшие технологические, качественные и безопасные стандарты более чем для клиентов 330 как на национальном, так и на международном уровне. В этом контексте, чтобы обеспечить необходимую инфраструктуру безопасности для данных и систем наших клиентов, центр данных Pont Saint Martin оснащен самым современным центром управления безопасностью.

Даже в Italtel вы можете рассчитывать на национальный SOC. Это заставляет нас думать, что киберпромышленность очень важна, верно?

ИталтелЦифровая трансформация увеличивает поверхность уязвимости для все более активных кибератак. Поэтому важно предоставлять качественные решения и услуги для обеспечения защиты данных, устойчивости критических инфраструктур и противодействия продвинутым угрозам. Кибербезопасность - это основа нашего предложения, адресованного государственному управлению, компаниям и поставщикам услуг, которые являются нашей исторической сильной стороной. Основанная как телекоммуникационная компания, Italtel в течение нескольких лет диверсифицировала свое предложение и сегодня является итальянской транснациональной компанией в секторе информационных и коммуникационных технологий и занимается своими решениями в различных вертикальных секторах, таких как: государственное управление, здравоохранение, оборона, финансы, энергетика. , Индустрия 4.0, Умные города, не забывая о телекоммуникациях. Услуги Italtel SOC появились еще в 2001 году с приобретением SecurMatics, что привело к необходимости обеспечения эффективного и непрерывного управления уровнями безопасности клиентов наряду с профессиональными сетевыми услугами и управлением инфраструктурой через наши сети. Операционный центр (NOC) и Центр технической поддержки (TAC). Сегодня ландшафт угроз постоянно меняется, и поэтому важно улучшить решения и услуги, в том числе управляемые, в единой линейке предложений, нацеленных на государственные администрации, компании и поставщиков услуг.

Я давно побывал, SOC и Leonardo, и я был впечатлен ...

Леонардо: Леонардо гарантирует производительность, непрерывность, информационное превосходство систем своих клиентов, а также защищает их инфраструктуры и приложения посредством целенаправленных вмешательств. Он также разрабатывает безопасные цифровые решения, выявляя, уменьшая и управляя угрозами, уязвимостями и рисками. В этом контексте Леонардо может предлагать инновационные решения для противодействия киберугрозам, которые становятся все более распространенными и структурированными, что делает защиту технологических, информационных и интеллектуальных активов любой организации, гражданской или военной, насущной необходимостью. Среди наиболее значительных достижений в области кибербезопасности Леонардо предоставил НАТО систему «под ключ» для разработки, внедрения и поддержки системы НАТО по реагированию на компьютерные инциденты (NCIRC), которая предоставляет услуги более чем 70.000 29 пользователей в XNUMX странах. Страны. Способность обеспечивать защиту также повышается за счет сложных интеллектуальных решений, применимых как к данным с открытым исходным кодом, так и к разнородным источникам, для поддержки потребностей правоохранительных органов и следственных органов.

Является ли ваш SOC для использования в помещении или для использования на открытом воздухе? Каковы услуги, которые выполняет ваш SOC? Каковы наиболее популярные сервисы?

Италтел: Наш SOC в основном ориентирован на рынок с индивидуальными услугами в соответствии с типом клиентов. В основном есть две макрогруппы типичных клиентов. Крупные компании, которые наладили надлежащее управление безопасностью, уже внедрили свои операционные группы, но нуждаются в определенных услугах или навыках извне, с которыми они не могут справиться, например, службы анализа угроз или реагирования на инциденты . Средние компании, которые просят нас, помимо услуг SOC, предоставляемых полностью на аутсорсинг, также иметь роль партнера / консультанта, способного проводить текущие оценки и анализ недостатков для повышения уровня защиты. Помимо прочего, поддержание работоспособности SOC требует постоянных инвестиций в обучение и технологии для поддержки работы.

Какова ситуация с инженерией? Каковы наиболее популярные сервисы?

Инженерия: Наш SOC предоставляет услуги как для внутреннего использования, так и прежде всего в пользу наших клиентов, которые распространяются во всех рыночных областях, а именно: финансы, телекоммуникации, коммунальные услуги, промышленность и услуги, а также государственная администрация, которым мы предоставляем услуги на разных уровнях , высокоуровневый управленческий консалтинг, ориентированный на управление, услуги оценки, такие как тестирование на пентацию, оценка уязвимости и этический хакер, вплоть до услуг SOC, таких как группа реагирования на безопасность, управление инфраструктурой безопасности и решения от DDoS. Кроме того, мы также реализуем конкретные проекты для наших клиентов по внедрению решений для обеспечения безопасности, таких как Identity Access Management, «Сильная аутентификация», «Безопасность мобильных устройств». Наконец, мы внедряем некоторые проекты решений Cyber ​​Threat Intelligence Solution, предназначенные для прогнозирования потенциальных кибер-атак заранее.

ЛеонардоЛеонардо создал два SOC, один в Италии и другой в Великобритании. Основным из них является Chieti, центр передового опыта в области кибербезопасности и интеллектуального интеллекта, посвященный защите кибер-угроз в ключевых областях справочной информации (например, критические инфраструктуры, крупные предприятия, государственные администрации, оборонные ведомства, разведывательные агентства, национальные учреждения и международных). Основные ссылочные активы распределяются на сайт Chieti:
- SOC Business (Центр обеспечения безопасности), благодаря которому возможности обнаружения и мониторинга 24x7 гарантированы всем национальным и международным клиентам Leonardo;
- Команда реагирования на инциденты с компьютерной безопасностью (CSIRT), которая обеспечивает своевременный ответ на компьютерную атаку;
- Cyber ​​Threat Intelligence (с открытым исходным кодом), основанный на проприетарном промежуточном программном обеспечении, реализованном на высокопроизводительной вычислительной платформе суперкомпьютера - высокопроизводительном компьютере).
Центр безопасности Chieti сегодня является одним из наиболее важных поставщиков услуг безопасности (MSSP) на европейском уровне с точки зрения полноты портфеля предоставляемых услуг и количества контролируемых клиентов и платформ. Несколько более значительных чисел: за полученные 50,000 журналы, агрегированные и собранные каждую секунду; больше, чем события безопасности 30,000, собранные и сопоставленные со вторым. SOC управляет средним количеством ежедневных инцидентов безопасности 50, применяя ключевые международные рекомендации (например, NIST-800-xx, ENISA), чтобы содержать несчастные случаи и оперативно реагировать на сегодняшние угрозы кибербезопасности. Chieti работает над экспертами по безопасности 100, в том числе сертифицированными этическими хакерами, специализирующимися на тестировании уязвимостей и испытаниях на проникновение. Каждый год они анализируются и отправляются клиентам через ранние предупреждения 500. На сайте также имеется несколько сертификатов управляемых служб безопасности.

Полагаю, чтобы сохранить работоспособность SOC, нужно сосредоточиться на исследованиях и разработках. Сколько вы вкладываете в процентах и ​​в какие сектора киберпространства?

Инженерия: Инженерия верит в исследования и необходимость трансформировать потенциал ИТ-технологий в возможности роста своих клиентов благодаря инновациям, в непрерывном соответствии с эволюцией технологий, процессов и бизнес-моделей.
Engineering открыла первую исследовательскую лабораторию в 1987 и сегодня, в сотрудничестве с компаниями, университетами и исследовательскими центрами на национальном и международном уровнях, рассчитывает:

250 исследователи

Текущие исследовательские проекты 70

Лаборатории разработки 6

о 30 миллионах ежегодных инвестиций в исследования и инновации.

Cybersecurity - одна из тем, которые вкладывают больше средств в исследования, особенно в Европе, где Engineering присутствует в лаборатории IS3Lab (Intelligence Systems и Social Software), которая, участвуя в ведущей роли в крупных проектах исследования, финансируемые в рамках Horizon2020.

У вас есть сотрудничество с организациями безопасности? Какие существуют отношения между вашим SOC и вашим национальным CERT?

Инженерия: Engineering также является одним из основателей ECSO (European CyberSecurity Organization), объединяющей ключевые европейские фирмы по компьютерной безопасности, и сотрудничает с европейскими институтами в создании общей стратегии в области кибербезопасности.

ЛеонардоСотрудничество в этой области является критическим фактором успеха. Мы работаем с многочисленными международными компаниями и поставщиками технологий для обмена информацией о новых угрозах и уязвимостях. Благодаря возможностям, признанным рынком, мы являемся стратегическим партнером многих наиболее важных общественных и частных организаций в Европе и за ее пределами. Это позволяет нам поддерживать такие организации в разработке и внедрении их систем ИТ-безопасности. С ними мы можем обмениваться информацией, как это предусмотрено договорными отношениями. Наконец, мы участвуем в рабочих группах и институциональных ориентирах в Европе (например, ECSO), а также в Италии и Великобритании.
Вместе с НАТО также разрабатывается важный партнерский проект.
Леонардо и Агентство связи и информации (NCI) подписали соглашение о сотрудничестве в области компьютерной безопасности с целью обмена конфиденциальной информацией для улучшения знаний о контексте и повышения защиты их соответствующих сетей и систем.
Эта инициатива по сотрудничеству направлена ​​на обмен информацией об компьютерных угрозах и методах обеспечения безопасности, которые должны быть приняты, и признает важность работы с надежными промышленными партнерами, с тем чтобы Североатлантический союз мог полностью достичь своих целей в области защиты киберпреступности. Леонардо будет сотрудничать с агентством NCI, чтобы лучше понять шаблоны угроз и последние тенденции атаки. Это сделает применение превентивных мер более эффективным и улучшит возможности компании по защите информации, тем самым уменьшив возможности для будущих попыток вторжения.

В Италии, что является рынком услуг ИТ-безопасности? Учитывая повышенный интерес к кибербезопасности, рынок увеличился за последний период?

Инженерия: В Италии рынок ИТ-безопасности остановился, так как наши клиенты были менее чувствительны к этому типу угроз. Возможно, основная его часть - это технологический разрыв в нашей стране, который является одним из наименее связанных и, следовательно, менее подвержен компьютерным рискам. Однако в последние месяцы, возможно, из-за недавних эпизодов компьютерных атак, которые также скомпрометировали репутацию многих предприятий, проблема, которая ранее рассматривалась как техническая проблема, стоящая перед ИТ-директорами / ОГО, поднялась до сведения начали осознавать последствия с точки зрения репутации, которая может стать жертвой компьютерных атак. В результате на итальянском рынке более тщательно рассматривается вопрос защиты данных и бизнес-систем, и все больше и больше клиентов начинают сталкиваться с этой проблемой, сначала запрашивая анализ рисков, а затем требуя, чтобы они внедрялись безопасность их инфраструктур ИКТ.

ЛеонардоВ период с 2013 по 2018 год мировой рынок кибербезопасности растет со среднегодовым темпом роста (CAGR) на 10,4% до ожидаемого значения в 80 млрд евро в 2018 году; итальянский рынок растет со среднегодовым темпом роста 8,6% при стоимости ок. 2 млрд евро в 2018 году. Отчет Assinform за 2017 год указывает на рост рынка ИТ-безопасности более чем на 11% за последний год.
В итальянском контексте сектор правительства / обороны представляет 20% рынка, а бизнес-кластер - примерно 80% (из которых сектор CNI - критическая национальная инфраструктура - оказывает влияние более чем на половину).

Какой штат можно найти в SOC? Какие исследования и какие специализации необходимы?

ИнженерияНаши SOC работают с ИТ-специалистами, специализирующимися на сетевой и программной безопасности. К сожалению, эти профессионалы трудно найти на рынке, потому что в Италии мало учебных программ, предназначенных для подготовки инженеров по компьютерной безопасности. Чтобы справиться с этим недостатком, мы начали серию курсов специализации по кибербезопасности в нашей школе ICT «Enrico Della Valle», направленной главным образом на формирование внутреннего персонала, но также открытую для тех организаций, которые специализируются на собственных сотрудниках.

ЛеонардоУ нас работают эксперты по ИТ-безопасности, а также молодые техники и инженеры, обладающие теоретическими знаниями стандартов и протоколов ИТ-безопасности, а также основных проблем безопасности. Мы отдаем предпочтение персоналу с высокой склонностью к решению сетевых проблем и проблем безопасности, знанием стандартов и передовой практики по управлению безопасностью ИКТ, предотвращением и управлением инцидентами ИТ-безопасности и знанием проблем безопасности, направленных на сети и системы управления и автоматизации.

Почему ваши клиенты обратились к вам? После Кибер-катастрофы или предотвращения проблем?

Италтел: Italtel традиционно участвует в разработке и внедрении сетевой инфраструктуры для глобальных поставщиков услуг, и в нашем опыте элемент безопасности всегда был ключевым фактором во многих аспектах. Благодаря этому опыту многие клиенты обратились к нам в Cyber ​​Security, потому что они уже смогли проверить качество наших услуг в области комплексного управления сетью.

Инженерия: Как уже упоминалось выше, наша компания предоставляет услуги ИКТ на протяжении десятилетий через свой центр обработки данных для государственных и частных клиентов, и в этом контексте она всегда была необходима для обеспечения наивысших уровней логической и физической безопасности. Многие из этих клиентов управляют своей инфраструктурой, для которой они чувствуют необходимость улучшения своих уровней безопасности. Поэтому почти естественно, что наши клиенты, с учетом наших признанных возможностей, обратились бы к нам за советом по кибербезопасности. Однако в последнее время наша компания запустила бизнес, чтобы продвигать свой опыт в области кибербезопасности также на рынке.

На ваш взгляд, какая самая важная фигура, если она существует в SOC? И если бы вы обратились к молодым людям, предложив им изучить один или несколько предметов, что вы могли бы предложить?

Инженерия: Я бы сказал, что нет более важной фигуры, чем другие. Кибербезопасность - это многодисциплинарный вопрос, который требует универсальных навыков, начиная от управления и заканчивая более техническими проблемами, связанными со всей инфраструктурой ИКТ, от самых низких уровней сети до более высоких в приложениях.
Поэтому единственным предложением, которое я должен был бы дать молодому компьютерному инженеру, является специализация по любому вопросу, связанному с кибербезопасностью, потому что он обязательно найдет компанию, которая сможет ее взять.

Италтел: Если бы мы назвали важную фигуру, то я бы сказал, что МЕНЕДЖЕР SOC играет фундаментальную роль в предоставлении услуги, способной как управлять, так и стимулировать аналитиков по безопасности на самых деликатных этапах управления ИТ-инцидентами и адекватно управлять. связь с внешним миром.

Какие инструменты используются в вашем SOC? Какой SIEM вы используете?

ИнженерияНаш SOC использует так называемые «фирменные» продукты. Тем не менее, все больше внимания уделяется открытому исходному коду не только для экономических вопросов, но и для нужд «национальной безопасности». На самом деле, тенденция состоит в том, чтобы попытаться контролировать исходный код для этого типа продукта.

С нормативной точки зрения, новые «Национальные рекомендации по кибербезопасности и национальные рекомендации по компьютерной безопасности», DPCM выпустил 17 February 2017 и опубликован в «Официальной газете». 87 13 April 2017, похоже, обещает большие изменения, что вы думаете?

Италтел: DPCM Gentiloni улучшает и оптимизирует национальную цепочку принятия решений при работе с кибер-домино, основной причиной будущих конфликтов. Кроме того, совместная и совместная модель между важнейшими институтами и инфраструктурами имеет основополагающее значение для устранения угроз, которые нас ждут.

ЛеонардоС помощью DPCM 17 / 2 / 2017 и следующего Национального плана Департамент информации о безопасности (DIS) приобретает ведущую роль в деятельности по обеспечению информационной безопасности на национальном уровне.
Роль будет осуществляться через две структуры, посвященные, соответственно, первой «оперативной» деятельности, а вторая - стратегической и эволюционной. В области работы создается служба кибернетической разведки и безопасности (NSC) для управления подразделением h24 для оповещения и реагирования на ситуации в киберпреступности путем приобретения сообщений о нарушениях или попыток нарушения сил безопасности, полицейских сил, отдельных структур Министерства обороны и Группы по реагированию на чрезвычайные ситуации и готовности к компьютерным ситуациям (CERT).
Также планируется создание лабораторий для национальной оценки и сертификации рыночных компонентов ИКТ, предназначенных для критически важных и стратегических инфраструктур, развития национальной криптографии, исследований и разработок в области суверенных технологий.
Леонардо может предоставить опыт и услуги для поддержки операций DIS. В частности, это охватывает области Intelligence Intelligence и Open Source Intelligence, CERT, Cyber ​​Range / Cyber ​​Academy, CERT и CERT, навыки консолидации инфраструктуры и приложений, навыки " упрочнение "систем.
Интересным элементом также является Центр исследований и разработок в области технологий корпоративной кибербезопасности, который, вероятно, будет основан на сотрудничестве между государственным и частным секторами, создавая экосистему, которая видит сотрудничество между учреждениями, промышленностью и научными кругами.

Инженерия: Несомненно, необходимо было дать «управление» кибербезопасности в национальной сфере, и Директива, безусловно, идет в этом направлении, поручая DIS центральную роль в управлении автомобилем. Однако необходимо приложить все усилия, чтобы подход заключался не в том, чтобы рассматривать вопрос как «конфиденциальный» вопрос для нескольких лиц, ищущих работу, но для решения проблемы с предельной умственной открытостью, включая все части игры, а также публичные, но особенно частных.

Я думаю, что обзор, сделанный с помощью Italtel, Engineering и Leonardo, достаточен, чтобы проиллюстрировать важность SOC и предоставляемых услуг кибербезопасности, для которых остается только поблагодарить всех за их доступность, и я надеюсь, что они могут немного помочь. ясности в кибер-мире концепции SOC.
I SOCОчевидно, что это всего лишь аспект кибербезопасности. Центр эксплуатации сети (NOC) e Центр эксплуатации инфраструктуры (МОК) с их вариантами дополняют структуры, используемые в управлении киберпространством, и я надеюсь иметь возможность рассказать об этом в ближайшее время.

Алессандро Руголо и Чиро Метаджиата

Для получения дополнительной информации:
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-ope...
https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-ope...
http://www.eng.it/
http://www.leonardocompany.com/
http://www.italtel.com/it/

(фото: Леонардо)

оборона рейнметалла