Operační středisko informační bezpečnosti - Information security operations center

Operační středisko národní bezpečnosti USA v roce 1975

An operační středisko informační bezpečnosti (ISOC nebo SOC) je zařízení, kde podnikové informační systémy (webové stránky, aplikace, databáze, datová centra a servery, sítí, pracovní plochy a další koncové body) jsou sledovány, hodnoceny a obhajovány.

Objektivní

SOC souvisí s lidmi, procesy a technologiemi, které zajišťují situační povědomí prostřednictvím detekce, zadržování a nápravy IT hrozeb. SOC bude jménem instituce nebo společnosti zpracovávat jakékoli hrozící IT incidenty a zajistí, aby byly řádně identifikovány, analyzovány, sdělovány, vyšetřovány a hlášeny. Společnost SOC také sleduje aplikace, aby identifikovala možný kybernetický útok nebo vniknutí (událost), a určuje, zda se jedná o skutečnou škodlivou hrozbu (incident) a zda by to mohlo ovlivnit podnikání.

Regulační požadavky

Zřízení a provozování SOC je nákladné a obtížné; organizace by k tomu měly mít dobrý důvod. To může zahrnovat:

  • Ochrana citlivých dat
  • Dodržování průmyslových pravidel, jako je PCI DSS.[1]
  • V souladu s vládními pravidly, jako je CESG GPG53.[2]

Alternativní názvy

Bezpečnostní operační středisko (SOC) lze také nazvat bezpečnostní obranné středisko (SDC), bezpečnostní analytické centrum (SAC), síťové bezpečnostní operační středisko (NSOC),[3] bezpečnostní zpravodajské centrum, centrum kybernetické bezpečnosti, centrum obrany před hrozbami, bezpečnostní zpravodajské a operační středisko (SIOC). V kanadské federální vládě se pro označení SOC používá termín Centrum ochrany infrastruktury (IPC).

Technologie

SOC jsou obvykle založeny na a bezpečnostní informace a řízení událostí (SIEM) systém, který agreguje a koreluje data z bezpečnostních kanálů, jako je zjišťování sítě a posouzení zranitelnosti systémy; systémy správy, řízení rizik a dodržování předpisů (GRC); systémy pro hodnocení a monitorování webových stránek, skenery aplikací a databází; penetrační testování nástroje; systémy detekce narušení (IDS); systém prevence narušení (IPS); systémy správy protokolů; analýza chování sítě a Informace o kybernetických hrozbách; bezdrátový systém prevence narušení; brány firewall, podnik antivirus a jednotná správa hrozeb (UTM). Technologie SIEM vytváří pro analytiky zabezpečení „jedinou skleněnou tabuli“ pro sledování podniku.

Lidé

Zaměstnanci SOC zahrnují analytiky, bezpečnostní inženýry a manažery SOC, kteří by měli být ostřílení IT a síťoví profesionálové. Oni jsou obvykle vyškoleni v počítačové inženýrství, kryptografie, síťové inženýrství nebo počítačová věda a může mít pověření jako CISSP nebo GIAC.

Personální plány SOC se pohybují od osmi hodin denně, pět dní v týdnu (8x5) do dvaceti čtyř hodin denně, sedm dní v týdnu (24x7). Směny by měly zahrnovat alespoň dva analytiky a odpovědnost by měla být jasně definována.

Organizace

Velké organizace a vlády mohou provozovat více než jednu SOC pro správu různých skupin informační a komunikační technologie nebo poskytnout redundanci v případě, že jeden web není k dispozici. Práce SOC mohou být zadávány externě, například pomocí a spravovaná bezpečnostní služba. Termín SOC byl tradičně používán vládami a spravovanými poskytovateli počítačové bezpečnosti, ačkoli taková centra má také rostoucí počet velkých společností a dalších organizací.

SOC a síťové operační středisko (NOC) se navzájem doplňují a pracují v tandemu. NOC je obvykle odpovědný za monitorování a údržbu celkové síťové infrastruktury a jeho primární funkcí je zajistit nepřetržitou síťovou službu. SOC je odpovědný za ochranu sítí, jakož i webových stránek, aplikací, databází, serverů a datových center a dalších technologií. Podobně SOC a operační středisko fyzické bezpečnosti koordinují a spolupracují. Fyzický SOC je zařízení ve velkých organizacích, kde bezpečnostní pracovníci monitorují a kontrolují bezpečnostní důstojníky / strážce, alarmy, CCTV, fyzický přístup, osvětlení, závory vozidel atd.

Ne každý SOC má stejnou roli. Existují tři různé oblasti zaměření, ve kterých může být SOC aktivní a které lze kombinovat v jakékoli kombinaci:

  • Kontrola - zaměření na stav zabezpečení pomocí testování souladu, penetračního testování, testování zranitelnosti atd.
  • Monitorování - zaměření na události a reakce pomocí monitorování protokolů, správy SIEM a reakce na incidenty
  • Provozní - se zaměřením na správu provozního zabezpečení, jako je správa identit a přístupu, správa klíčů, správa brány firewall atd.

V některých případech mohou být SOC, NOC nebo fyzické SOC umístěny ve stejném zařízení nebo organizačně kombinovány, zejména pokud se zaměřuje na provozní úkoly. Pokud SOC pochází z a CERT organizace, pak se obvykle více zaměřuje monitorování a řízení, v takovém případě SOC funguje nezávisle na NOC, aby ji udržel rozdělení povinností. Větší organizace obvykle udržují samostatný SOC, aby zajistily zaměření a odborné znalosti. SOC poté úzce spolupracuje se síťovými operacemi a operacemi fyzického zabezpečení.

Zařízení

SOC jsou obvykle dobře chráněny fyzickým, elektronickým, počítačovým a personálním zabezpečením. Centra jsou často vyložena stoly obrácenými k video stěně, která zobrazuje významný stav, události a alarmy; probíhající incidenty; roh zdi se někdy používá k zobrazování zpravodajských nebo povětrnostních televizních kanálů, protože to může zaměstnance SOC informovat o aktuálních událostech, které mohou ovlivnit informační systémy. Bezpečnostní technik nebo bezpečnostní analytik může mít na stole několik počítačových monitorů.

Proces a postupy

Procesy a postupy v rámci SOC jasně vysvětlí role a odpovědnosti i monitorovací postupy.[4] Mezi tyto procesy patří obchodní, technologické, provozní a analytické procesy. Stanoví, jaké kroky je třeba podniknout v případě výstrahy nebo porušení, včetně postupů eskalace, postupů hlášení a postupů reakce na porušení.

CloudSOC

Může být zřízeno cloudové bezpečnostní operační středisko (CloudSOC), které bude monitorovat využívání cloudových služeb v rámci podniku (a zachovat Shadow IT problém pod kontrolou), nebo analyzovat a auditovat IT infrastruktura a protokoly aplikací přes SIEM technologie a platformy strojových dat (např LogRytmus, Splunk, IBM QRadar, Sítě arktického vlka, Assuria, Fusus, HP ArcSight, CYBERShark[5] a Elastica[6]) poskytovat upozornění a podrobnosti o podezřelé aktivitě.

Inteligentní SOC

Smart SOC (Security Operations Center) je komplexní technologická agnostika kybernetická bezpečnost řešení, které využívá špičkové technologie a nástroje, vysoce kvalifikovaný a zkušený lidský talent (složený ze sběračů kybernetické inteligence, analytiků a bezpečnostních odborníků) a proaktivní kybernetická válka principy prevence a neutralizace hrozeb proti digitální infrastruktuře, aktivům a datům organizace.

Další typy a reference

Kromě toho existuje mnoho dalších běžně odkazovaných výrazů souvisejících s původním názvem „ISOC“, včetně následujících:

  • SNOC, Centrum zabezpečení sítě
  • ASOC, Advanced Security Operations Center
  • GSOC, Global Security Operations Center
  • vSOC, Virtual Security Operations Center[7]

Viz také

Reference

  1. ^ „PCI DSS 3.0: Dopad na vaše bezpečnostní operace“. Týden bezpečnosti. 31. prosince 2013. Citováno 22. června 2014.
  2. ^ „Monitorování transakcí pro poskytovatele služeb HMG online“ (PDF). CESG. Citováno 22. června 2014.
  3. ^ „Managed Services at the Tactical FLEX, Inc. Network Security Operations Center (NSOC)“. Tactical FLEX, Inc. Archivovány od originál dne 24. září 2014. Citováno 20. září 2014.
  4. ^ „Kolik stojí vybudování SOC 24x7? - Vyhoštění“. Vyloučit. 2018-02-28. Citováno 2018-05-26.
  5. ^ "Cybershark ™ | SOC-As-A-Service | Bezpečnostní software White Label".
  6. ^ „CloudSOC CASB“. www.broadcom.com.
  7. ^ „Co je to Virtual Security Operations Center (VSOC)?“. cybersecurity.att.com.