SOC – сандық активтеріңізді кешенді қорғау.
- ИБ оқиғаларын 24/7/365 мониторингтеу.
- Анықталған қауіптер туралы хабарлау.
- Инциденттерге тәулік бойы әрекет ету.
- Инциденттерді талдау және ұсыныстар дайындау.
Security Operations Center (SOC) кімге керек:
Финтех
- Онлайн-банкингке және төлем жүйелеріне шабуылдарды алдын алу
- Транзакциялық инфрақұрылымды тәулік бойы бақылау
Маркетплейсы
- Төлем жүйелері мен себеттерді шабуылдардан қорғау
- API, жеке кабинеттер және CMS оқиғаларды талдау
- Күдікті әрекеттерді бақылау
IT
- Веб-қосымшалар мен API шабуылдарды қадағалау
- DevSecOps интеграция (лог жүргізу, алерттер, SIEM)
Госсектор
- Қауіпсіздік оқиғаларының аудиті және саясатты бұзушылықтарды тіркеу
- Қызметтер сервисі деңгейінде қауіптерді анықтау
SOC негізгі функциялары
-
Мониторинг және талдау
Кез келген көздерді (желі, хосттар, бұлттар, пошта, қосымшалар, телеком) қосумен АҚ-оқиғалардың тәулік бойы мониторингі (24/7/365). SIEM және XDR логтары біріктіріледі, UEBA және TI-платформалары арқылы ауытқулар мен қауіптерді анықтайды. Tier-SOC құрылымы (1 деңгей — сүзу, 2-3 деңгей-терең тергеу).
-
Алдын алу және әрекет ету
АТ инфрақұрылымын осалдықтарға жүйелі түрде сканерлеу және ұсыныстар беру. Күдікті әрекеттерді лезде анықтау және бұғаттау үшін XDR агенттерін орнату. Рlaybook бойынша әрекет ету: оқиғаны жою, зиянды азайту, нақты эскалациямен SLA-да жұмыс істеу.
-
Ашықтық және басқару
Жеке кабинеттегі SIEM орталықтандырылған панелі: оқиғалар, логтар, хабарламалар, көрсеткіштер. Корреляция ережелері мен ескертулерін жеке баптау (email, Telegram, WhatsApp, қоңыраулар). Ай сайынғы шабуылдар, трендтер және осалдықтар туралы аналитикалық есептер.
-
Үнемділік және сәйкестік
Жазылу моделі: команданы жалдау және оқыту шығындарынсыз түсінікті тарифтеу. ISO/IEC 27001, PCI DSS және ҚР НҚА сәйкестігі, аудит мүмкіндігі. Предиктивті қорғаныс және қайталанатын шабуылдарды алдын алу үшін білімді жинақтау (қауіп каталогы, IoC, TTP, MITRE ATT&CK).
SOC қалай жұмыс істейді
Әлемдік жағдайлар
Target
Зиянкестер ішкі желіге кондиционерге қызмет көрсету мердігері арқылы кірді — оның Тarget инфрақұрылымына қол жетімділігі болды. Зиянды бағдарлама желіге терең еніп, POS-терминалдарға зиян келтірді және клиенттердің карталары туралы мәліметтер жинай бастады.
Зақым
- 40 миллион төлем картасы мен 70 миллион аккаунттардың сыртқы шығуы
- Бағалау бойынша сікелей шығындар 162 миллион долларды құрайды
- CISO-ның кетуі және клиенттерден жаппай шағымдар
SOC қалай көмектесер еді:
- SOC нақты уақыттағы логтарды талдайды және маңызды оқиғаларды бөліп көрсетеді. Бұл жағдайда: мердігерден күдікті кіру тіркелер еді
- POS жүйелерінде әдеттен тыс әрекеттер анықталар еді, жаппай сыртқы шығу болмай тұрып, оқиға өршімей, оқшауланған болар ед
SolarWinds
2020 жылы шабуылдаушылар Orion жаңартуларына Sunburst бэкдорын енгізді. Клиенттер бұл жаңартуды орнатқан кезде зиянды модуль корпоративтік желілерге кіруге мүмкіндік берді. Осылайша шабуылдаушылар мемлекеттік мекемелер мен ірі корпорациялардың ішкі жүйелеріне қол жеткізді.
Зақым
- Зиянды жаңартуды орнатқан 18 000 ұйымның қауіпсіздігі бұзылды
- АҚШ-тың ондаған федералды агенттіктерінің жүйелері бұзылды
- Бірнеше жылға созылған тергеулер және бағдарламалық жеткізу тізбегін толық аудиттеу
SOC қалай көмектесер еді:
- Orion жаңартуларындағы күмәнді белсенділікті ерте анықтау
- C2-серверлерге бағытталған әдеттен тыс қосылымдарды табу
Colonial Pipeline
2021 жылы шабуылдаушылар ұрланған VPN-пароль арқылы Colonial Pipeline IT-сегментіне еніп, шифрлайтын зиянды бағдарламаны іске қосты. АТ шабуылы өндірістік OT-сегментке өтпеуі үшін компания бүкіл құбыр желісін тоқтатуға мәжбүр болды.
Зақым
- АҚШ шығыс жағалауындағы жанармай жеткізілімі тоқтады
- Бензин бағасының өсуі және дүрбелеңдік сатып алу
- Шабуылдаушыларға төленген төлем - $4.4 млн
SOC қалай көмектесер еді:
- VPN-доступтың бұзылу белгілерін ерте анықтау
- Күмәнді логин әрекеттерін және құқықтарды көтеру талпыныстарын байқау