Компонент безопасности что это за программа

Содержание

Программы для безопасности компьютера

Пока все вокруг говорят о русских хакерах и кибербезопасности, мы собрали для вас программы, которые помогут защитить всё, что есть у вас на компьютере. Это минимальный набор, который поможет вам в большинстве ситуаций, когда ваши данные могут быть под угрозой.

Антивирус

Принцип действия антивируса такой: он сидит в памяти и смотрит на всё, что происходит с вашим компьютером. У антивируса есть знания об огромном количестве вредоносных программ и некоторые способности определять ещё не известные. Если на компьютере заводится что-то подозрительное, антивирус может это поймать и не допустить распространения.

Плюсы: в компьютер можно вставить чужую флешку, не боясь подцепить вредоносную программу.

Минусы: все антивирусы снижают быстродействие компьютера — некоторые заметно, другие менее заметно.

Есть миф, будто на компьютерах Mac OS нет вирусов, поэтому для них не нужны антивирусы. На самом деле вредоносных программ на Mac OS очень много. Правда, для того, чтобы они оказались на вашем компьютере, вам придётся согласиться на что-то вроде обновления Flash-плеера или установку какого-нибудь «Мак-клинера». Большой риск подхватить майнер криптовалюты, скачав взломанную программу.

Обзор Symantec Endpoint Protection 12.1.2: настройки и возможности

Какой антивирус использовать — дело вкуса. Одни считают, что антивирус Касперского хорошо защищает, но замедляет работу компьютера; другие ставят ESET NOD32 и говорят, что он вообще работает быстрее всех. Третьи утверждают, что всё наоборот. В любом случае мы за то, чтобы антивирус был и работал, особенно если у вас Windows.

Файервол

Логичный шаг после установки антивируса — настройка файервола для защиты от атак из интернета. Многие антивирусы идут в комплекте со встроенным файерволом, но его можно установить отдельно.

Файервол занимается тем, что следит, какие данные ваш компьютер отправляет в Сеть и что поступает оттуда. Если он заметит, что кто-то снаружи пытается получить доступ к компьютеру или какая-то программа порывается связаться с непонятным сервером — он заблокирует такое соединение и сообщит пользователю.

Современные файерволы уже знают, каким программам какой доступ нужен, поэтому даже если вы больше ничего не будете настраивать после установки, этой защиты тоже будет достаточно. Ещё у них есть режим обучения, когда каждое незнакомое соединение блокируется, а пользователь должен решить, разрешать этой программе выходить в Сеть или нет.

Например, программе для работы с фото не нужно постоянно передавать данные в Сеть: обычно она делает это сразу после запуска, когда проверяет обновление. Но если файервол заметит, что такая программа постоянно передаёт большие объёмы данных на чужой сервер, то закроет соединение и покажет предупреждение. Такое поведение программы может означать, что она следит за вами и отправляет ваши файлы, пароли и скриншоты экранов чужим людям.

Рекомендуем для Windows: SpyShelter Firewall

Для MacOS: Little Snitch

VPN

VPN помогает шифровать трафик, чтобы те, кто его перехватит, не смогли разобрать, что внутри. Например, вы пришли в кафе, хотите поработать и находите открытую и доступную для всех Wi-Fi-сеть. Если подключиться к ней просто так, то ваши логины, пароли и данные можно перехватить и использовать их как угодно. А если включить VPN, то все данные, которые идут в интернет и обратно, будут зашифрованы.

Даже если сеть защищена паролем, но доступ к ней дают всем желающим, то здесь тоже лучше использовать VPN. Дело в том, что по уровню защищённости такая сеть ничем не отличается от открытой. Если вы не знаете, открытая у вас сеть или нет — почитайте наш материал про Wi-Fi.

Подробнее про VPN — в отдельной статье. Ссылок на программы не будет, потому что это пока незаконно.

Шифрование файлов

Если у вас сломается компьютер или ноутбук, есть вероятность, что его нужно будет отнести в сервисный центр. Чаще всего там просят оставить его на несколько дней, чтобы починить, и на это время сотрудники центра получают доступ к вашим файлам на жёстком диске. Недобросовестные работники, которые не уважают чужую приватность, могут, например, просмотреть все ваши фото и скопировать себе те, которые им понравились.

Чтобы такого не случилось, используют шифрование файлов на уровне операционной системы. Работает это так: вы выбираете, что хотите шифровать — отдельную папку, раздел на диске или весь жёсткий диск целиком. Затем задаёте пароль, и компьютер всё шифрует. После этого такие файлы можете открыть только вы и только за своим компьютером.

Чтобы каждый раз не вводить пароль при открытии любого файла, компьютер делает так: операционная система запоминает пароль и сама им всё открывает. Вводить каждый раз ничего не нужно, но если переустановить систему, есть риск, что файлы расшифровать не получится.

Есть и другой способ: специальная программа создаёт виртуальный защищённый раздел на вашем диске и шифрует всё, что внутри. Каждый раз, когда нужно открыть такой раздел, приходится вводить пароль. Это не всегда удобно, зато можно переустанавливать систему сколько угодно раз.

Windows: BitLocker, DiskCryptor

Mac OS: FileVault (встроена)

Менеджер паролей

Можно использовать один и тот же пароль на всех сайтах, но если его взломают — злоумышленники получат доступ ко всем вашим сервисам. Очевидное решение — использовать на каждом сайте свой пароль. Очевидная проблема — как запомнить столько паролей?

Для этого придумали менеджеры паролей — специальные программы, которые запоминают, на каком сайте какой пароль, и показывают его вам. Продвинутые менеджеры паролей сами управляют ими в браузере и умеют подставлять их в формы регистрации. А ещё можно написать такую программу самому: если забудете пароль, достаточно ввести адрес сайта и секретное слово.

LastPass, 1Password — работают на любой операционной системе и интегрируются с браузерами. Хранят пароли в облаке, но всю работу с ними берут на себя.

KeePass — старый интерфейс, зато без облаков, всё зашифровано и никуда не отправляется.

Защитите свою карьеру в ИТ. Начните ее, например.

Где? Как где? Конечно же в Яндекс Практикуме! Как вам такая нативная интеграция? Дичайше полезные курсы для будущих айтишников, например.

Получите ИТ-профессию

В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.

Источник: thecode.media

Приложение «Безопасность Windows» в Windows 11

В этой публикации, друзья, поговорим о системном приложении «Безопасность Windows» в Windows 11. Проведём комплексный его обзор и посмотрим, что в целом являет собой эта не последней важности область системных функций. Это приложение является единым центром, интерфейсом всех функций безопасности Windows 11.

Читайте также:
Touchpad driver что это за программа

Это обитель штатного антивируса Защитника Windows, брандмауэра, веб-фильтра SmartScreen и прочих штатных функций безопасности. Приложение это появилось в процессе эволюции Windows 10: в одном из функциональных обновлений этой операционной системы компания Microsoft заменила приложение Защитника Windows на комплексное «Безопасность Windows» с расширенным функционалом, включающим иные аспекты безопасности. Windows 11 унаследовала это приложение от Windows 10 фактически как есть, без каких-либо доработок и улучшений. Давайте познакомимся с возможностями этого приложения.

↑ Приложение «Безопасность Windows» в Windows 11

↑ О приложении

Итак, друзья, приложение «Безопасность Windows» в Windows 11. Оно полностью унаследовано от Windows 10, причём пока что даже без переделки внешнего вида под стиль и формат Windows 11. Единственное новшество этого приложения в Windows 11 – вынесение журнала защиты в отдельный раздел для удобного доступа. Этот журнал являет собой раздел, где фиксируются события, в частности, в работе Защитника Windows.

Именно здесь вызволяются из блокировки файлы, ошибочно расцененные Защитником как вредоносные. И, учитывая агрессивность и плохую разборчивость Защитника в плане обнаружения угроз, такой юзабилити-ход в Windows 11 сделан как нельзя кстати.

Чтобы вызволить нужный файл из блокировки Защитника, нам более не нужно бродить в дебрях настроек приложения, мы кликаем на раздел «Журнал защиты» и разрешаем наш файл. Вот такое, друзья, единственное, но крайне полезное новшество этого приложения. В целом же «Безопасность Windows» — это единый центр системных функций безопасности, построенный по принципу современных комплексных средств защиты компьютера, которые мы можем видеть в любом стороннем продукте безопасности с антивирусным модулем в качестве главного компонента. Каждый раздел приложения «Безопасность Windows» отвечает за свои компоненты безопасности и предлагает нам функции и настройки для управления ими. Давайте рассмотрим эти компоненты.

↑ Защита от вирусов и угроз

Раздел приложения «Защита от вирусов и угроз» — это компонент Защитника Windows, штатного антивируса Windows 11. Здесь есть блок функциональных операций Защитника – запуск быстрого антивирусного сканирования, запуск настраиваемого антивирусного сканирования, доступ к упомянутому журналу защиты и перечню разрешённых угроз. И есть блок настроечных функций Защитника – «Параметры защиты от вирусов и других угроз». Жмём «Управление настройками». И получим доступ к разным функциям Защитника. Часть их – это функции, отвечающие за определённые области защиты, которые мы можем включать и отключать:

  • Защита в режиме реального времени;
  • Облачная защита;
  • Автоматическая отправка образцов файлов компании Microsoft;
  • Защита от подделки.

Кроме защиты в режиме реального времени все эти функции не являются чем-то стоящим, что может нас реально защитить от угроз. Впрочем, и сам Защитник Windows – это лишь базовое средство защиты компьютера с несовершенными антивирусными технологиями на фоне технологий сторонних разработчиков, профильно занимающихся компьютерной безопасностью. Из функций Защитника Windows куда более полезными будут:

  • Контролируемый доступ к файлам – защита от программ-вымогателей путём блокировки возможности перезаписи данных в определённых папках подозрительным программам. Если в число таких попадают наши рабочие программы, мы просто настаиваем им разрешение через контролируемый доступ;
  • Исключения – это белый список Защитника Windows, куда мы можем добавить папки, файлы, типы файлов и процессы, которые не будут проверяться в процессе антивирусного сканирования и блокироваться как угрозы.

Друзья, если вы опытный пользователь — чётко понимаете, какие и зачем операции вы выполняете на компьютере, не тащите с Интернета всякую дичь, имеете резервные копии важных данных в облаке, сможете восстановить операционную систему в случае чего, и если вы работаете с компьютером сами, без доступа неопытных пользователей, антивирус вам в принципе может быть не нужен. Защитник Windows будет вам только мешать в работе – допускать ложные срабатывания и своими фоновыми процессами нагружать системные ресурсы компьютера. Но вырубить на корню Защитник в Windows 11 не просто. Как это сделать, смотрите в статье «Как отключить Защитник Windows 11».

↑ Защита учётных записей

В приложении «Безопасность Windows» есть раздел «Защита учётных записей», он не несёт никаких функций, а лишь отсылает нас к определённым настройкам, касающимся учётной записи компьютера, в системное приложение «Параметры».

↑ Брандмауэр и безопасность сети

Раздел «Брандмауэр и безопасность сети» — это обитель доступа к настройкам штатного файервола – брандмауэра Windows.

↑ Управление приложениями/браузером

В разделе «Управление приложениями/браузером» приложения «Безопасность Windows» нам предлагаются дополнительные системные функции от угроз, не входящие в состав основных функций Защитника Windows:

  • Защита на основе репутации – комплекс функций системного фильтра SmartScreen, препятствующего запуску на компьютере классических программ, современных приложений, заходу на сайты в браузере Microsoft Edge, которые несут в себе потенциальную опасность. Защита базируется на технологиях репутации, соответственно, она неэффективна при работе с новыми и кустарными программами, и не всегда адекватно может расценить безопасность сайтов в Интернете. Фильтр SmartScreen проще отключить, чтобы он не мешал в работе с компьютером;
  • Изолированный просмотр – это функция песочницы для браузера Microsoft Edge. Запускает этот браузер в изолированной виртуальной среде, защищая таким образом Windows и наши данные на диске от проникновения вредоносного ПО. Функция работает после активации системного компонента Application Guard в Microsoft Defender. Это годная функция, но она не имеет смысла на фоне функции песочницы Windows 11, которая не привязана к браузеру Microsoft Edge и позволяет запускать в изолированной виртуальной среде не только сайты, но также программы и файлы. Что изолированный просмотр, что песочница – это функции, поставляемые в редакциях Windows 11 начиная с Pro;
  • Защита от эксплойтов – это функция защиты от уязвимостей операционной системы. Эта функция включена в Windows 11 по умолчанию, и приложение «Безопасность Windows» лишь предоставляет доступ к настройкам этой функции. Без понимания сути параметров этой функции, лезть в её настройки не нужно. Массовому пользователю достаточно просто обновлять операционную систему и использовать современный обновляемый браузер с поддерживаемыми технологиями безопасности.

↑ Безопасность устройства

В разделе «Безопасность устройства» приложения «Безопасность Windows» нам предлагается системная функция изоляции ядра и функции, связанные с аппаратной реализацией безопасности:

  • Изоляция ядра – ещё один механизм изоляции работы на компьютере, базирующийся на технологиях виртуализации, запускает процессы изолировано в оперативной памяти и тем самым ограничивает доступ вредоносному ПО к Windows и нашим данным на компьютере. Реализован этот механизм в виде функции целостности памяти — защиты доступа к оперативной памяти путём блокировки доступа к процессам с высоким уровнем безопасности. Эта функция, друзья, опять же, уступает в плане 100%-ной надёжности песочнице Windows 11, где нам даётся полностью изолированная виртуальная среда для экспериментов. Но функция изоляции ядра позволяет нам, будучи всё же защищёнными, полноценно использовать ресурсы компьютера. И самое главное – эта функция доступна во всех редакциях Windows 11, включая Home. Подробнее об изоляции ядра здесь.
  • Обработчик безопасности — это сведения о доверенном платформенном модуле TPM, том самом пресловутом, что необходим для официального использования Windows 11. Если, конечно, он есть на компьютере. Здесь можем посмотреть сведения о TPM и запустить средство устранения его неполадок для очистки модуля, если в его работе наблюдаются сбои или при продаже компьютера;
  • Безопасная загрузка – это сведения о том, включена ли в BIOS UEFI функция безопасной загрузки Secure Boot.
Читайте также:
Asterisk программа что это

↑ Производительность и работоспособность устройств

Раздел «Производительность и работоспособность устройств» приложения «Безопасность Windows» — это информация о наличии возможных проблем на компьютере.

Информация бесполезная, обычно если на компьютере есть какие-то проблемы, они решаются либо очисткой диска, либо откатом к бэкапу, либо восстановлением целостности системных файлов. Либо истинную причину проблемы нам приходится долго и усердно искать, вороша кучу мануалов в сети.

↑ Параметры для семьи

Раздел «Параметры для семьи» приложения «Безопасность Windows» — это презентация функции родительского контроля Family Safety, существующей вне операционной системы, но в связке с ней – как сервис, предоставляемый аккаунтом Microsoft для Windows 10, Windows 11, Xbox и Android. В этом разделе есть отсылка на функцию Family Safety в веб-интерфейсе аккаунта Microsoft. И также в этом разделе нам предлагается отсылка в веб-интерфейс аккаунта Microsoft, в раздел привязанных к аккаунту компьютерных устройств для их контроля и применения определённых функций.

Вот такое, друзья, системное приложение «Безопасность Windows» в Windows 11, и такие у него возможности в целом.

Источник: remontcompa.ru

Средства компьютерной безопасности Windows 7

В обеспечении компьютерной безопасности участвуют самые разнообразные средства Windows 7. Те, о которых будет упомянуто в данной книге, можно условно разделить на два типа.

  • Средства локальной безопасности. К ним относятся механизмы разграничения прав доступа пользователей к системе, контроль Windows за выполнением потенциально опасных действий, шифрование диска, строго заданные родительские ограничения для доступа к компьютеру детей, защита от нежелательного ПО, встроенные средства автоматического обновления Windows.
  • Средства сетевой безопасности. Сюда входят программы, препятствующие проникновению через сеть на компьютер вредоносных приложений, а также брандмауэр, блокирующий попытки таких программ установить несанкционированную передачу данных.

По уровню безопасности Windows 7 вместе с Windows Vista с огромным отрывом ушла вперед от своих предшественниц, и это не случайно. Безопасность и надежность при разработке новой операционной системы были поставлены Microsoft во главу угла: на создание принципиально новых технологий защиты и улучшение ранее существовавших было затрачено колоссальное количество времени.

В данной главе описаны важнейшие компоненты Windows 7, обеспечивающие безопасность ее работы. Разбирая тему локальной и сетевой защиты, мы поговорим об учетных записях пользователей, контроле над ними, рассмотрим обновленную функцию родительского контроля, встроенную антишпионскую программу Защитник Windows, брандмауэр Windows и средства автоматического обновления.

Учетные записи пользователей

Система учетных записей была создана для того, чтобы за одним компьютером автономно могли работать несколько пользователей. Входя в систему под собственной учетной записью, каждый пользователь получает в распоряжение набор личных папок и имеет возможность настраивать интерфейс Рабочего стола по своему вкусу, поскольку сделанные изменения не затронут пользователей других учетных записей. Личные папки всех зарегистрированных на компьютере пользователей находятся в папке Пользователикорневого каталога системного раздела диска. Сетевые подключения являются общими для всех учетных записей. Система учетных записей разных типов позволяет разграничить доступ пользователей к настройкам системы, определенным категориям файлов и папок, а также к установленным программам.

Учетные записи можно разделить на два типа.

  • Администратор. Пользователи учетных записей администраторов имеют полный доступ ко всем файлам и папкам на диске, а также вправе изменять любые параметры системы. Кроме того, администраторы обладают возможностью создавать, редактировать и удалять учетные записи других пользователей.

Однако чтобы исключить несанкционированные действия вредоносных программ, связанные с их инсталляцией в систему и изменением ряда настроек, в Windows 7 существует контроль учетных записей пользователей (UAC — User Account Control). При выполнении действий, которые могут повлечь за собой опасные для системы последствия или повлиять на работу других пользователей, всегда появляется окно UAC, где вам нужно подтвердить, что автором изменений являетесь вы и можно продолжить их проведение.

  • Обычный доступ. Пользователи учетных записей данного типа существенно ограничены в доступе к «недрам» системы. Они могут беспрепятственно работать с разрешенными файлами и папками, с программами, однако устанавливать и удалять приложения, оборудование, менять настройки системы, которые могут затронуть и других пользователей, а также работать с их личными файлами и папками права не имеют. При попытке совершить одно из вышеперечисленных действий появится окно UAC, в котором будет предложено ввести пароль учетной записи администратора. Если он известен пользователю, то дальнейшее продолжение действия будет возможно.

Помимо описанных типов учетных записей, на компьютере всегда присутствует учетная запись особого типа — Гость. Она предназначена для входа в систему случайных посетителей компьютера, для которых создание отдельной учетной записи с набором личных папок нецелесообразно. Учетная запись Гость не разрешает изменять параметры системы и работать с папками и файлами других пользователей.

Если на компьютере имеется несколько учетных записей, то при загрузке Windows появится экран входа в систему, на котором вы увидите значки и имена всех учетных записей. Щелкните на значке со своим именем, чтобы выполнить вход. Если на компьютере имеется единственная учетная запись (она всегда является учетной записью администратора), не защищенная паролем, экран приветствия появляться не будет.

Рекомендуем для просмотра:

  • Контроль учетных записей UAC — 14/11/2012 05:44
  • Родительский контроль — 14/11/2012 05:33
  • Создание учетных записей — 14/11/2012 04:34

Источник: cmd4win.ru

SOC (Security Operation Center): что это такое и зачем используется ? Центры мониторинга информационной безопасности.

Слушайте SOC (Security Operation Center): что это и зачем используется ? на Яндекс.Музыке | Слушать на Apple Podcasts | Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке | Слушать на Castbox | Слушать на Podcast Addict | Слушать на Pocket cast | Руслан Рахметов, Security Vision

Оглавление

Друзья, в предыдущей статье (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) мы обсудили основные понятия информационной безопасности и дали определение некоторым терминам. Разумеется, сфера защиты информации не ограничивается описанными определениями, и по мере появления новых статей мы будем всё больше погружаться в данную область и объяснять специфические термины.

Сейчас же давайте представим, как выглядит практическая работа тех, кто профессионально занимается информационной безопасностью, т.е. специалистов по защите информации. Мы часто слышим, что многие значимые расследования хакерских атак ведутся в Ситуационных центрах информационной безопасности, или Центрах SOC (от англ. Security Operations Center). Что такое SOC? Кто там работает и что делает?

Какие обязанности выполняют сотрудники SOC, с какими системами и средствами они работают? Правда ли, что без знаний языков программирования не удастся достичь высот в работе в составе команды SOC-Центра, а навыки администрирования информационных систем нужны специалисту по защите информации как воздух? Поговорим об этом ниже.

Итак, давайте для начала ответим на вопрос: SOC — что это? SOC — это аббревиатура Security Operations Center, что в буквальном переводе с английского означает «Центр операций по безопасности», однако такой дословный перевод не раскрывает смысл данного термина, поэтому в русскоязычной литературе SOC часто переводится как Ситуационный центр информационной безопасности, что яснее отражает специфику работы.

Читайте также:
Рэп что это за программа

В англоязычной литературе также встречается термин CSOC — CyberSecurity Operations Center, а в русскоязычной литературе встречаются такие термины, как SOC — Центр мониторинга кибербезопасности или SOC — Центр обеспечения компьютерной безопасности. Кроме того, термин SOC отечественные специалисты по информационной безопасности также используют в качестве акронима, произнося его как «СОК». В любом случае, это означает одно и то же: SOC — это структурное подразделение, осуществляющее мониторинг работы систем защиты информации и реагирующее на инциденты информационной безопасности. Таким образом, SOC — это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.

Приведем пример: если у вас на домашнем компьютере установлен антивирус, то чем скорее вы увидите предупреждающее сообщение от него, тем выше шанс избежать заражения компьютерным вирусом: антивирус может быть настроен так, что лишь уведомит вас о возможной атаке, а сам вирус может продолжать «жить» в системе, пока вы не дадите команду антивирусу на его удаление. Или другой пример: все мы знаем, что далеко не все угрозы современного интернета обнаруживаются антивирусными средствами и файерволлами: печально известные вирусы WannaCry и NotPetya «не ловились» защитными средствами, поэтому они смогли поразить большое количество компьютеров и серверов. Почему такое происходит? Дело в том, что самые опасные вирусы используют уязвимости штатного функционала операционных систем и программ, что приводит к тому, что антивирус «считает», что происходящее на компьютере после заражения — это нормальное поведение системы, вызванное легитимными действиями пользователя. И как раз в такие моменты сотрудникам Центров SOC очень важно быстро заметить, что в системе происходят аномальные события: слишком большое количество измененных файлов за малый промежуток времени (это признак работы вируса-шифровальщика, который потребует выкуп за восстановление доступа к зашифрованным им файлам), нетипичный интернет-трафик к разным ресурсам (это признак заражения компьютера программой-ботом, которая может осуществлять DDoS-атаки на интернет-сайты от вашего имени), слишком большое потребление системных ресурсов интернет-браузером (это может означать, что вы зашли на сайт, зараженный вирусом-майнером, который за ваш счет добывает криптовалюту) и т.д.


Итак, Центр SOC — это не только технические системы, в режиме реального времени передающие аналитикам SOC сообщения от средств защиты, но и сами люди — эксперты, которые могут отличить ложное срабатывание защитного средства от настоящего, «боевого», и способные понять, являются ли несколько явно не связанных между собой сообщений от средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений им помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM (Security Information and Event Management, системы управления информацией о безопасности и событиями информационной безопасности), IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствием законодательству). Об этих системах мы подробно поговорим в следующих публикациях.

Пока же нам следует уяснить, из каких специалистов должен состоять Центр SOC? Какие компетенции важны для успешной и плодотворной работы в Ситуационных центрах информационной безопасности? Для начала мы подробнее расскажем, какие именно задачи решаются в SOC-Центрах, поговорим о классификации SOC и о моделях работы и предоставления сервисных услуг заказчикам Ситуационных центров информационной безопасности.

Основная задача SOC-Центра — это обеспечение реагирования на инциденты информационной безопасности в рамках заранее согласованных SLA (Service Level Agreement, соглашение о качестве оказываемых услуг). Предварительно также обговариваются задаваемые критерии KPI (Key Performance Indicators, ключевые показатели эффективности) для команд реагирования SOC-Центров и определенные типы шагов по реагированию на кибератаки, их сдерживанию, локализации и нейтрализации угроз информационной безопасности, которые будут предприниматься командой SOC в рамках обработки инцидентов ИБ.

SOC-Центры могут быть внутренними и внешними (их еще называют коммерческими или аутсорсинговыми). Внутренний SOC как правило создается после того, как топ-менеджер или руководитель крупной компании, проведя анализ рисков и осознав наличие актуальных угроз в области информационной безопасности, принимает решение о том, что необходимо оперативно, а лучше круглосуточно, в режиме 24/7, реагировать на возникающие инциденты информационной безопасности.

При этом, как правило, имеющихся ресурсов ИБ или ИТ-департаментов для круглосуточного дежурства не хватает, поэтому создается внутренний SOC-Центр, в который набирают самых опытных штатных сотрудников компании и нанимают новых экспертов по ИБ. Внешний же Центр SOC — это по сути аутсорсинговая услуга по оперативному реагированию на инциденты информационной безопасности, когда компания-заказчик заключает договор на обслуживание с внешним Центром SOC. При этом дополнительных сотрудников в штат компании не набирают, а целиком и полностью полагаются на специалистов внешнего SOC-Центра, которые, в соответствии с оговоренными SLA и KPI, выполняют работу по реагированию на кибератаки, выявлению и расследованию инцидентов информационной безопасности. В этом случае компания-заказчик экономит на штатных сотрудниках и получает прогнозируемое, согласованное в договоре время реагирования со стороны высококлассных специалистов из внешнего SOC.

На практике подключение и использование услуг SOC-Центра выглядит следующим образом:

1. Заказчик услуг SOC-Центра, который видит необходимость в аутсорсинге оперативного реагирования на свои инциденты ИБ, обращается к менеджерам SOC с запросом о подключении к сервисам SOC.

2. Менеджеры Центра SOC согласовывают детали подключения информационных и защитных систем заказчика к инфраструктуре SOC-Центра для того, чтобы оперативно обрабатывать поступающие данные без выезда на площадку Заказчика.

3. Инженеры внешнего SOC-Центра подключают источники информации и событий ИБ компании-заказчика в свою внутреннюю систему управления инцидентами — эту роль выполняет, как правило, SOAR или SIEM-система. При этом следует обеспечить надежный и защищенный канал связи между компанией-заказчиком и внешним SOC-Центром для обеспечения оперативного обмена информацией.

4. На площадке Заказчика информационные системы и имеющиеся средства технической защиты настраиваются на пересылку всей значимой с точки зрения ИБ информации во внешний SOC.

5. Во внешнем SOC-Центре входящие данные непрерывно обрабатываются сотрудниками SOC (дежурной сменой), которая состоит, как правило, из следующих специалистов:

Системный администратор или инженер — тот, кто настраивает внутренние системы SOC-Центра, которые используются в обработке инцидентов заказчиков (это системы SIEM, SOAR, IRP и аналогичные), а также отвечает за стабильность получения данных из систем компании-заказчика. Такому специалисту просто необходимо быть «на ты» с различными типами операционных систем, прикладным ПО, разнообразными системами киберзащиты. В случае, если в коммерческом SOC-Центре используется какое-то самостоятельно созданное программное обеспечение, то на системного администратора SOC могут быть возложены еще и функции непрерывной интеграции и настройки такого ПО для обеспечения бесперебойности бизнес-процесса кибербезопасности, связанного с ним (это еще называют DevOps от англ. Development https://www.securityvision.ru/blog/soc-chto-eto/» target=»_blank»]www.securityvision.ru[/mask_link]

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru