Сучасна система безпеки підприємства вже давно не зосереджена виключно на зоні периметру, а контролює і захищає внутрішні ресурси компанії. Це обумовлено тим, що ніхто не може гарантувати 100% надійності захисту периметра, і всі зловмисні дії можуть здійснюватися всередині мережі буквально місяцями. У зв'язку з цим необхідно контролювати стан безпеки по всій ІТ-інфраструктурі підприємства.
На сучасних підприємствах, як правило, створюється команда безпеки, яка відслідковує всі події і повідомлення, як від спеціалізованих засобів безпеки, так і від інших компонентів ІТ-інфраструктури. Адже часто шкідливу активність можна визначити за нетиповними подіями саме на обчислювальних вузлах інформаційної системи: робочих станціях і серверах, особливо це стосується так званих "zero-day" атак - новітніх способів та методик, з якими раніше ніхто не зустрічався і не описував.
Звісно, для того, щоб команда безпеки могла ефективно обробляти події та повідомлення різної критичності від усіх систем, необхідна аналітична попередня обробка та кореляція цих мільйонів повідомлень і надання команді безпеки для обробки і аналізу результатів вигляді інцидентів та подій безпеки.
Аналіз інцидентів безпеки та реакція на події виконуються командою безпеки на основі розроблених процесів та процедур для реакції на різноманітні інциденти різного рівня критичності, а також для виконання рутинних процедур відстеження та контролю подій.
SNT Ukraine розробила Систему операційної безпеки (Security Operations System - SOS), яка інтегрується в ІТ-інфраструктуру замовника та забезпечує збір та обробку подій безпеки, аналіз інцидентів та реакцію на розвиваючіся та успішні атаки, а також виконання процедур для мінімізації збитків від атак.
Компонентами рішення SOS є апаратно-програмний комплекс аналітичної системи на основі продуктів Splunk з понад 2000 доступними правилами обробки та кореляції, розроблені та налаштовані процеси та процедури, а також рекомендований графік та вимоги до кожного рівня фахівця або навчальної програми.
Як було зазначено раніше, технологічним ядром системи є аналітичний модуль, який обробляє події з ІТ-інфраструктури замовника. Саме тому до існуючого ІТ-ландшафту замовника, тобто до систем, які можуть постачати SOS інформацію з журналів подій, ставляться певні вимоги.
Мінімальний набір систем включає: міжмережевий екран нового покоління, систему запобігання/виявлення вторгнень, систему захисту кінцевих точок та інфраструктурні сервери.
Додатковою ефективністю для рішення є наявність в інфраструктурі систем пошуку вразливостей і спеціалізованих пасток (Deception/HoneyPot). Перевагами впровадження SOS є: підвищення видимості процесів і подій в інфраструктурі, прискорення реакції на інциденти безпеки, підвищення ефективності роботи служби безпеки, формалізація процедур для інформаційної безпеки, можливість використовувати розгорнуту аналітичну платформу для аналізу технологічних і інших подій та процесів.
Етапи впровадження рішення SOS в інфраструктуру замовника включають: аудит, визначення найбільш небезпечних векторів атак і найбільш вразливих ІТ-активів, визначення потреби та обсягу модернізації мережі замовника і сама модернізація (за необхідності), розгортання апаратно-програмного комплексу для аналізу та кореляції та підключення його до існуючих джерел подій і звітів, адаптація набору правил обробки і кореляції/створення нових правил, створення та адаптація процедур і політик для команди інформаційної безпеки, віддалена підтримка рішення (від рівня другого-третього рівня підтримки до рівня аутсорсингу).