По оценкам экспертов рынок услуг центров мониторинга и реагирования на инциденты информационной безопасности уверенно приближается к объему в 30 млрд руб. Перспективы прорисовываются крайне заманчивая: по усредненным оценкам, ежегодно направление будет прибавлять к своему «весу» примерно треть. И это не удивительно, ведь Security Operations Center (SOC) – это не служба скорой технологической помощи, как может поначалу показаться, а многоуровневая система, защищающая от возникающих угроз.
У центра есть ряд стандартных функций. Естественно, к ним в первую очередь относится непрерывный процесс наблюдения за информационной средой. Операторы считывают данные со всего оборудования, которое задействовано в организации. И здесь не должно быть никаких исключений. Режим мониторинга – круглосуточный. Как только срабатывает «флажок», предупреждающий о том, события развиваются нестандартным образом, специалисты должны оперативно определить, насколько опасны эти сигналы. Если ситуация квалифицируется как инцидент, то выполняется исчерпывающий набор операций для его устранения. Главная задача – свести на нет возможный ущерб. Устранение последствий инцидента также входит в круг обязанностей центра. Крайне важным этапом является расследование произошедшего, на основе которого разрабатывается план дальнейших действий по предотвращению аналогичных сбоев.
Функциональность SOC постоянно расширяется, выходя за рамки мониторинга и реагирования. В современных условиях бизнес чутко откликается на изменения конъюнктуры.
Собственные центры могут позволить себе далеко не все компании. Создание системы мониторинга требует серьезных ресурсов и технологий. Плюс к этому, конечно же, кадры. Одними системными администраторами точно не обойтись. Необходима команда из аналитиков и специалистов целого ряда направлений. В связи с этим многие организации принимают решение о привлечении сторонней структуры, уже зарекомендовавшей себя в сфере SOC. Впрочем, есть и те, кто взял на вооружение комбинированную систему. Они отдают часть функций на аутсорсинг, но стараются вести сами отдельные направления.