SOC (Security Operations Center)
SOC е организационна функция/екип, а не конкретна технология.
Това е централизирано звено, което:
- наблюдава сигурността в реално време
- анализира инциденти и заплахи
- реагира при атаки (incident response)
- използва различни инструменти (вкл. SIEM)
Накратко:
SOC = хора + процеси + технологии за киберсигурност
SIEM (Security Information and Event Management)
SIEM е софтуерна система, която събира и анализира логове от различни източници:
- сървъри
- мрежово оборудване
- приложения
- защитни системи (firewall, antivirus и др.)
Основни функции:
- централизиране на логове
- корелация на събития (намира връзки между тях)
- откриване на подозрителни активности
- алармиране и репорти
Накратко:
SIEM = инструментът, който SOC използва, за да “вижда” какво се случва
CCTV (Closed-Circuit Television)
CCTV е система за видеонаблюдение:
- камери
- записващи устройства (DVR/NVR)
- монитори
Използва се за:
- физическа сигурност (офиси, магазини, складове)
- наблюдение на достъп и поведение
- разследване на инциденти
Накратко:
CCTV = видеонаблюдение (физическа сигурност)
SOAR (Security Orchestration, Automation and Response)
Система за автоматизация на действия при инциденти:
- изпълнява playbooks (автоматични сценарии)
- интегрира различни инструменти (SIEM, EDR, firewall и др.)
- намалява ръчната работа на SOC
Накратко:
SIEM открива → SOAR реагира автоматично
XDR (Extended Detection and Response)
Разширена платформа за откриване и реакция:
- обединява данни от endpoint, мрежа, имейл, cloud
- дава по-добра корелация от SIEM (в някои случаи)
- често включва автоматични реакции
EDR (Endpoint Detection and Response)
Фокус върху крайни устройства (лаптопи, сървъри):
- следи поведение (не само signature-based)
- открива атаки като ransomware
- позволява изолиране на устройство
NDR (Network Detection and Response)
Наблюдава мрежовия трафик:
- открива аномалии в мрежата
- анализира комуникации между системи
- полезен при lateral movement
IDS / IPS (Intrusion Detection / Prevention System)
- IDS: открива атаки (alert)
- IPS: блокира атаки в реално време
Firewall
Контролира мрежовия трафик:
- разрешава/забранява връзки
- базира се на правила
WAF (Web Application Firewall)
Специализиран firewall за уеб приложения:
- защита срещу SQL injection, XSS и др.
- стои пред уеб сървъра
DLP (Data Loss Prevention)
Предотвратява изтичане на данни:
- следи чувствителна информация
- блокира изпращане извън организацията
IAM (Identity and Access Management)
Управление на потребители и права:
- кой има достъп до какво
- роли, политики
PAM (Privileged Access Management)
Управление на администраторски достъп:
- контрол на root/admin акаунти
- запис на сесии
MFA (Multi-Factor Authentication)
Допълнителен слой сигурност:
- парола + код/биометрия
TI (Threat Intelligence)
Информация за заплахи:
- IP адреси, домейни, malware signatures
- използва се в SIEM/XDR
UEBA (User and Entity Behavior Analytics)
Анализ на поведение:
- открива отклонения (напр. служител с нетипично поведение)
MITRE ATT&CK
Framework за класификация на атаки:
- техники и тактики на атакуващите
- използва се за анализ и защита
VA (Vulnerability Assessment)
Сканиране за уязвимости:
- намира слаби места
- не ги експлоатира
PT (Penetration Testing)
Етичен хак:
- симулира реална атака
- доказва реален риск
Patch Management
Управление на ъпдейти:
- затваря уязвимости чрез обновления
CASB (Cloud Access Security Broker)
Контрол на достъпа до cloud услуги:
- следи кой как използва SaaS
CSPM (Cloud Security Posture Management)
Оценява конфигурацията на cloud:
- открива грешни настройки
Zero Trust
Модел за сигурност:
- “never trust, always verify”
- всяка заявка се валидира
Как се връзват:
- SOC → управлява всичко
- SIEM → събира и анализира
- SOAR → автоматизира реакцията
- EDR/XDR/NDR → дават данни и защита
- IAM/PAM/MFA → контролират достъпа
- DLP/WAF/Firewall → защитават
- TI/UEBA → добавят интелигентност