10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 2. Найти баланс между размером и гибкостью. Часть 2.

4.3 Синхронизация операций по защите сетей между площадками и подразделениями

В зависимости от ряда факторов, физическое расположение SOC может как благоприятно, так и неблагоприятно сказываться на его деятельности. В разделе 4.1.1 мы говорили о поиске баланса между размером SOC и необходимостью сохранять близость к конечным активам и миссии. В результате может потребоваться размещение персонала SOC на нескольких площадках, как в распределенных или многоуровневых организационных моделях. В этом разделе мы рассмотрим следующие взаимосвязанные вопросы:

  • Где SOC должен быть физически расположен?
  • Как организовать ресурсы SOC, распределенные между несколькими площадками?
  • Как распределить обязанности между центральным координационным SOC и подчиненными SOC в рамках одной крупной организации?

Подробнее

Стратегия 2: Найти баланс между размером и гибкостью. Часть 1.

Клиенты SOC разнообразны по своему размеру, специфике бизнеса и географическому положению. Структура SOC должна соответствовать структуре своих клиентов, при этом  важно сбалансировать следующие потребности:

  1. Необходимость иметь сплоченную команду специалистов по защите компьютерных сетей.
  2. Необходимость поддерживать логическую, физическую или организационную близость к контролируемым активам.
  3. Ограничения в бюджете и полномочиях клиента SOC.

Вторая стратегия позволяет найти баланс между этими потребностями. Для этого мы должны будем дать ответы на три взаимосвязанных вопроса:

  1. Какая организационная модель SOC является наиболее подходящей.
  2. Как распределить функции SOC между отделами с линейным управлением и командной структурой.

Подробнее

Стратегия 1: Консолидировать защиту сетей в рамках одной организационной структуры

Первая стратегия наиболее очевидна, но она реже всего используется: консолидировать функции по защите компьютерных сетей (CND) в рамках одной организационной структуры, для которой это будет единственная задача. Как обсуждалось в Разделе 2.8, SOC должны быть способны реагировать со скоростью, соответствующей действиям противника. Элементы CND должны быть тесно взаимосвязаны. Возложение задачи по обеспечению защиты сетей на одну структуру позволяет добиться следующего:

  • Операции синхронизируются между элементами CND.
  • Задачи по обнаружению и реагированию выполняются продуктивно без ущерба для точности, эффективности или релевантности.
  • Ресурсы на обеспечение защиты сетей можно задействовать максимально полно.
  • Данные, составляющие ситуационную осведомленность, и данные об инцидентах поступают операторам защиты сетей и на инструменты в замкнутом цикле.

Подробнее

2.8 Маневренность

Если у SOC и есть злейший враг, то можно сказать, что это APT-атаки (Advanced Persistent Threat — целевая кибератака). Противник стремительно действует, мгновенно реагирует и быстро меняет стратегию — этапы его версии цикла принятия решений (OODA) активно сменяют друг друга. Насколько оперативно крупные организации, например, правительственные органы или компании из списка Fortune 500, действуют в киберпространстве? Обычно не за секунды. Зачастую SOC нужно потратить все свои усилия только на то, чтобы поддерживать хотя бы тот же темп действий, что и противник, что осложняется постоянными изменениями внутри компании, которую он обслуживает. А чтобы превзойти возможности киберпреступника, SOC должен приложить еще больше усилий.

Подробнее

2.7. Инструменты и качество данных

Успех или провал в обеспечении защиты сетей зависит от способности аналитиков SOC собрать и понять нужные данные в нужное время в нужном контексте. Практически каждый зрелый SOC использует набор технологий для создания, сбора, анализа, хранения и представления огромного количества данных для своей команды. На рисунке 4 изображена высокоуровневая архитектура используемых в SOC инструментов и технологий.

SOC может размещать инструменты мониторинга в различных точках клиентских систем для поиска злонамеренной или аномальной активности на каждом этапе жизненного цикла кибератаки. Так, например, особый интерес для аналитиков SOC могут представлять ключевые хосты и «узкие места» сетей. Каждый инструмент генерирует серию событий и контекстных данных, которые после изучения могут служить доказательством инцидента.

Подробнее