10 стратегий первоклассного SOC (перевод гайда MITRE)

2.5 Ситуационная осведомленность

Для эффективной работы специалистам команды SOC необходимо понимать обстановку, в которой выполняются задачи по защите сети, как глобальную, так и на детальном уровне. Значительная часть работы SOC заключается в том, чтобы поддерживать и обеспечивать информированность клиентов о состоянии их защищенности. Это понимание называется ситуационной осведомленностью (SA).

Наиболее общепринятое определение ситуационной осведомленности в широком смысле приведено в Endsley [47]:

Ситуационная осведомленность — это восприятие элементов окружающей среды в определенный момент времени и точке пространства, понимание их смысла и прогнозирование их статуса в ближайшем будущем.

Понятие SA зародилось в авиации [47, с. 32-33] во второй половине 20-го века.

Подробнее

2.4 Возможности и сервисы SOC

SOC предоставляет набор услуг, удовлетворяя потребности клиентов в мониторинге и защите сетей. В [8] составлен базовый список услуг SOC, однако с момента его публикации в 2003 году SOC стали более зрелыми и адаптировались к возросшим требованиям клиентов, изменившемуся ландшафту угроз и более совершенным инструментам, в результате чего процесс обеспечения защиты сетей перешел на новый уровень. Мы хотим перечислить полный спектр возможностей SOC, независимо от того, нужна ли конкретная функция его потребителям, самому SOC или и тем, и другим. В этой книге все услуги SOC собраны в полный список возможностей SOC.

В Таблице 1 представлен исчерпывающий список возможностей SOC.

Подробнее

2.3 Характеристики

Поскольку SOC могут значительно отличаться по размеру и структуре, нужно определить ключевые характеристики для описания этих различий. Прежде чем подробно описывать различные возможности SOC, начнем с трех его характеристик:

  1. Отношения с потребителями услуг SOC с организационной точки зрения.
  2. Распределение ресурсов, которые составляют SOC (например, его организационная модель).
  3. Полномочия, которыми он обладает в отношении потребителей своих услуг.

Наши рассуждения опираются на материалы из Carnegie Mellon CERT [4] [8], все обновления или концептуальные изменения будут указаны отдельно. Эти характеристики будут использоваться далее в оставшейся части книги.

2.3.1 Положение потребителей услуг SOC

SOC являются либо частью организации, которую они обслуживают, либо являются внешней по отношению к ней сущностью.

Подробнее

2.2 Задачи и темп действий

SOC могут варьироваться от небольших команд в пять человек до огромных национальных координационных центров. Типичная задача SOC среднего уровня обычно включает следующие элементы:

  1. Предотвращение инцидентов кибербезопасности:
    1. Непрерывный анализ угроз;
    2. Сканирование сетей и узлов для поиска уязвимостей;
    3. Координация развертывания противодействия;
    4. Консалтинг в области политики безопасности и архитектуры.
  2. Мониторинг, обнаружение и анализ потенциальных вторжений в режиме реального времени и через отслеживание трендов из значимых источников данных в области безопасности.
  3. Реагирование на подтвержденные инциденты путем координации ресурсов и контроля за использованием своевременных и соответствующих ситуации защитных мер.

Подробнее

2.1 Что такое SOC? (перевод гайда MITRE)

2. Основы

В этом разделе мы рассмотрим основные понятия SOC: что такое SOC, его основные задачи, инструменты, которые он использует для их выполнения, а также ключевые факторы, влияющие на достижение его целей. Большая часть материала описана в последующих разделах.

Даже если вы уже имеете опыт участия в процессе реагирования на инциденты или обеспечения безопасности, вам может быть полезно прочитать этот раздел, поскольку в нем уточняется ключевая терминология и факторы, используемые в книге.

2.1 Что такое SOC?

SOC определяется прежде всего через свою основную задачу — защиту компьютерных сетей (computer network defense, CND).

Подробнее