10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов 4.1.2 и 4.3.3 покажем, как грамотно обеспечить персоналом каждое подразделение SOC.

7.2.1 Общие соображения

Доступные ресурсы по вопросу подбора персонала для SOC чаще всего предлагают наиболее распространенные модели, где используются простые соотношения: либо количество аналитиков к количеству контролируемых устройств, либо количество аналитиков к количеству клиентов [93].

Подробнее

Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Люди — наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных.

В результате справедливо следующее важное заключение:

Качество аналитиков гораздо важнее, чем их количество.

Более того, несмотря на то, что аналитиков можно обучить базовым навыкам работы с инструментами, им нельзя привить определенный склад ума или навыки критического мышления, которые требуются для овладения инструментом.

Подробнее

Стратегия 4: Выполнять меньше, да лучше

Для работы SOC требуется всего несколько предпосылок:

  1. прием сообщений об инцидентах от заказчика;
  2. помощь заказчику в реагировании на инциденты;
  3. сообщение обратных данных по этим инцидентам.

Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша основная задача – ограничить простор деятельности, чтобы качественно выполнять меньший объем, а не распыляться на множество задач с неприемлемым результатом. Исходя из этого, мы хотим

  1. аккуратно управлять ожиданиями руководства и представителей заказчика,
  2. нарабатывать доверие и уважение со стороны заказчика, выполняя работу по инцидентам аккуратно и профессионально,
  3. избегать перерасходования ограниченных ресурсов SOC,
  4. браться за дополнительные роли или задачи только в том случае, когда это позволяют ресурсы, уровень зрелости и ключевая миссия.

Подробнее

Стратегия 3. Предоставление SOC полномочий для работы

SOC должен выполнять свою миссию в отношении ИТ-активов своих заказчиков, которые почти всегда принадлежат кому-то другому. И хотя SOC обычно является частью организации, которую обслуживает, приоритетное управление и эксплуатация хостов и сетей возлагается на другое подразделение, с которым SOC должен взаимодействовать. В результате, возможность SOC осуществлять свои полномочия должна быть либо закреплена в письменной форме, либо унаследована SOC от головной организации. В нашей третьей стратегии мы рассмотрим оба эти вопроса:

  1. Какие полномочия нужны SOC?
  2. Какая организационная структура наилучшим образом поможет выполнению миссии по защите сетей?

5.1 Письменные полномочия

Каждый SOC существует, опираясь на некую политику в письменном виде, которая предоставляет ему полномочия для работы, использования ресурсов и внесения изменений.

Подробнее

Стратегия 2. Найти баланс между размером и гибкостью. Часть 2.

4.3 Синхронизация операций по защите сетей между площадками и подразделениями

В зависимости от ряда факторов, физическое расположение SOC может как благоприятно, так и неблагоприятно сказываться на его деятельности. В разделе 4.1.1 мы говорили о поиске баланса между размером SOC и необходимостью сохранять близость к конечным активам и миссии. В результате может потребоваться размещение персонала SOC на нескольких площадках, как в распределенных или многоуровневых организационных моделях. В этом разделе мы рассмотрим следующие взаимосвязанные вопросы:

  • Где SOC должен быть физически расположен?
  • Как организовать ресурсы SOC, распределенные между несколькими площадками?
  • Как распределить обязанности между центральным координационным SOC и подчиненными SOC в рамках одной крупной организации?

Подробнее