10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 4: Выполнять меньше, да лучше

Для работы SOC требуется всего несколько предпосылок:

  1. прием сообщений об инцидентах от заказчика;
  2. помощь заказчику в реагировании на инциденты;
  3. сообщение обратных данных по этим инцидентам.

Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша основная задача – ограничить простор деятельности, чтобы качественно выполнять меньший объем, а не распыляться на множество задач с неприемлемым результатом. Исходя из этого, мы хотим

  1. аккуратно управлять ожиданиями руководства и представителей заказчика,
  2. нарабатывать доверие и уважение со стороны заказчика, выполняя работу по инцидентам аккуратно и профессионально,
  3. избегать перерасходования ограниченных ресурсов SOC,
  4. браться за дополнительные роли или задачи только в том случае, когда это позволяют ресурсы, уровень зрелости и ключевая миссия.

Подробнее

Стратегия 3. Предоставление SOC полномочий для работы

SOC должен выполнять свою миссию в отношении ИТ-активов своих заказчиков, которые почти всегда принадлежат кому-то другому. И хотя SOC обычно является частью организации, которую обслуживает, приоритетное управление и эксплуатация хостов и сетей возлагается на другое подразделение, с которым SOC должен взаимодействовать. В результате, возможность SOC осуществлять свои полномочия должна быть либо закреплена в письменной форме, либо унаследована SOC от головной организации. В нашей третьей стратегии мы рассмотрим оба эти вопроса:

  1. Какие полномочия нужны SOC?
  2. Какая организационная структура наилучшим образом поможет выполнению миссии по защите сетей?

5.1 Письменные полномочия

Каждый SOC существует, опираясь на некую политику в письменном виде, которая предоставляет ему полномочия для работы, использования ресурсов и внесения изменений.

Подробнее

Стратегия 2. Найти баланс между размером и гибкостью. Часть 2.

4.3 Синхронизация операций по защите сетей между площадками и подразделениями

В зависимости от ряда факторов, физическое расположение SOC может как благоприятно, так и неблагоприятно сказываться на его деятельности. В разделе 4.1.1 мы говорили о поиске баланса между размером SOC и необходимостью сохранять близость к конечным активам и миссии. В результате может потребоваться размещение персонала SOC на нескольких площадках, как в распределенных или многоуровневых организационных моделях. В этом разделе мы рассмотрим следующие взаимосвязанные вопросы:

  • Где SOC должен быть физически расположен?
  • Как организовать ресурсы SOC, распределенные между несколькими площадками?
  • Как распределить обязанности между центральным координационным SOC и подчиненными SOC в рамках одной крупной организации?

Подробнее

Стратегия 2: Найти баланс между размером и гибкостью. Часть 1.

Клиенты SOC разнообразны по своему размеру, специфике бизнеса и географическому положению. Структура SOC должна соответствовать структуре своих клиентов, при этом  важно сбалансировать следующие потребности:

  1. Необходимость иметь сплоченную команду специалистов по защите компьютерных сетей.
  2. Необходимость поддерживать логическую, физическую или организационную близость к контролируемым активам.
  3. Ограничения в бюджете и полномочиях клиента SOC.

Вторая стратегия позволяет найти баланс между этими потребностями. Для этого мы должны будем дать ответы на три взаимосвязанных вопроса:

  1. Какая организационная модель SOC является наиболее подходящей.
  2. Как распределить функции SOC между отделами с линейным управлением и командной структурой.

Подробнее

Стратегия 1: Консолидировать защиту сетей в рамках одной организационной структуры

Первая стратегия наиболее очевидна, но она реже всего используется: консолидировать функции по защите компьютерных сетей (CND) в рамках одной организационной структуры, для которой это будет единственная задача. Как обсуждалось в Разделе 2.8, SOC должны быть способны реагировать со скоростью, соответствующей действиям противника. Элементы CND должны быть тесно взаимосвязаны. Возложение задачи по обеспечению защиты сетей на одну структуру позволяет добиться следующего:

  • Операции синхронизируются между элементами CND.
  • Задачи по обнаружению и реагированию выполняются продуктивно без ущерба для точности, эффективности или релевантности.
  • Ресурсы на обеспечение защиты сетей можно задействовать максимально полно.
  • Данные, составляющие ситуационную осведомленность, и данные об инцидентах поступают операторам защиты сетей и на инструменты в замкнутом цикле.

Подробнее