10 стратегий первоклассного SOC (перевод гайда MITRE)

2.8 Маневренность

Если у SOC и есть злейший враг, то можно сказать, что это APT-атаки (Advanced Persistent Threat — целевая кибератака). Противник стремительно действует, мгновенно реагирует и быстро меняет стратегию — этапы его версии цикла принятия решений (OODA) активно сменяют друг друга. Насколько оперативно крупные организации, например, правительственные органы или компании из списка Fortune 500, действуют в киберпространстве? Обычно не за секунды. Зачастую SOC нужно потратить все свои усилия только на то, чтобы поддерживать хотя бы тот же темп действий, что и противник, что осложняется постоянными изменениями внутри компании, которую он обслуживает. А чтобы превзойти возможности киберпреступника, SOC должен приложить еще больше усилий.

Подробнее

2.7. Инструменты и качество данных

Успех или провал в обеспечении защиты сетей зависит от способности аналитиков SOC собрать и понять нужные данные в нужное время в нужном контексте. Практически каждый зрелый SOC использует набор технологий для создания, сбора, анализа, хранения и представления огромного количества данных для своей команды. На рисунке 4 изображена высокоуровневая архитектура используемых в SOC инструментов и технологий.

SOC может размещать инструменты мониторинга в различных точках клиентских систем для поиска злонамеренной или аномальной активности на каждом этапе жизненного цикла кибератаки. Так, например, особый интерес для аналитиков SOC могут представлять ключевые хосты и «узкие места» сетей. Каждый инструмент генерирует серию событий и контекстных данных, которые после изучения могут служить доказательством инцидента.

Подробнее

2.6. Наводки об инцидентах

Задача номер один для SOC — поиск инцидентов безопасности и реагирование на них. Сообщения о потенциальных инцидентах или наводки могут поступать из разных источников, в том числе от:

  • Клиентов с обычным непривилегированным доступом к системе;
  • Системных администраторов и администраторов сетей клиента;
  • Служб технической поддержки клиента;
  • От менеджеров и руководителей систем информационной безопасности клиента — ISSO (Information Systems Security Officer) и ISSM (Information System Security Manager);
  • Юрисконсультов или аудиторов;
  • Других SOC (того же уровня или подчиненных, координирующих или национальных);
  • Правоохранительных органов или других следственных подразделений;
  • Других организаций, так или иначе причастных к инциденту;

Подробнее

2.5 Ситуационная осведомленность

Для эффективной работы специалистам команды SOC необходимо понимать обстановку, в которой выполняются задачи по защите сети, как глобальную, так и на детальном уровне. Значительная часть работы SOC заключается в том, чтобы поддерживать и обеспечивать информированность клиентов о состоянии их защищенности. Это понимание называется ситуационной осведомленностью (SA).

Наиболее общепринятое определение ситуационной осведомленности в широком смысле приведено в Endsley [47]:

Ситуационная осведомленность — это восприятие элементов окружающей среды в определенный момент времени и точке пространства, понимание их смысла и прогнозирование их статуса в ближайшем будущем.

Понятие SA зародилось в авиации [47, с. 32-33] во второй половине 20-го века.

Подробнее

2.4 Возможности и сервисы SOC

SOC предоставляет набор услуг, удовлетворяя потребности клиентов в мониторинге и защите сетей. В [8] составлен базовый список услуг SOC, однако с момента его публикации в 2003 году SOC стали более зрелыми и адаптировались к возросшим требованиям клиентов, изменившемуся ландшафту угроз и более совершенным инструментам, в результате чего процесс обеспечения защиты сетей перешел на новый уровень. Мы хотим перечислить полный спектр возможностей SOC, независимо от того, нужна ли конкретная функция его потребителям, самому SOC или и тем, и другим. В этой книге все услуги SOC собраны в полный список возможностей SOC.

В Таблице 1 представлен исчерпывающий список возможностей SOC.

Подробнее