6 советов по усовершенствованию SOC-центра

Данная статья рассматривает способы более эффективной организации, управления и обслуживания центров управления безопасностью (Security Opertions Center — SOC).

SOC — это не настолько распространенная и отлаженная система, как можно подумать.

Исследование компании Gartner показало, что к 2019 году только 50% крупных и средних компаний будут использовать SOC-центры в основе Корпоративной безопасности, учитывая, что в 2015 году их уже было 15%.

Поскольку только половина компаний к концу десятилетия будут использовать SOC-центры, получается, что подавляющее большинство организаций либо только начинают внедрять SOC, либо еще в процессе его отладки.

«Мы обнаружили, что наши клиенты спрашивают нас, как они могут более эффективно управлять своими SOC-центрами, при этом сокращая персонал”, — говорит Керри Матре (Kerry Matre), старший менеджер отдела маркетинга решений безопасности компании Hewlett Packard.

В качестве ответа HPE разработало руководство по интеллектуальному подходу к безопасности (Intelligent security operations: A staffing guide ) – 20-страничный буклет, который излагает подходы к управлению, персоналу и техническим мерам, которые необходимо предпринять в компании для эффективной работы SOC-центра.

«Учитывая нехватку квалифицированных кадров в области информационной безопасности, автоматизация играет важную роль в организации SOC», — отмечает Шарон Розенман, вице-президент по маркетингу израильской компании Cyberbit.

Ниже представлены 6 способов для более эффективной организации SOC-центра:

Нанять правильного менеджера SOC-центра. Менеджер должен быть подходящим, иначе все остальное не будет иметь смысла. Найдите того, кто уже эффективно работал с SOC-центром и понимает лучшие практики и процедуры при работе с ним. Не ожидайте хорошего результата от сетевых администраторов или IT-специалистов на этой должности. А также не нанимайте просто хорошего менеджера. Роль менеджера SOC-центра очень специфична.

Гибкое управление штатом. На некоторых SOC-центрах работают только по 3 человека. Но если компания планирует переходить на новый уровень обеспечения безопасности или должна выполнять требования регуляторов, то имеет смысл привлечь консультантов или специалистов по контракту на первое время. Затем можно снова вернуться к изначальному штатному составу, когда SOC-центр будет работать уже стабильно.

Быть открытым для новых идей. В сфере информационной безопасности постоянно происходят изменения. Каждый день выявляются новые угрозы и новые способы по борьбе с этими угрозами. Необходимо иметь возможность приглашать не менее одного нового сотрудника каждый год. А если такой возможности нет, то приглашать консультантов или отправлять ключевых специалистов на конференции и тренинги, чтобы они всегда были в курсе последних исследований и методов противодействий.

Использовать автоматизацию там, где в ней есть смысл. Шарон Розенман отмечает, что механизмы управления безопасностью могут помочь более эффективно анализировать информацию с межсетевых экранов, систем обнаружения вторжений (IDS), систем предотвращения утечек (DLP), а также систем искусственного интеллекта. Также они могут помочь персоналу SOC-центра автоматизировать рабочие процессы и наладить более эффективное взаимодействие с руководством бизнеса. Однако Керри Матре предупреждает, что не стоит слишком надеяться на автоматизацию. В то время как автоматизированные средства могут генерировать списки задач для соответствия требованиям регуляторов (HIPAA или PCI), компаниям необходимо иметь достаточно людей для выполнения восстановительных работ.

Нанять людей с разнообразным опытом. Можно считать этот пункт продолжением четвертого. Лучшие SOC-центры включают персонал с различной специализацией. Постарайтесь набрать в команду специалистов по сетям и защите приложений, бывших военных и государственных служащих, риск-менеджеров и аудиторов безопасности. Например, если заражается компьютер вице-президента или бухгалтера, то риск-менеджер обязан объяснить владельцу компьютера, какие могут быть последствия, если продолжить на нем работать хотя бы еще пару часов вместо того, чтобы очистить его немедленно. Керри Матре напоминает, что все-таки люди должны принимать такие решения.

Правильно управлять конфигурацией. Компании всегда ищут способы сделать SOC-центр экономически эффективным, насколько это возможно. Автоматизация помогает, но 90 % событий безопасности может быть предотвращено, если политики безопасности правильно настроены. Регулярная установка патчей и обновлений позволит снизить количество угроз, что в свою очередь позволит компаниям сократить персонал.

Об авторе: Steve Zurier имеет более чем 30-летний опыт журналистики и издательской деятельности, из которых последние 24 года он посвятил сетям и технологиям безопасности. Стив живет в Колумбии, штат Мэриленд.

Поделиться записью:
Scroll Up