Гайд MITRE по стратегиям SOC в переводе от R-Vision

MITRE Guide 10 strategies of a world-class SOC

Как правильно определить размер и структуру команды SOC? Как привлечь и удержать грамотный персонал и развить его навыки? Какие следует внедрять технологии и процессы, чтобы обеспечить быстрое и динамичное реагирование? Как осуществить масштабный сбор данных и их анализ в условиях ограниченного бюджета? Где размещать сенсорные технологии и каким образом выбирать источники данных?

Ответы на эти и многие другие вопросы можно почерпнуть в руководстве MITRE “Ten Strategies of a World-Class Cybersecurity Operations Center” (автор Carson Zimmerman) – одном из лучших гайдов по построению SOC. В книге собраны лучшие практики и советы, которые были выработаны корпорацией MITRE в ходе построения ряда крупных государственных SOC в США. В каждой главе автор также дает множество ссылок на другие полезные и уточняющие материалы по этой теме.

Так вышло, что книга до сих пор не переведена на русский язык. Мы решили это исправить и начали работу по ее переводу и публикации. Оригинал руководства доступен на сайте MITRE. Начиная с сегодняшнего дня, мы будем примерно раз в 2 недели публиковать переведенные разделы. Итак, стартуем с вводной главы!

10 стратегий первоклассного SOC (гайд MITRE)

Краткое содержание.

Современный центр мониторинга и реагирования на инциденты (Cybersecurity operations center, CSOC) должен включать в себя все элементы, необходимые для обеспечения полноценной защиты предприятия в условиях постоянно развивающихся ИТ-технологий. Сюда входит обширный набор передовых методов обнаружения и предупреждения киберугроз, инструменты формирования отчетности и доступ к быстро растущей базе талантливых ИТ-специалистов. Тем не менее, большинство центров обеспечения кибербезопасности по-прежнему не справляются с обороной организации, не отражая атаки даже злоумышленников с низким потенциалом.

Ситуация явно действует не в пользу защитников. В то время как злоумышленнику достаточно найти всего один путь проникновения в систему, отдел безопасности должен обеспечивать защиту сразу всех каналов, ограничивать и оценивать потенциальный ущерб, а также отслеживать и пресекать присутствие киберпреступника в корпоративных системах. Эксперты по кибербезопасности все чаще признают, что при наличии определённых средств и навыков противники способны долгое время действовать в системе незамеченными, а у организаций всё ещё нет достаточных ресурсов для противодействия этому.  Но в большинстве случаев мы сами являемся своими злейшими врагами. Многие CSOC расходуют больше сил на решение политических и кадровых проблем, чем на обнаружение и реагирование на кибератаки. Слишком часто центры обеспечения кибербезопасности фокусируются на технологиях, не уделяя должного внимания людям и процессам. Основной посыл этой книги заключается в том, что сбалансированный подход способен обеспечить гораздо большую эффективность системы защиты.

В книге описываются десять принципов (или стратегий) эффективных CSOC, независимо от их размера, доступных возможностей или типа обслуживаемых клиентов.

В Руководстве будут рассмотрены следующие стратегии:

  1. Объединить в рамках CSOC функции мониторинга, обнаружения инцидентов, реагирования и координации, а также построения, эксплуатации и технического обслуживания инструментов защиты компьютерной сети.
  2. Обеспечить баланс между размером и управляемостью, чтобы CSOC мог эффективно выполнять свои задачи.
  3. Предоставить CSOC полномочия для выполнения своих задач за счет его эффективного встраивания в структуру организации и соответствующих политик и процедур.
  4. Сосредоточиться на нескольких направлениях деятельности, которые успешно реализуются с помощью CSOC, и избегать тех, которые он не может или не должен осуществлять.
  5. Поощрять квалификацию, а не количество персонала, нанимая специалистов, которые увлечены своей работой, имеют оптимальное сочетание профессиональных и личных качеств и используют возможности для роста.
  6. Полностью реализовывать потенциал всех технологических решений за счет аккуратных вложений, осознания существующих ограничений и вариантов их компенсации для каждого инструмента.
  7. Соблюдать большую осторожность при размещении датчиков и сборе данных, максимизируя уровень сигнала и минимизируя шум.
  8. Тщательно защищать системы, инфраструктуру и данные CSOC, обеспечивая при этом прозрачную и эффективную связь с заинтересованными лицами.
  9. Быть грамотным потребителем и источником данных о киберугрозах, формируя и распространяя сводную информацию о киберугрозах, советы и данные по инцидентам другим CSOC.
  10. Реагировать на инциденты спокойно, расчетливо и профессионально.

В этой книге мы подробно описываем каждый принцип, включая то, как они увязывают между собой персонал, процессы и технологии. Мы детально изучаем конкретные проблемные области CSOC, начиная от того, сколько аналитиков необходимо для CSOC, и заканчивая вопросом, где размещать сенсорные технологии.

#MITRE10стратегийSOC

Поделиться записью: