10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что делает защиту сети гораздо более дорогостоящей, чем ранее. Нет ни одного инструмента, который делал бы все. Каждый имеет свои ограничения, и при этом должен взаимодействовать с другими инструментами в сложной архитектуре, поддерживающей комплексный мониторинг и расширенную аналитику.

Далее речь пойдет об инструментах, которые должны быть знакомы даже специалистам с небольшим опытом в защите сетей.

More

Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает.

Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте работы. Вот три, наиболее распространенных из них:

  1. Ощущение себя частью сплоченной команды высококвалифицированных мотивированных профессионалов.
  2. Работа с новыми и интересными задачами каждый день.
  3. Вера в миссию сетевой безопасности – как в ее важность, так и в уникальность.

More

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов 4.1.2 и 4.3.3 покажем, как грамотно обеспечить персоналом каждое подразделение SOC.

7.2.1 Общие соображения

Доступные ресурсы по вопросу подбора персонала для SOC чаще всего предлагают наиболее распространенные модели, где используются простые соотношения: либо количество аналитиков к количеству контролируемых устройств, либо количество аналитиков к количеству клиентов [93].

More

Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных.

В результате справедливо следующее важное заключение:

Качество аналитиков гораздо важнее, чем их количество.

Более того, несмотря на то, что аналитиков можно обучить базовым навыкам работы с инструментами, им нельзя привить определенный склад ума или навыки критического мышления, которые требуются для овладения инструментом.

More

Стратегия 4: Выполнять меньше, да лучше

Для работы SOC требуется всего несколько предпосылок:

  1. прием сообщений об инцидентах от заказчика;
  2. помощь заказчику в реагировании на инциденты;
  3. сообщение обратных данных по этим инцидентам.

Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша основная задача – ограничить простор деятельности, чтобы качественно выполнять меньший объем, а не распыляться на множество задач с неприемлемым результатом. Исходя из этого, мы хотим

  1. аккуратно управлять ожиданиями руководства и представителей заказчика,
  2. нарабатывать доверие и уважение со стороны заказчика, выполняя работу по инцидентам аккуратно и профессионально,
  3. избегать перерасходования ограниченных ресурсов SOC,
  4. браться за дополнительные роли или задачи только в том случае, когда это позволяют ресурсы, уровень зрелости и ключевая миссия.

More