10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 6. Часть 2. Мониторинг сетей

8.2 Мониторинг сетей

В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента:

  1. Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той сигнатуры или поведения, которое сработало (например, синтаксис сигнатуры).
  2. Данные NetFlow, отражающие сводку по взаимодействиям узлов, перечисленных в срабатывании, за несколько дней или недель до и после срабатывания.
  3. Захват пакетов, которые спровоцировали срабатывание, желательно полной сессии в формате libpcap (PCAP).

More

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что делает защиту сети гораздо более дорогостоящей, чем ранее. Нет ни одного инструмента, который делал бы все. Каждый имеет свои ограничения, и при этом должен взаимодействовать с другими инструментами в сложной архитектуре, поддерживающей комплексный мониторинг и расширенную аналитику.

Далее речь пойдет об инструментах, которые должны быть знакомы даже специалистам с небольшим опытом в защите сетей.

More

Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает.

Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте работы. Вот три, наиболее распространенных из них:

  1. Ощущение себя частью сплоченной команды высококвалифицированных мотивированных профессионалов.
  2. Работа с новыми и интересными задачами каждый день.
  3. Вера в миссию сетевой безопасности – как в ее важность, так и в уникальность.

More

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов 4.1.2 и 4.3.3 покажем, как грамотно обеспечить персоналом каждое подразделение SOC.

7.2.1 Общие соображения

Доступные ресурсы по вопросу подбора персонала для SOC чаще всего предлагают наиболее распространенные модели, где используются простые соотношения: либо количество аналитиков к количеству контролируемых устройств, либо количество аналитиков к количеству клиентов [93].

More

Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных.

В результате справедливо следующее важное заключение:

Качество аналитиков гораздо важнее, чем их количество.

Более того, несмотря на то, что аналитиков можно обучить базовым навыкам работы с инструментами, им нельзя привить определенный склад ума или навыки критического мышления, которые требуются для овладения инструментом.

More