
Как правильно определить размер и структуру команды SOC? Как привлечь и удержать грамотный персонал и развить его навыки? Какие следует внедрять технологии и процессы, чтобы обеспечить быстрое и динамичное реагирование? Как осуществить масштабный сбор данных и их анализ в условиях ограниченного бюджета? Где размещать сенсорные технологии и каким образом выбирать источники данных?
Ответы на эти и многие другие вопросы можно почерпнуть в руководстве MITRE “Ten Strategies of a World-Class Cybersecurity Operations Center” (автор Carson Zimmerman) – одном из лучших гайдов по построению SOC. В книге собраны лучшие практики и советы, которые были выработаны корпорацией MITRE в ходе построения ряда крупных государственных SOC в США. В каждой главе автор также дает множество ссылок на другие полезные и уточняющие материалы по этой теме.
Так вышло, что книга до сих пор не переведена на русский язык. Мы решили это исправить и начали работу по ее переводу и публикации. Оригинал руководства доступен на сайте MITRE. Начиная с сегодняшнего дня, мы будем примерно раз в 2 недели публиковать переведенные разделы. Итак, стартуем с вводной главы!
10 стратегий первоклассного SOC (гайд MITRE)
Краткое содержание.
Современный центр мониторинга и реагирования на инциденты (Cybersecurity operations center, CSOC) должен включать в себя все элементы, необходимые для обеспечения полноценной защиты предприятия в условиях постоянно развивающихся ИТ-технологий. Сюда входит обширный набор передовых методов обнаружения и предупреждения киберугроз, инструменты формирования отчетности и доступ к быстро растущей базе талантливых ИТ-специалистов. Тем не менее, большинство центров обеспечения кибербезопасности по-прежнему не справляются с обороной организации, не отражая атаки даже злоумышленников с низким потенциалом.
Ситуация явно действует не в пользу защитников. В то время как злоумышленнику достаточно найти всего один путь проникновения в систему, отдел безопасности должен обеспечивать защиту сразу всех каналов, ограничивать и оценивать потенциальный ущерб, а также отслеживать и пресекать присутствие киберпреступника в корпоративных системах. Эксперты по кибербезопасности все чаще признают, что при наличии определённых средств и навыков противники способны долгое время действовать в системе незамеченными, а у организаций всё ещё нет достаточных ресурсов для противодействия этому. Но в большинстве случаев мы сами являемся своими злейшими врагами. Многие CSOC расходуют больше сил на решение политических и кадровых проблем, чем на обнаружение и реагирование на кибератаки. Слишком часто центры обеспечения кибербезопасности фокусируются на технологиях, не уделяя должного внимания людям и процессам. Основной посыл этой книги заключается в том, что сбалансированный подход способен обеспечить гораздо большую эффективность системы защиты.
В книге описываются десять принципов (или стратегий) эффективных CSOC, независимо от их размера, доступных возможностей или типа обслуживаемых клиентов.
В Руководстве будут рассмотрены следующие стратегии:
- Объединить в рамках CSOC функции мониторинга, обнаружения инцидентов, реагирования и координации, а также построения, эксплуатации и технического обслуживания инструментов защиты компьютерной сети.
- Обеспечить баланс между размером и управляемостью, чтобы CSOC мог эффективно выполнять свои задачи.
- Предоставить CSOC полномочия для выполнения своих задач за счет его эффективного встраивания в структуру организации и соответствующих политик и процедур.
- Сосредоточиться на нескольких направлениях деятельности, которые успешно реализуются с помощью CSOC, и избегать тех, которые он не может или не должен осуществлять.
- Поощрять квалификацию, а не количество персонала, нанимая специалистов, которые увлечены своей работой, имеют оптимальное сочетание профессиональных и личных качеств и используют возможности для роста.
- Полностью реализовывать потенциал всех технологических решений за счет аккуратных вложений, осознания существующих ограничений и вариантов их компенсации для каждого инструмента.
- Соблюдать большую осторожность при размещении датчиков и сборе данных, максимизируя уровень сигнала и минимизируя шум.
- Тщательно защищать системы, инфраструктуру и данные CSOC, обеспечивая при этом прозрачную и эффективную связь с заинтересованными лицами.
- Быть грамотным потребителем и источником данных о киберугрозах, формируя и распространяя сводную информацию о киберугрозах, советы и данные по инцидентам другим CSOC.
- Реагировать на инциденты спокойно, расчетливо и профессионально.
В этой книге мы подробно описываем каждый принцип, включая то, как они увязывают между собой персонал, процессы и технологии. Мы детально изучаем конкретные проблемные области CSOC, начиная от того, сколько аналитиков необходимо для CSOC, и заканчивая вопросом, где размещать сенсорные технологии.
#MITRE10стратегийSOC