Categories: 10 стратегий первоклассного SOC

Стратегия 6. Часть 5. Мониторинг и защита узлов. Практика и рекомендации

Раздел: Blog

Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее: Мониторинг и защита на базе хоста – не панацея Некоторые SOC для […]

Стратегия 6. Часть 4. Мониторинг и защита узлов

Раздел: Blog

8.3 Мониторинг и защита узлов У сетевых датчиков множество достоинств – один датчик может дать информацию о ситуации и сообщить о потенциальных инцидентах в тысячах систем. Но они дают информацию только на уровне сетевого трафика. Чтобы расширить обзор и охват, полезно оборудовать конечные узлы различными инструментами обнаружения и блокировки. Данные, предполагающие, подтверждающие и уточняющие присутствие […]

Стратегия 6. Часть 3. Анализ трафика, данные и метаданные.

Раздел: Blog

8.2.3 Данные NetFlow IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан […]

Стратегия 6. Часть 2. Мониторинг сетей

Раздел: Blog

8.2 Мониторинг сетей В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента: Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той […]

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Раздел: Blog

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что […]

Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Раздел: Blog

Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает. Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте […]

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Раздел: Blog

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов […]

Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Раздел: Blog

Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных. В результате справедливо […]

Стратегия 4: Выполнять меньше, да лучше

Раздел: Blog

Для работы SOC требуется всего несколько предпосылок: прием сообщений об инцидентах от заказчика; помощь заказчику в реагировании на инциденты; сообщение обратных данных по этим инцидентам. Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша […]

Стратегия 3. Предоставление SOC полномочий для работы

Раздел: Blog

SOC должен выполнять свою миссию в отношении ИТ-активов своих заказчиков, которые почти всегда принадлежат кому-то другому. И хотя SOC обычно является частью организации, которую обслуживает, приоритетное управление и эксплуатация хостов и сетей возлагается на другое подразделение, с которым SOC должен взаимодействовать. В результате, возможность SOC осуществлять свои полномочия должна быть либо закреплена в письменной форме, […]