Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что […]
Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает. Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте […]
Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов […]
Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных. В результате справедливо […]
Для работы SOC требуется всего несколько предпосылок: прием сообщений об инцидентах от заказчика; помощь заказчику в реагировании на инциденты; сообщение обратных данных по этим инцидентам. Все это представляет собой лишь часть потенциальных обязанностей SOC. Вопрос в том, какие еще функции SOC должен обеспечивать. В нашей 4-й стратегии мы разберем какие возможности может предоставлять SOC. Наша […]
SOC должен выполнять свою миссию в отношении ИТ-активов своих заказчиков, которые почти всегда принадлежат кому-то другому. И хотя SOC обычно является частью организации, которую обслуживает, приоритетное управление и эксплуатация хостов и сетей возлагается на другое подразделение, с которым SOC должен взаимодействовать. В результате, возможность SOC осуществлять свои полномочия должна быть либо закреплена в письменной форме, […]
4.3 Синхронизация операций по защите сетей между площадками и подразделениями В зависимости от ряда факторов, физическое расположение SOC может как благоприятно, так и неблагоприятно сказываться на его деятельности. В разделе 4.1.1 мы говорили о поиске баланса между размером SOC и необходимостью сохранять близость к конечным активам и миссии. В результате может потребоваться размещение персонала SOC на нескольких площадках, […]
Клиенты SOC разнообразны по своему размеру, специфике бизнеса и географическому положению. Структура SOC должна соответствовать структуре своих клиентов, при этом важно сбалансировать следующие потребности: Необходимость иметь сплоченную команду специалистов по защите компьютерных сетей. Необходимость поддерживать логическую, физическую или организационную близость к контролируемым активам. Ограничения в бюджете и полномочиях клиента SOC. Вторая стратегия позволяет найти баланс […]
Первая стратегия наиболее очевидна, но она реже всего используется: консолидировать функции по защите компьютерных сетей (CND) в рамках одной организационной структуры, для которой это будет единственная задача. Как обсуждалось в Разделе 2.8, SOC должны быть способны реагировать со скоростью, соответствующей действиям противника. Элементы CND должны быть тесно взаимосвязаны. Возложение задачи по обеспечению защиты сетей на одну структуру позволяет добиться следующего: […]
Если у SOC и есть злейший враг, то можно сказать, что это APT-атаки (Advanced Persistent Threat – целевая кибератака). Противник стремительно действует, мгновенно реагирует и быстро меняет стратегию – этапы его версии цикла принятия решений (OODA) активно сменяют друг друга. Насколько оперативно крупные организации, например, правительственные органы или компании из списка Fortune 500, действуют в киберпространстве? Обычно не за секунды. Зачастую SOC нужно потратить все свои усилия только […]