SOC должен выполнять свою миссию в отношении ИТ-активов своих заказчиков, которые почти всегда принадлежат кому-то другому. И хотя SOC обычно является частью организации, которую обслуживает, приоритетное управление и эксплуатация хостов и сетей возлагается на другое подразделение, с которым SOC должен взаимодействовать. В результате, возможность SOC осуществлять свои полномочия должна быть либо закреплена в письменной форме, […]
4.3 Синхронизация операций по защите сетей между площадками и подразделениями В зависимости от ряда факторов, физическое расположение SOC может как благоприятно, так и неблагоприятно сказываться на его деятельности. В разделе 4.1.1 мы говорили о поиске баланса между размером SOC и необходимостью сохранять близость к конечным активам и миссии. В результате может потребоваться размещение персонала SOC на нескольких площадках, […]
Клиенты SOC разнообразны по своему размеру, специфике бизнеса и географическому положению. Структура SOC должна соответствовать структуре своих клиентов, при этом важно сбалансировать следующие потребности: Необходимость иметь сплоченную команду специалистов по защите компьютерных сетей. Необходимость поддерживать логическую, физическую или организационную близость к контролируемым активам. Ограничения в бюджете и полномочиях клиента SOC. Вторая стратегия позволяет найти баланс […]
Первая стратегия наиболее очевидна, но она реже всего используется: консолидировать функции по защите компьютерных сетей (CND) в рамках одной организационной структуры, для которой это будет единственная задача. Как обсуждалось в Разделе 2.8, SOC должны быть способны реагировать со скоростью, соответствующей действиям противника. Элементы CND должны быть тесно взаимосвязаны. Возложение задачи по обеспечению защиты сетей на одну структуру позволяет добиться следующего: […]
Если у SOC и есть злейший враг, то можно сказать, что это APT-атаки (Advanced Persistent Threat – целевая кибератака). Противник стремительно действует, мгновенно реагирует и быстро меняет стратегию – этапы его версии цикла принятия решений (OODA) активно сменяют друг друга. Насколько оперативно крупные организации, например, правительственные органы или компании из списка Fortune 500, действуют в киберпространстве? Обычно не за секунды. Зачастую SOC нужно потратить все свои усилия только […]
Успех или провал в обеспечении защиты сетей зависит от способности аналитиков SOC собрать и понять нужные данные в нужное время в нужном контексте. Практически каждый зрелый SOC использует набор технологий для создания, сбора, анализа, хранения и представления огромного количества данных для своей команды. На рисунке 4 изображена высокоуровневая архитектура используемых в SOC инструментов и технологий. […]
Задача номер один для SOC – поиск инцидентов безопасности и реагирование на них. Сообщения о потенциальных инцидентах или наводки могут поступать из разных источников, в том числе от: Клиентов с обычным непривилегированным доступом к системе; Системных администраторов и администраторов сетей клиента; Служб технической поддержки клиента; От менеджеров и руководителей систем информационной безопасности клиента – ISSO […]
Для эффективной работы специалистам команды SOC необходимо понимать обстановку, в которой выполняются задачи по защите сети, как глобальную, так и на детальном уровне. Значительная часть работы SOC заключается в том, чтобы поддерживать и обеспечивать информированность клиентов о состоянии их защищенности. Это понимание называется ситуационной осведомленностью (SA). Наиболее общепринятое определение ситуационной осведомленности в широком смысле приведено […]
SOC предоставляет набор услуг, удовлетворяя потребности клиентов в мониторинге и защите сетей. В [8] составлен базовый список услуг SOC, однако с момента его публикации в 2003 году SOC стали более зрелыми и адаптировались к возросшим требованиям клиентов, изменившемуся ландшафту угроз и более совершенным инструментам, в результате чего процесс обеспечения защиты сетей перешел на новый уровень. […]
Поскольку SOC могут значительно отличаться по размеру и структуре, нужно определить ключевые характеристики для описания этих различий. Прежде чем подробно описывать различные возможности SOC, начнем с трех его характеристик: Отношения с потребителями услуг SOC с организационной точки зрения. Распределение ресурсов, которые составляют SOC (например, его организационная модель). Полномочия, которыми он обладает в отношении потребителей своих услуг. Наши рассуждения опираются на материалы из Carnegie Mellon CERT […]