SOC делува како центар или централно командно место, земајќи ја телеметријата од целата ИТ инфраструктура на организацијата. Ова ги вклучува неговите мрежи, уреди, наменски средства и информациските складишта, каде и да се наоѓаат. Пролиферацијата на напредните закани става предност на собирањето контекст од различни извори.
Во суштина, SOC е точка на корелација за секој настан регистриран во организацијата што се следи. За секој од овие настани, SOC мора да одлучи како да управува и да постапува по нив.
Улоги и одговорности на центарот за безбедносни операции
Функцијата на безбедносниот оперативен тим и, често, на SOC, е деноноќно да следи, открива, истражува и реагира на сајбер заканите. Тимовите за безбедносни операции се задолжени за следење и заштита на многу средства. Тие вклучуваат интелектуална сопственост, податоци за персоналот, деловни системи и интегритет на брендот.
Тимовите за безбедносни операции служат како компонента за имплементација на севкупната рамка за сајбер-безбедност на организацијата. Тие дејствуваат како централна точка на соработка во координираните напори за следење, оценување и одбрана од кибер напади.
SOC-ите обично имаат архитектура на центар и глас. Тие може да инкорпорираат различни системи, како што се:
- Решенија за проценка на ранливоста
- Системи за управување, ризик и усогласеност (GRC).
- Скенери за апликации и бази на податоци
- Системи за спречување на упад (IPS)
- Анализа на однесувањето на корисниците и ентитетите (UEBA)
- Откривање и санација на крајната точка (EDR)
- Платформи за разузнавање закани (TIP)
SOC обично има свој менаџер. Останатиот персонал може да вклучува одговорни за инциденти, аналитичари на SOC (нивоа 1, 2 и 3), ловци на закани и менаџери за одговор на инциденти. SOC известува до главниот службеник за безбедност на информации, кој пак известува или до главниот офицер за информации или директно до извршниот директор.
Еве 10 клучни обврски на SOC:
1. Прегледајте ги достапните ресурси
SOC управува со два вида средства. Прво се различните уреди, процеси и апликации за кои се задолжени да ги заштитат. Втори се одбранбените алатки што им се на располагање за да помогнат да се обезбеди оваа заштита.
-
- Што штити SOC
SOC не може да ги заштити уредите и податоците што не можат да ги видат. Недостатокот на видливост и контрола од уред до облак создава слепи точки во безбедносната положба на мрежата, кои злонамерните актери можат да ги најдат и искористат.
- Што штити SOC
За да се спротивстави на ваквите празнини, SOC се стреми да добие целосен поглед на пејзажот на заканата на организацијата. Ова ги вклучува не само различните типови на крајни точки, сервери и софтвер во просториите, туку и услуги од трета страна и сообраќајот што тече помеѓу овие средства.
- Како SOC заштитува
SOC исто така треба да има целосно разбирање за сите алатки за сајбер-безбедност при рака и за сите работни текови што се користат во рамките на SOC. Ова ја зголемува агилноста и му овозможува на SOC да работи на врвни нивоа на ефикасност.
2. Подготовка и превентивно одржување
Дури и најдобро опремените и најагилни процеси на одговор не се натпреваруваат за спречување на појава на проблеми на прво место. За да им помогне да ги оддалечат напаѓачите, SOC спроведува превентивни мерки, кои можат да се поделат во две главни категории.
-
- Членовите на подготвителниот
тим треба да останат информирани за најновите безбедносни иновации, најновите трендови во сајбер криминалот и развојот на нови закани на хоризонтот.
- Членовите на подготвителниот
Ова истражување може да помогне во креирањето на безбедносен патоказ кој ќе обезбеди насока за напорите на компанијата за сајбер-безбедност понатаму. Исто така, може да помогне во обликувањето на план за обновување од катастрофи што ќе послужи како подготвено водство во најлошото сценарио.
- Превентивно одржување
Овој чекор ги вклучува сите дејства преземени за да се отежнат успешните напади. Вклучува редовно одржување и ажурирање на постоечките системи; ажурирање на политиките за заштитен ѕид; поправање на ранливости; и листа на дозволи, одбивање на список и обезбедување на апликации.
3. Континуирано проактивно следење
Алатките што ги користи SOC ја скенираат мрежата 24/7 за да означат какви било абнормалности или сомнителни активности. Мониторингот на мрежата деноноќно му овозможува на SOC веднаш да биде известен за новите закани, давајќи им најдобра шанса да ја спречат или ублажат штетата.
Алатките за следење може да вклучуваат SIEM или EDR . Уште подобро би било SOAR или интегрирана безбедносна платформа .
Најнапредните платформи користат анализа на однесувањето за да ги „учат“ системите за разликата помеѓу редовните секојдневни операции и вистинското однесување на заканата. Оваа способност го минимизира обемот на тријажа и анализа што луѓето мора да ги направат.
4. Рангирање и управување со предупредувања
Кога алатките за мониторинг издаваат предупредувања, SOC мора внимателно да ги разгледа сите, да ги отфрли сите лажни позитиви и да утврди колку се агресивни сите реални закани и кон што би можеле да бидат насочени. Ова им овозможува соодветно да ги тријат новите закани, прво справувајќи се со најитните прашања.
5. Одговор на закани
Ова се акциите на повеќето луѓе кога мислат на SOC. Веднаш штом ќе се потврди инцидент, SOC дејствува како прв одговор.
Тимот на SOC ги исклучува или изолира крајните точки, ги прекинува штетните процеси (или го спречува нивното извршување), брише датотеки и друго. Целта е да се одговори до степенот што е неопходен, а притоа да има што е можно помало влијание врз континуитетот на бизнисот.
6. Обнова и санација
По инцидентот, SOC ќе работи на обновување на системите и враќање на сите изгубени или компромитирани податоци. Ова може да вклучува бришење и рестартирање на крајните точки, реконфигурирање на системи или, во случај на напади на откупни софтвери , распоредување остварливи резервни копии со цел да се заобиколи откупниот софтвер.
Кога ќе биде успешен, овој чекор ќе ја врати мрежата во состојбата во која беше пред инцидентот.
7. Управување со дневници
SOC е одговорен за собирање, одржување и редовно прегледување на дневникот за сите мрежни активности и комуникации за целата организација. Овие податоци помагаат да се дефинира основната линија за „нормална“ мрежна активност, може да открие постоење на закани и може да се користи за санација и форензика после инцидент.
Многу SOC користат SIEM за да ги соберат и корелираат доводите на податоци од апликациите, заштитните ѕидови, оперативните системи и крајните точки, од кои сите произведуваат свои внатрешни дневници.
8. Испитување на основната причина
После некој инцидент, SOC е одговорна да открие што точно се случило кога, како и зошто. За време на оваа истрага, SOC користи податоци од дневници и други информации за да го пронајде проблемот до неговиот извор, што ќе им помогне да спречат слични проблеми да се појават во иднина.
9. Усовршување и подобрување на безбедноста
Сајбер-криминалците постојано ги усовршуваат своите алатки и тактики. За да остане пред нив, SOC треба да спроведува подобрувања на континуирана основа.
За време на овој чекор, плановите наведени во безбедносната оживуваат. Оваа префинетост може да вклучува и практични практики како што се тимирање со црвено и виолетово.
10. Управување со усогласеност
Многу процеси на SOC се водени од воспоставените најдобри практики, но некои се регулирани со барањата за усогласеност. SOC е одговорен за редовна ревизија на нивните системи за да се обезбеди усогласеност со таквите прописи. Овие можат да бидат издадени од нивната организација, од нивната индустрија или од раководни тела.
Примери за овие регулативи вклучуваат GDPR, HIPAA и PCI DSS. Постапувањето во согласност со овие прописи помага да се заштитат чувствителните податоци што и се доверени на компанијата. Исто така, може да ја заштити организацијата од оштетување на репутацијата и правни предизвици кои произлегуваат од прекршување.
Оптимизирање на модел на безбедносни операции
Справувањето со инциденти монополизира голем дел од ресурсите на SOC. Сепак, CISO е исто така одговорен за поголемата слика за ризици и усогласеност .
За да се премостат оперативните и податочните силоси преку овие функции, ефикасна стратегија бара адаптивна безбедносна архитектура која им овозможува на организациите да воведат оптимизирани безбедносни операции.
Овој пристап ја зголемува ефикасноста преку интеграција, автоматизација и оркестрација. Исто така, го намалува обемот на потребните работни часови додека го подобрува вашето држење за управување со безбедноста на информациите.
Оптимизиран модел на безбедносни операции бара усвојување на безбедносна рамка што го олеснува интегрирањето на безбедносните решенија и разузнавачките информации за заканите во секојдневните процеси.
Алатките на SOC, како што се централизираните и активни контролни табли, помагаат да се интегрираат податоците за заканите во контролните табли и извештаите за следење на безбедноста. Ова ги одржува операциите и раководството информирани за настаните и активностите кои се развиваат.
Со поврзување на управувањето со заканите со други системи за управување со ризик и усогласеност, тимовите на SOC можат подобро да управуваат со целокупната положба на ризик. Ваквите конфигурации поддржуваат континуирана видливост низ системи и домени.
Тие, исто така, можат да користат разузнавачки информации што може да се преземат за да поттикнат подобра точност и конзистентност во безбедносните операции. Централизираните функции го намалуваат товарот на рачно споделување податоци, ревизија и известување.
