Kto potrzebuje centrum operacji bezpieczeństwa (SOC)?
Niezależnie od wielkości firmy i jej przeznaczenia, cenne jest posiadanie dedykowanego zespołu na poziomie organizacyjnym, którego zadaniem jest ciągłe monitorowanie operacji bezpieczeństwa i incydentów oraz reagowanie na wszelkie pojawiające się problemy. Różne obowiązki w zespole ds. cyberbezpieczeństwa mogą być niezwykle złożone, a SOC może służyć nie tylko jako taktyczna konsola, która umożliwia członkom zespołu wykonywanie codziennych zadań, ale także jako centrum strategiczne, które utrzymuje zespół w świadomości większych, długoterminowych trendów bezpieczeństwa.
Typowe centrum operacji bezpieczeństwa śledzi dowolną liczbę alarmów bezpieczeństwa, z którymi może zetknąć się organizacja, w tym powiadomienia o potencjalnych zagrożeniach za pośrednictwem technologii i narzędzi, a także pracowników, partnerów i źródeł zewnętrznych. Od tego momentu SOC bada i weryfikuje zgłoszone zagrożenie, aby upewnić się, że nie jest ono fałszywie pozytywne (tj. zgłoszone zagrożenie, które w rzeczywistości jest nieszkodliwe). Jeśli incydent bezpieczeństwa zostanie uznany za ważny i wymagający reakcji, SOC przekazuje go odpowiednim osobom lub zespołom w celu przeprowadzenia reakcji i odzyskania danych.
Do skutecznego prowadzenia centrum operacji bezpieczeństwa w ramach ogólnego programu wykrywania i reagowania na incydenty potrzeba zaawansowanej kombinacji wiedzy, procesów i organizacji. Z tego powodu każda organizacja może nie być w stanie wspierać lub utrzymywać SOC we własnym zakresie. Zamiast tego, wiele z nich decyduje się na zarządzanie SOC przez zewnętrzną agencję lub nawet całkowity outsourcing.
Przygotowanie gruntu
Istnieje szereg elementów wspierających, które muszą być na miejscu, zanim SOC stanie się realną opcją dla organizacji. Pierwszym z nich jest posiadanie dobrego programu zarządzania powierzchnią ataku. Obejmuje on technologię zapobiegania zagrożeniom dla wszystkich dróg wejścia i wyjścia, regularne skanowanie podatności (i związane z tym poprawki), testy penetracyjne, uwierzytelnianie i autoryzację użytkowników, zarządzanie aktywami, testowanie aplikacji zewnętrznych (wraz z powiązanymi poprawkami) oraz zarządzanie zdalnym dostępem.
Następnym elementem jest posiadanie planu reagowania na incydenty. Zazwyczaj jednym z głównych celów wprowadzenia SOC do programu IDR jest zwiększenie skuteczności wykrywania zagrożeń w środowisku organizacji. Jeśli procesy reagowania na incydenty, które następują po wykryciu naruszenia, nie są wdrożone i regularnie testowane, to znaczy, że realizujesz tylko niektóre elementy skutecznego programu IDR.
Wreszcie, ważne jest posiadanie planu odzyskiwania danych po awarii. Naruszenie jest po prostu jednym z przykładów katastrofy, po której organizacje muszą się pozbierać. Gdy wykryte naruszenie zostanie w pełni zbadane, a dotknięte aktywa, aplikacje i użytkownicy zostaną opanowani, należy opracować plan przywrócenia normalnych procesów operacyjnych. To jest właśnie disaster recovery.
Zaczynamy
Zważywszy na złożoność centrum bezpieczeństwa, jest wiele rzeczy do rozważenia przy jego tworzeniu. Niezależnie od tego, czy jest ono tworzone w firmie, czy na zewnątrz, przygotowanie się na następujące trzy elementy jest niezbędne do osiągnięcia sukcesu SOC:
- Ludzie: Zrozumienie ról i obowiązków analityków SOC jest ważnym wstępem do wyboru technologii, która będzie obsługiwać SOC. Zespoły, które stworzysz i zadania, które im przydzielisz, będą zależały od istniejącej struktury Twojej organizacji. Na przykład, jeśli budujemy SOC w celu rozszerzenia istniejących możliwości wykrywania i reagowania na zagrożenia, należy rozważyć, za które konkretne zadania odpowiedzialni są członkowie zespołu SOC, a które przypadają zespołom IDR spoza SOC. Należy również rozdzielić obowiązki pomiędzy analityków SOC, tak aby istniało jasne zrozumienie, kto obsługuje alerty o wysokim stopniu szczegółowości, kto zatwierdza alerty o niskim stopniu szczegółowości, kto eskaluje alerty, kto poszukuje nieznanych zagrożeń itp. Wiele centrów operacji bezpieczeństwa działa w oparciu o wielopoziomowe ramy dla personelu, aby pomóc w ustaleniu jasnych obowiązków i hierarchii.
- Technologia: Podjęcie decyzji, z jakiej technologii korzysta SOC, to moment, w którym czas spędzony na ustalaniu ról i obowiązków wspomnianych powyżej się opłaci. Jakiej technologii będą używać? Prawdopodobnie będą musieli połączyć narzędzia do agregacji logów, analizy zachowań użytkowników, przesłuchiwania punktów końcowych, wyszukiwania w czasie rzeczywistym i wiele innych. Ważne jest, aby przyjrzeć się, jak analitycy SOC korzystają z technologii i określić, czy istniejąca technologia pomaga czy przeszkadza w procesach SOC i czy nowa technologia będzie musiała ją zastąpić. Dodatkowo, ważne będzie posiadanie narzędzi komunikacyjnych, które umożliwią analitykom współpracę.
- Procesy: Ustanowienie procesów, których będą przestrzegać ludzie i technologie opisane powyżej, jest ostatnim elementem, który należy rozważyć podczas rozpoczynania pracy z SOC. Co się stanie, jeśli incydent bezpieczeństwa będzie wymagał walidacji, raportowania, eskalacji lub przekazania innemu zespołowi? W jaki sposób będziesz zbierać i analizować metryki? Procesy te muszą być wystarczająco precyzyjne, aby zapewnić, że tropy dochodzeniowe są obsługiwane w kolejności ich krytyczności, ale na tyle luźne, aby nie dyktować procesów analitycznych. Procesy mogą zadecydować o skuteczności SOC i są warte wysiłku, aby je dobrze zrealizować.