5 шагов для создания своего кибер-SOC
Вашей компании не нужно укомплектовывать круглосуточный центр безопасности !! Вы можете избежать серьезных задержек в реагировании на инциденты, круглосуточного мониторинга и неумения выслеживать угрозы, что очень опасно, благодаря технологии автоматизации !!
Автоматизированный SOC :
Команды SOC должны повысить эффективность своих процессов, а также улучшить свои стратегии реагирования на инциденты. Огромное количество отчетов и предупреждений, генерируемых SIEM (управление событиями безопасности), является непосильным для команд.
Именно здесь SOAR (Организация безопасности, автоматизация и реагирование) вступает в игру, повышая эффективность SOC за счет централизации и сортировки предупреждений от различных решений безопасности. Автоматизируйте анализ угроз и повторяющиеся задачи, экономя ресурсы и время команды SOC.
Теперь давайте перейдем к 5 наиболее важным шагам для создания нашего автоматизированного SOC.
Шаг 1. Разработайте стратегию SOC
Помимо общих повышенных уязвимостей и киберугроз, отсутствие эффективного центра операций по обеспечению безопасности может сделать почти невозможным снижение рисков и эффективное внедрение решений !!
Ключом к разработке идеальной стратегии является понимание текущего состояния организации:
- Проверить существующие возможности
- Первоначально ограничивайте область действия основными функциями (мониторинг, обнаружение, реагирование, восстановление)
- Отложите неосновные функции, пока ваши основные не станут достаточно зрелыми
- Определить и определить бизнес-цели
Шаг 2. Разработайте решение
На этом шаге сузьте область действия, чтобы сократить время первоначальной реализации. Так вы быстрее добьетесь результатов.
Например:
Фишинговая атака
- Определите начальное решение на основе варианта использования (индивидуальная защита от спама).
- Учтите, что решение должно соответствовать будущим потребностям.
Шаг 3. Примите меры
После определения функциональных требований на основе шага 1 выберите модель SOC и спроектируйте критическую архитектуру, выполнив следующие действия:
- Выбор или создание платформы Управление жизненным циклом угроз
- Определение систем для интеграции
- Определение рабочих процессов
- Определение областей автоматизации
- Тестирование архитектуры
Вы можете разрабатывать свои собственные инструменты автоматизации с помощью Chromium, PyAuto, Selenium.
Шаг 4. Подготовьте среду
Перед развертыванием мы должны убедиться, что у нас есть стандартные, но важные и часто игнорируемые элементы.
- Персональные устройства SOC должны быть защищены
- Внедрить безопасный удаленный доступ для сотрудников SOC
IPSec (через VPN) и TLS (через HTTPS) или SSH
- Требовать СИЛЬНУЮ АУТЕНТИФИКАЦИЮ
Шаг 5. Внедрение, развертывание и развитие
На этом этапе убедитесь, что реализована бесшовная системная совместимость между различными рабочими процессами. Вы также должны включить потоки информации об угрозах и автоматические входные данные, чтобы повысить точность обнаружения SOC.
При развертывании сквозных вариантов использования убедитесь, что ваше решение надежно и безопасно.
Текущее обслуживание для повышения точности, пересмотр модели и ролей SOC при добавлении дополнительных систем по мере ввода-вывода очень важно.
Условия:
В вычислительной технике Безопасность интернет-протокола (IPsec) — это набор защищенных сетевых протоколов, который аутентифицирует и шифрует пакеты данных для обеспечения безопасной зашифрованной связи между двумя компьютерами по сети Интернет-протокола. Он используется в виртуальных частных сетях (VPN).
Безопасность транспортного уровня (TLS) используется для шифрования данных и проверки подлинности соединения при перемещении данных в Интернете.
Протокол Secure Shell (SSH) — это криптографический сетевой протокол для безопасной работы сетевых служб в незащищенной сети. Его наиболее заметными приложениями являются удаленный вход в систему и выполнение из командной строки.
Профиль LinkedIn: Суфиан Амгар