Данные из инфраструктуры, сетей, облачных сервисов и устройств организации сопоставляются центром управления безопасностью (SOC). Управление общим состоянием безопасности компании и обеспечение ситуационной осведомленности является обязанностью SOC, которая представляет собой совместную группу специалистов по информационной безопасности. Узнайте больше о работе аналитика в центре управления безопасностью. Подходы к стратегии защиты центров операций по обеспечению безопасности (SOC) стандартизированы структурами SOC. Это помогает минимизировать риски кибербезопасности и постоянно улучшать операции.
Центр обеспечения безопасности
Целями деятельности SOC являются распознавание, мониторинг, отслеживание, анализ, представление и реагирование на актуальные и потенциальные угрозы для компании. Повседневное управление безопасностью сети и инфраструктуры в организации является обязанностью группы центра управления безопасностью (SOC). Выявление инцидентов и угроз безопасности, их анализ и последующее принятие соответствующих мер — вот основные цели команды SOC.
Методы обеспечения безопасности организации, процедуры и реагирование на инциденты безопасности унифицированы и координируются SOC, что является основным преимуществом работы внутри компании или аутсорсинга. Типичными результатами этого являются улучшенные политики безопасности и превентивные меры, более быстрое обнаружение угроз и более быстрые, эффективные и более доступные ответы на угрозы безопасности. Кроме того, SOC может повысить доверие клиентов, а также упростить и усилить соблюдение организацией региональных, национальных и международных правил конфиденциальности.
Читайте также: СИСТЕМА БЕЗОПАСНОСТИ БИЗНЕСА: что это такое, виды и стоимость
Центр управления безопасностью (SOC) Вакансии
№1. Планирование реагирования на инциденты
SOC отвечает за создание плана реагирования организации на инциденты, в котором описываются действия, роли и обязанности в случае угрозы или инцидента, а также показатели, по которым будет оцениваться эффективность любого реагирования на инциденты.
№ 2. Оставаться в курсе
SOC следит за самыми последними инновациями и инструментами в области безопасности, а также за самой последней информацией об угрозах, которая представляет собой новости и подробную информацию о кибератаках и хакерах, которые их осуществляют, почерпнутые из социальных сетей, деловых источников и даркнета. .
№3. Регулярное тестирование
Команда SOC проводит оценку уязвимости, углубленную оценку, которая точно определяет восприимчивость каждого ресурса к потенциальным опасностям и соответствующие затраты. Кроме того, он выполняет тесты на проникновение, которые имитируют определенные атаки на дополнительные системы. На основе результатов этих тестов команда корректирует или улучшает приложения, рекомендации по безопасности, лучшие практики и планы реагирования на инциденты.
№ 4. Текущее техническое обслуживание и подготовка
SOC выполняет профилактическое обслуживание, такое как установка исправлений и обновлений программного обеспечения, а также регулярное обновление брандмауэров, белых и черных списков, политик и процедур безопасности, чтобы максимально повысить эффективность имеющихся инструментов и мер безопасности. SOC также может создавать резервные копии системы или помогать в разработке политик или процедур резервного копирования для обеспечения непрерывности бизнеса в случае утечки данных, атаки программ-вымогателей или других инцидентов кибербезопасности.
№ 5. Обнаружение угроз
Команда SOC отделяет сигналы от шума, отделяя признаки реальных киберугроз и хакерских эксплойтов от ложных срабатываний, прежде чем классифицировать угрозы в соответствии с их серьезностью. Искусственный интеллект (ИИ) — это компонент современных SIEM-решений, который автоматизирует эти процедуры и постепенно улучшает выявление подозрительной активности путем «обучения» данных.
Функции центра управления безопасностью
- Управление и техническое обслуживание: Обновления и исправления для инструментов безопасности отслеживаются и обрабатываются.
- Мониторинг журналов событий для инфраструктуры, систем, устройств и сетей для поиска необычной или подозрительной активности.
- Сбор разведданных, а также обнаружение и предотвращение потенциальных угроз и атак.
- Анализ и расследование инцидентов: поиск причины события или угрозы и определение того, насколько глубоко они проникли в системы компании и повредили их.
- Реагирование на угрозу или атаку: координация подхода к эффективному устранению и сдерживанию угрозы или инцидента.
- Восстановление утерянных или украденных данных, устранение уязвимостей, обновление инструментов оповещения и повторная оценка процедур — все это части восстановления и исправления.
Учреждение, используемое для централизованного мониторинга, обнаружения, изучения и реагирования на кибератаки и другие инциденты безопасности, известно как Центр управления безопасностью (SOC). Центр управления безопасностью (SOC) может быть физическим или виртуальным пространством, которым управляет либо внутренний персонал службы безопасности, либо поставщик услуг управляемой безопасности (MSSP).
Типы центра управления безопасностью
Большинство компаний обнаруживают, что для эффективного управления кибербезопасностью требуется гораздо больше, чем способна их традиционная ИТ-команда. У организаций есть выбор между созданием SOC внутри компании или заключением контракта с управляемым поставщиком SOC для удовлетворения этой растущей потребности.
№1. Выделенный или самоуправляемый
В этой стратегии используется местное оборудование и внутренний персонал. Выделенный SOC, который является централизованным SOC, состоит из команды, которая занимается исключительно безопасностью, а также инфраструктурой и процедурами. В зависимости от размера организации, устойчивости к риску и потребностей в безопасности размер выделенного SOC варьируется.
№ 2. Распределенный SOC
Совместно управляемый центр обеспечения безопасности, также известный как MSSP, находится в ведении члена внутренней команды, нанятого на неполный или полный рабочий день для работы вместе с поставщиком управляемых услуг безопасности.
№3. Управляемый SOC
Этот метод включает MSSP, предоставляющих компании все услуги SOC. Партнеры по управляемому обнаружению и реагированию (MDR) являются дополнительной категорией.
№ 4. Команда SOC
С помощью этой стратегии другие центры обеспечения безопасности, которые обычно являются выделенными, могут получить доступ к информации об угрозах и знаниям о безопасности. Он участвует только в деятельности, связанной с разведкой, и процедурах, связанных с безопасностью.
№ 5. Виртуальный SOC
Это преданная команда безопасности, которая не основана на собственности компании. Он служит той же цели, что и физический SOC, но с удаленным персоналом. Для виртуального SOC (VSOC) нет выделенной инфраструктуры или физического местоположения. Это веб-портал, созданный с использованием децентрализованных технологий безопасности, который позволяет командам, работающим удаленно, отслеживать события и устранять угрозы.
№ 6. Совместно управляемый SOC
В модели совместного управления SOC используется как внешний персонал, так и инструменты мониторинга на месте. Поскольку она сочетает в себе внутренние и внешние компоненты, эту стратегию также иногда называют гибридной стратегией. Совместное управление является гибким вариантом, поскольку эти компоненты могут существенно различаться в разных организациях.
Преимущества Центра управления безопасностью
Ниже приведены преимущества центра управления безопасностью.
- Усовершенствованные процедуры и время реагирования на инциденты.
- Сокращение разрывов MTTD (среднее время обнаружения) между временем компрометации и временем обнаружения.
- Анализ и мониторинг подозрительной активности, постоянное сотрудничество и эффективная коммуникация.
- Объединение аппаратных и программных ресурсов для создания более комплексной стратегии безопасности.
- Конфиденциальная информация более свободно передается клиентами и сотрудниками.
- Улучшенная подотчетность и контроль над операциями по обеспечению безопасности.
- Цепочка контроля данных необходима, если бизнес намерен подать в суд на тех, кто обвиняется в совершении киберпреступления.
Аналитик Центра безопасности
Важную роль в реагировании на кибератаки играет аналитик центра управления безопасностью или аналитик SOC. Аналитик центра управления безопасностью является важным членом современной группы безопасности, которая обеспечивает непрерывность бизнеса для организаций, которые осознают важность предотвращения кибератак и реагирования на них.
Аналитик центра управления безопасностью — это технический эксперт, отвечающий за обнаружение и прекращение кибератак на корпоративные серверы и компьютерные системы. Они разрабатывают и реализуют протоколы для борьбы с угрозами и должны внести необходимые изменения, чтобы предотвратить такие случаи.
- Частью этой работы является анализ восприимчивости инфраструктуры компании к угрозам и другие задачи.
- Быть в курсе новых разработок в области кибербезопасности
- Изучение и регистрация потенциальных угроз и проблем с информационной безопасностью
- Оценка безопасности нового оборудования и программного обеспечения для снижения ненужного риска
- Создание формальных планов восстановления на случай стихийных бедствий, в идеале, до того, как возникнут опасения.
Как мне получить право стать аналитиком Центра управления безопасностью?
Большинство работодателей ожидают, что аналитики SOC будут иметь степень бакалавра или младшего специалиста в области компьютерных наук или вычислительной техники, а также дополнительные навыки, основанные на реальном опыте работы в сетях или информационных технологиях.
Эти навыки включают:
- Отличные коммуникативные навыки
- Уверенное владение Linux, Windows, IDS, SIEM, CISSP и Splunk
- Глубокие знания в области информационной безопасности
- Возможность защиты сетей путем защиты трафика и обнаружения подозрительной активности
- Понимание тестирования на правонарушение для выявления уязвимости систем, сетей и приложений
- Остановить и уменьшить последствия нарушений безопасности
- Собирайте, исследуйте и предоставляйте информацию о безопасности для компьютерной криминалистики
- Реверс-инжиниринг вредоносного ПО включает в себя чтение и идентификацию параметров программного обеспечения.
Аналитики SOC часто работают в команде с другими сотрудниками службы безопасности. Организация должна учитывать мнение аналитика центра управления безопасностью. Их предложения могут улучшить кибербезопасность и снизить риск потерь в результате нарушений безопасности и других происшествий.
Сертификация аналитика Центра обеспечения безопасности
Аналитики SOC часто проходят дополнительное обучение и получают лицензию сертифицированного аналитика центра безопасности (CSA), чтобы улучшить свои навыки, в дополнение к степени бакалавра в области компьютерной инженерии, информатики или смежных областях.
Дополнительные соответствующие сертификаты включают:
- Сертифицированный этический хакер (CEH)
- Судебный эксперт по взлому компьютеров (CHFI)
- Сертифицированный EC-Council аналитик безопасности (ECSA)
- Лицензированный тестер проникновения (LPT)
- CompTIA Security +
- Аналитик по кибербезопасности CompTIA (CySA +)
Ответственность аналитика операций безопасности
Сетевое и системное наблюдение в организации. Работа аналитика центра управления безопасностью заключается в наблюдении за ИТ-системой организации. Это включает в себя отслеживание любых аномалий, которые могут указывать на взлом или атаку с использованием систем безопасности, приложений и сетей.
№1. Оценка угроз в реальном времени, идентификация и смягчение их последствий
Аналитик SOC тесно сотрудничает со своей командой, чтобы определить, что пошло не так в системе, и как это исправить после обнаружения угрозы.
№ 2. Реагирование на инциденты и расследование
Прежде чем информировать правоохранительные органы, при необходимости аналитик SOC будет сотрудничать с остальной частью команды для проведения дополнительного исследования инцидента.
После тщательного изучения каждого инцидента они также сообщат любую свежую информацию о текущих киберугрозах или сетевых уязвимостях, чтобы, если это вообще возможно, предотвратить будущие инциденты путем немедленного внедрения обновлений.
№3. Работает в сотрудничестве с другими членами команды, чтобы применять процедуры безопасности, решения и лучшие практики на практике.
Чтобы бизнес продолжал работать безопасно и надежно, аналитики SOC работают вместе с другими членами команды, чтобы убедиться в наличии надлежащих протоколов. Это включает в себя внедрение новых систем и, при необходимости, обновление уже существующих.
№ 4. Будьте в курсе самых последних угроз безопасности
Аналитики SOC должны быть в курсе самых последних киберугроз безопасности своей организации, узнавая о новых фишинговых схемах или отслеживая, какие злоумышленники в настоящее время используют хакерские инструменты. Эта информация позволяет им быстро принимать меры по любым потенциальным проблемам, прежде чем они создадут проблемы для вашего бизнеса.
Зарплата аналитика центра безопасности
Эксперты по безопасности следят за тем, чтобы сотрудники прошли необходимое обучение и соблюдали все правила и положения компании.
Эти аналитики безопасности работают вместе с внутренней ИТ-группой организации и бизнес-администраторами, чтобы обсуждать и документировать проблемы безопасности в рамках своих обязанностей. Аналитики безопасности в США зарабатывают в среднем 88,570 XNUMX долларов в год. (Ресурс: Стеклянная дверь).
Местоположение, компания, опыт, образование и должность — вот лишь некоторые из переменных, которые могут повлиять на потенциальный доход.
Навыки аналитиков SOC
Несмотря на то, что в кибертенденциях могут быть изменения, аналитик SOC по-прежнему должен обладать многими теми же навыками. Убедитесь, что у аналитиков SOC есть эти способности, если вы хотите максимально использовать то, что они могут предложить вашей компании.
- Навыки программирования
- Компьютерная криминалистика
- Этический взлом
- Обратный инжиниринг
- Управление рисками
- Решение проблем
- Критическое мышление
- Эффективные коммуникации
Структура центра управления безопасностью
Структура SOC, очерченная всеобъемлющей архитектурой, детализирует компоненты SOC и их взаимодействие. Крайне важно создать структуру Центра операций по обеспечению безопасности, основанную на системе мониторинга и регистрации инцидентов.
Структура SOC — это общая архитектура, в которой подробно описаны компоненты, обеспечивающие функциональность SOC, и то, как они взаимодействуют друг с другом. Другими словами, структура SOC должна быть построена на системе мониторинга, которая отслеживает и регистрирует события безопасности.
Основные принципы SOC Framework
№1. Мониторинг
Мониторинг деятельности является наиболее фундаментальной услугой, которую может предложить инфраструктура функционального центра управления безопасностью. Естественно, целью такого мониторинга является установление того, имело ли место нарушение или происходит ли оно в настоящее время. Однако эксперты по кибербезопасности должны знать ситуацию, чтобы выносить такое суждение. Инструменты SIEM, поведенческая аналитика угроз и брокеры безопасности доступа к облаку — вот лишь несколько примеров автоматизированных инструментов и технологий, которые могут помочь в мониторинге. Хотя и не всегда, эти инструменты могут использовать технологии искусственного интеллекта и машинного обучения.
№ 2. Анализ
Анализ должен быть следующей услугой, которую предлагает SOC. Цель анализа — определить, имела ли место уязвимость или взлом, связанный с деятельностью предприятия. Аналитики SOC изучают сигналы тревоги и оповещения, отправляемые системой мониторинга, в рамках функции проверки, чтобы определить, совпадают ли они с ранее замеченными шаблонами атак или использованием уязвимостей.
№3. Реагирование на инциденты и их сдерживание
Следующая услуга, предоставляемая структурой центра управления безопасностью, — это реагирование на инциденты; то, как это делается, зависит от типа, масштаба и серьезности инцидента, а также от того, является ли SOC внутренним или у предприятия есть контракт с сторонним поставщиком SOC, который требует помощи, помимо уведомления о предупреждении.
№ 4. Аудит и ведение журнала
Как уже упоминалось, SOC играет важную, но часто игнорируемую роль в ведении журналов и аудите: для подтверждения соответствия и регистрации реакции на инциденты безопасности, которые могут использоваться как часть анализа после смерти. Многие инструменты SOC содержат поразительное количество документации с отметками времени, которую могут счесть полезной эксперты по соблюдению требований и аналитики по кибербезопасности.
№ 5. Поиск угроз
У аналитиков SOC по-прежнему есть другие обязанности, даже когда системы работают нормально, а это означает, что в среде нет серьезных инцидентов. Они просматривают службы анализа угроз для мониторинга и оценки внешних угроз, а если они являются третьими сторонами с несколькими клиентами, они сканируют и анализируют данные между клиентами для выявления моделей атак и уязвимостей. Поставщики SOC, как внутренние, так и внешние, могут быть на шаг впереди злоумышленников благодаря активному поиску угроз. Они также могут принять превентивные меры в случае нападения.
Наконец, хорошо спроектированная структура центра управления безопасностью должна быть способна обрабатывать гораздо больше, чем просто отслеживать сигналы тревоги и оповещения. SOC может помочь сдержать инциденты, если он правильно настроен и управляется. Кроме того, он может предложить бесценную информацию об инцидентах после вскрытия и обеспечить превентивную безопасность.
Общие рамки SOC
№1. НИСТ
Национальный институт стандартов и технологий (NIST) США публикует структуру кибербезопасности NIST, которая предлагает стандарты и рекомендации по управлению жизненным циклом угроз, чтобы помочь организациям в разработке планов обеспечения безопасности и оптимизации ключевых показателей эффективности. Ниже приведены пять лучших практик, рекомендованных NIST:
- Идентифицировать
- Защитите
- детектировать
- Реагируйте
- Recover
№ 2. MITRE ATT&CK
Состязательная тактика, методы и общие знания — это аббревиатура этой фразы. Эта структура, разработанная корпорацией Mitre и опубликованная в 2013 году, сосредоточена на анализе враждебного поведения для разработки ответных мер и новых защитных стратегий. Он помогает в сборе информации об угрозах, обнаружении и анализе угроз, работе с красными командами и эмуляции злоумышленников, а также в разработке и оценке.
№3. Кибер-цепочка убийств
Эта структура, созданная Lockheed Martin, основана на военной идее организации атаки в ответ на тактику и слабые места вашего противника. Цепочка убийств служит базовым архетипом, основывая свои действия на действиях типичного злоумышленника. Cyber Kill Chain — это поэтапная стратегия, включающая следующие этапы:
- разведывательный
- Вторжение
- Эксплуатация
- Повышение привилегий
- Боковое движение
- затемнение
- Отказ в обслуживании
- эксфильтрации
№ 4. Единая цепочка убийств
Чтобы предложить более тщательный метод понимания злоумышленника и ранжирования рисков, эта структура сочетает в себе структуры MITRE ATT&CK и Cyber Kill Chain. Он использует сильные стороны каждой платформы, чтобы помочь закрыть общие пробелы. Добавляя 18 дополнительных фаз, эта структура расширяет цепочку атаки.
Что делает центр управления безопасностью?
Способность организации выявлять угрозы, реагировать на них и предотвращать дальнейший ущерб повышается за счет центра операций по обеспечению безопасности, который объединяет и координирует все технологии и операции кибербезопасности.
Что такое NOC и SOC?
В то время как центры управления безопасностью (SOC) отвечают за защиту компании от онлайн-угроз, центры управления сетью (NOC) отвечают за обслуживание технической инфраструктуры компьютерной системы компании.
Эффективная производительность сети поддерживается центром управления сетью (NOC), а угрозы и кибератаки идентифицируются, исследуются и устраняются центром управления безопасностью (SOC).
В чем разница между SOC и SIEM?
Основное различие между SIEM и SOC заключается в том, что первый собирает данные из разных источников и сопоставляет их, а второй собирает данные из разных источников и отправляет их в SIEM.
Что означает NOC в области безопасности?
Сетевые операционные центры (NOC) — это централизованные места, где компьютерные, телекоммуникационные или спутниковые сетевые системы контролируются и управляются круглосуточно, каждый день недели. В случае сетевых сбоев он служит первой линией защиты.
Каковы три типа SOC?
- Совместно управляемый SOC
- Виртуальный SOC
- Выделенный SOC
Что такое TopSOC?
- Сети арктических волков
- Сеть Пало-Альто
- Нецурион
- IBM
- CISCO
Заключение
Центр операций по обеспечению безопасности, или SOC, важен, потому что предприятия уделяют больше внимания кибербезопасности. Основным органом, отвечающим за защиту вашего бизнеса от киберугроз, является ваш SOC. Объединяя все операции и технологии кибербезопасности под одной крышей, центр управления безопасностью расширяет возможности организации по обнаружению, реагированию и предотвращению угроз.
Статьи по теме
- УПРАВЛЕНИЕ ИНЦИДЕНТАМИ: руководство по процессу и лучшие практики
- ИНФОРМАЦИЯ О КИБЕРУГРОЗАХ: значение, инструменты, аналитика и зарплата
- УПРАВЛЕНИЕ РИСКАМИ КИБЕРБЕЗОПАСНОСТИ: структура, план и услуги
- Описание работы колл-центра: Полное руководство(
- CALL CENTER: значение, услуги, программное обеспечение и обучение
Рекомендации
