Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Строим SOC по Gartner

  08 ноября 2016 Страница персоны
На днях посмотрел вебинар Gartner "Design a Modern Security Operation Center", на котором спикером был известный специалист Anton Chuvakin. Что удивительно для Gartner, но материалы выложены в общий доступ, посмотреть запись и скачать презентацию можно тут. Такая халява бывает редко.

Крайне рекомендую с ними ознакомиться перед походом на SOC Forum 2016.

Что интересного можно найти в презентации?

1. Антон дает довольно развернутое толкование термина SOC и тех функций, которые в нем должны быть реализованы. Задача современных SOCов уже состоит не только в своевременном обнаружении атак, но и в их прогнозировании, предупреждении и реагировании на инциденты. При этом "Security monitoring" остается ключевой функцией SOC. Важно понимать, что SOC - это не просто технологии, люди и процессы важнее... 
"SOC involves PEOPLE and PROCESS which are in fact MORE IMPORTANT than tools"

2. Современные SOCи активно используют глубокую аналитику угроз (TI, malware reversing, data analysis, etc.), сильные средства мониторинга и анализа (например, UEBA, EDR, NTA/NFT, а не только SIEM), а также передают отдельные процессы на аутсорсинг (взаимодействуют с MSSP).





3. Важно не только обучить персонал и внедрить современные средства мониторинга и защиты, но и правильно выстроить процессы. Одним из важнейших процессов является "Threat hunting".


4. Многие SOCи используют внешних поставщиков услуг (аутсорсинг ИБ), так называемую "гибридную модель".

5. Основная проблема при построении SOCов - отсутствие необходимых ресурсов (обычно людей, особенно при необходимости обеспечивать 24х7).

Вот как-то так. На мой взгляд, презентация очень хороша. Рекомендую с ней ознакомиться более подробно.

Источник

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.