Rambler's Top100
Блоги Андрей ПРОЗОРОВ

SOC по SANS

  24 сентября 2018 Страница персоны
Наткнулся на свежий (от 08-2018) отчет SANS "The Definition of SOC-cess? SANS 2018 Security Operations Center Survey" (найти его можно тут, SANS перестал давать прямые ссылки, или у меня в группе в VK). Документ довольно интересный, в нем авторы пытаются найти ответ на извечный вопрос о задачах и функциях SOC, а также порассуждать об их будущем. 


Выбрал несколько полезных и важных моментов из отчета:

1) Что же такое SOC?
SANS defines a SOC as: A combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects. 
A more meaningful question is “How many organizations have a successful SOC?” We define the success criterion for a SOC as: when it intervenes in adversary efforts to impact the availability, confidentiality and integrity of the organization’s information assets. It does this by proactively making systems more resilient to impact and reactively detecting, containing and eliminating adversary capability.
There are a lot of marketing terms in use that SANS has collapsed into the usage of the term SOC: “Fusion Center,” “CIRT,” “CERT,” “CSIRC,” etc. The title is less important than the collections of protection, detection, response and restoration activities performed.
2) Функции SOC (и аутсорсинг)
3) Количество специалистов в SOC
4) Взаимосвязь SOC и NOC (Network Operation Center)
5) Метрики SOC
6) Ключевые технологии SOC
7) Триггеры процесса реагирования (что запускает процесс)
8) Ключевые проблемы и вызовы для SOC
Это, пожалуй, самые важные графики из отчета. Но что они нам говорят?
  • Универсального решения для SOC не существует (уж слишком разброс получился широким).  Особенно это заметно по количеству специалистов SOCа и используемым средствам мониторинга и защиты.
  • "Стандартными сервисам" для SOC, как и ожидалось, оказались мониторинг, реагирование и администрирование. А вот "тяжелыми сервисами" типа пентестов, редтима, форензики и иследования угроз обзавелись еще не многие. И их, кстати, все чаще отдают на аутсорсинг.
  • Вообще, тема аутсорсинга очень близка теме SOC (а в отчете еще есть информация про облачные SOC).
  • SOCостроителям стоит присмотреться к NGFW и решениям Endpoint...
  • Ключевая проблема - кадры... Вопрос с автоматизацией тоже пока решается не очень...
  • DLP так и не научились правильно настраивать и эксплуатировать :))
Ну, это так, чтобы не просто картинки накопипастить. Выводов и гипотез из этого отчета можно еще много сделать. Рекомендую!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.