Pochopení SOC Tým, Role A Odpovědnosti
Budování efektivní security operations center (SOC) je zásadní pro organizace všech velikostí. Stejně jako samotné společnosti je každý bezpečnostní tým jiný.
společnosti, které uznávají důležitost kybernetické bezpečnosti, investují nezbytnou částku, aby zajistily, že jejich data a systémy zůstanou v bezpečí a že jejich tým SOC má zdroje potřebné k řešení hrozeb.
role a odpovědnosti bezpečnostního operačního střediska jsou poměrně přímočaré, ale jejich požadavky jsou odlišné.
celkově mají organizace tendenci podhodnocovat kybernetickou bezpečnost. Týmy bezpečnostních operací čelí nesčetným výzvám-často mají nedostatek personálu – přepracovaný, a dostávají malou viditelnost od vyššího vedení.
zdarma ke stažení: GARTNER MARKET GUIDE for SECURITY ORCHESTRATION, AUTOMATION and RESPONSE SOLUTIONS
Pokud tyto společnosti věděly, co je v sázce, můžete se vsadit, že by byly ochotny investovat do svých členů SOC a týmu. Po bezpečnostních operacích pomohou osvědčené postupy společnostem chránit se a poskytovat lepší prostředí týmům SOC. S novým high-profil útoky zachycení titulky denní, organizace si začínají klást důraz na význam kybernetické bezpečnosti a zabezpečení činnosti centra se stává váženým těžištěm.
ačkoli se všechny týmy SOC mohou od sebe trochu lišit, většina z nich má zhruba stejné role a povinnosti. Budování efektivního SOC vyžaduje předvídavost a realizovatelný akční plán. Pojďme se podívat na základní role a odpovědnosti každého týmu SOC.
role a odpovědnosti bezpečnostního operačního centra
průměrný tým SOC má mnoho povinností, které se od něj očekává v řadě rolí. Týmy SOC mají obvykle pozice, které pokrývají dvě základní povinnosti-udržování nástrojů pro monitorování bezpečnosti a vyšetřování podezřelých aktivit.
Udržovat Bezpečnostní Monitorovací Nástroje
, Aby efektivně zabezpečit a monitorovat systém, existuje mnoho nástrojů, které tým musí udržovat a aktualizovat pravidelně. Bez správných nástrojů není možné efektivně zabezpečit systémy a sítě. Role a odpovědnosti bezpečnostního operačního střediska vyžadují, aby členové týmu udržovali nástroje používané ve všech bezpečnostních procesech. To zahrnuje sběr dat. Tato data se musí rozšířit na všechny systémy v síti, včetně cloudové infrastruktury. Tyto protokoly pak musí být předány SIEM a analytickému nástroji protokolu. Jediné přerušení řetězce toku informací by mohlo mít vážné důsledky.
Vyšetřovat Podezřelé Aktivity
S pomocí nástrojů uvedených výše, SOC tým je zodpovědný za vyšetřování podezřelé a potenciálně škodlivé aktivity v rámci sítí a systémů. Váš Siem nebo analytický software je obvykle upozorní na možné problémy vydáním upozornění. Váš tým analytiků poté prozkoumá výstrahy, provede třídění a určí rozsah hrozby. Kombinace správných nástrojů a odborných znalostí jsou nezbytnými ingrediencemi pro úspěšný tým SOC.
Security Operations Center Role a Pozice
i když rolí v každé společnosti, mohou mít různé názvy, všechny organizace mají podobné povinnosti, pokud jde o kybernetické bezpečnosti. Zde jsou častější role v týmu SOC a individuální odpovědnosti, které jsou spojeny s každou rolí.
bezpečnostní analytik
bezpečnostní analytici jsou obvykle první respondenti na incidenty. Jsou to vojáci v první linii bojující proti kybernetickým útokům a analyzující hrozby. Ve zkratce, jejich úkolem je odhalit hrozby, vyšetřovat tyto hrozby, a reagovat na ně včas. Analytici mohou mít navíc odpovědnost, která zahrnuje provádění bezpečnostních opatření podle pokynů vedení. Mohou také hrát roli v organizačních plánech obnovy po havárii. V některých organizacích se očekává, že bezpečnostní analytici budou v pohotovosti reagovat na incidenty, které vznikají mimo pracovní dobu.
bezpečnostní inženýr
bezpečnostní inženýři jsou zodpovědní za údržbu nástrojů, doporučování nových nástrojů a aktualizaci systémů. Mnoho bezpečnostních inženýrů se specializuje na platformy SIEM. Bezpečnostní inženýři jsou zodpovědní za budování bezpečnostní architektury a systémů. Obvykle pracují s vývojovými operačními týmy, aby zajistili, že systémy budou aktuální. Bezpečnostní inženýři navíc dokumentují požadavky, postupy a protokoly, aby zajistili, že ostatní uživatelé budou mít správné zdroje.
Security Manager
bezpečnostní manažer v týmu SOC je zodpovědný za dohled nad operacemi v celku. Mají na starosti správu členů týmu a koordinaci s bezpečnostními inženýry. Bezpečnostní manažeři jsou zodpovědní za vytváření zásad a protokolů pro najímání a budování nových procesů. Pomáhají také vývojovým týmům stanovit rozsah nových projektů rozvoje bezpečnosti. Slouží jako přímý šéf všem členům týmu SOC.
Chief Information Security Officer
chief information security officer (CISO) je zodpovědný za definování a nastíní organizace, zabezpečení operací. Jsou posledním slovem o strategii, politikách a postupech zapojených do všech aspektů kybernetické bezpečnosti v Organizaci. Kromě toho mohou být také odpovědní za správu dodržování předpisů.
větší společnosti mohou mít celé týmy věnované tomuto úkolu. CISO se obvykle hlásí přímo generálnímu řediteli a má přímý kontakt se všemi vyššími vedeními. Pozice CISO jdou daleko za technickými dovednostmi a také vyžadují komunikaci složitých problémů s vyšším vedením, které nemusí být v technických záležitostech znalé.
Další Role
Ofter krát větší bezpečnosti organizace role jako ředitel incident response a/nebo ředitel škodlivý inteligence. Ředitel incident response nebo incident response manager Jednoduše dohlíží a upřednostňuje žalovatelné kroky během detekce incidentu. Tato osoba je výhradně odpovědná za předávání jedinečných požadavků na incidenty s vysokou závažností zbytku společnosti.
Správce reakce na incidenty dohlíží a upřednostňuje akce během detekce, analýzy a zadržování incidentu. Jsou také zodpovědní za předávání zvláštních požadavků na incidenty s vysokou závažností zbytku společnosti.
závěr
budování efektivního týmu SOC je nezbytné pro organizace všech velikostí. Zajištění toho, že můžete chytit, vyšetřovat, a náprava bezpečnostních incidentů je klíčová. Vzhledem k rolím a složitosti v rámci SOC, je velmi důležité zajistit viditelnost napříč deskou. Je také důležité mít na paměti, že solidní SOC je 24/7 a více směn a řízení workflow předání bez problémů a obezřetně je třeba. Definování zásad a postupů, kterými se řídí jednotlivci, kteří jsou součástí tohoto týmu, by mělo být pokračujícím procesem, který by lépe sloužil týmu a organizaci jako celku. Definování rolí a odpovědností bezpečnostního operačního centra pomáhá společnostem upřednostňovat a lépe posoudit jejich potřeby.