forståelse af SOC-teamets roller og ansvar
opbygning af et effektivt sikkerhedsoperationscenter (SOC) er afgørende for organisationer i alle størrelser. Ligesom virksomhederne selv er hvert sikkerhedsteam anderledes. virksomheder, der anerkender vigtigheden af cybersikkerhed, vil investere det nødvendige beløb for at sikre, at deres data og systemer forbliver sikre, og at deres SOC-team har de nødvendige ressourcer til at håndtere trusler. sikkerhedsoperationscentrets roller og ansvarsområder er ret ligetil, men forskellige i deres krav.
i det store og hele har organisationer haft en tendens til at undervurdere cybersikkerhed. Sikkerhedsoperationsteams står over for utallige udfordringer-de er ofte underbemandede, overarbejdede og får ringe synlighed fra den øverste ledelse.
gratis hent: GARTNER MARKET GUIDE til SIKKERHEDSORKESTRERING, automatisering og RESPONSLØSNINGER
Hvis disse virksomheder vidste, hvad der stod på spil, kan du satse på, at de ville være villige til at foretage større investeringer i deres SOC-og teammedlemmer. Efter sikkerhedsoperationer vil bedste praksis hjælpe virksomheder med at beskytte sig selv og give et bedre miljø til SOC-teams. Med nye højt profilerede angreb, der fanger overskrifter dagligt, organisationer begynder at understrege betydningen af cybersikkerhed, og security operations center bliver et værdsat fokuspunkt.
selvom alle SOC-hold kan afvige lidt fra hinanden, har de fleste omtrent de samme roller og ansvar. Opbygning af en effektiv SOC kræver fremsyn og en eksekverbar handlingsplan. Lad os se på de grundlæggende roller og ansvar for hvert SOC-team.
Sikkerhedsoperationscenterroller og ansvar
det gennemsnitlige SOC-team har mange ansvarsområder, som de forventes at styre på tværs af en række roller. SOC-teams har typisk stillinger, der dækker to grundlæggende ansvarsområder – vedligeholdelse af sikkerhedsovervågningsværktøjer og undersøgelse af mistænkelige aktiviteter.
vedligehold Sikkerhedsovervågningsværktøjer
for effektivt at sikre og overvåge et system er der mange værktøjer, som teamet skal vedligeholde og opdatere regelmæssigt. Uden ordentlige værktøjer er det umuligt at sikre systemer og netværk effektivt. Sikkerhedsoperationscentrets roller og ansvar kræver, at teammedlemmer opretholder værktøjer, der bruges gennem alle sikkerhedsprocesser. Dette omfatter indsamling af data. Disse data skal omfatte alle systemer i netværket, herunder skyinfrastruktur. Disse logfiler skal derefter overføres til et SIEM og et loganalyseværktøj. En enkelt pause i kæden af informationsstrøm kan have alvorlige konsekvenser.
Undersøg mistænkelige aktiviteter
ved hjælp af ovennævnte værktøjer er SOC-teamet ansvarligt for at undersøge mistænkelig og potentielt ondsindet aktivitet inden for netværk og systemer. Typisk vil dit SIEM-eller analyseprogram gøre dem opmærksomme på potentielle problemer ved at udstede advarsler. Dit team af analytikere undersøger derefter alarmerne, udfører triage og bestemmer omfanget af truslen. Kombinationen af rigtige værktøjer og ekspertise er de nødvendige ingredienser til et vellykket SOC-team.
Security Operations Center Roller og positioner
selvom rollerne i ethvert firma kan have forskellige navne, har alle organisationer lignende ansvar, når det kommer til cybersikkerhed. Her er de mere almindelige roller inden for et SOC-team og de individuelle ansvarsområder, der er forbundet med hver rolle.
sikkerhedsanalytiker
sikkerhedsanalytikere er typisk de første respondenter på hændelser. De er soldaterne i frontlinjen, der kæmper mod cyberangreb og analyserer trusler. Kort sagt, deres job er at opdage trusler, undersøge disse trusler, og reagere på dem rettidigt. Derudover kan analytikere have ansvar, der involverer implementering af sikkerhedsforanstaltninger som dikteret af ledelsen. De kan også spille en rolle i organisatoriske katastrofeberedskabsplaner. I nogle organisationer forventes sikkerhedsanalytikere at være på vagt for at reagere på hændelser, der opstår uden for åbningstiden.
sikkerhedsingeniør
sikkerhedsingeniører er ansvarlige for at vedligeholde værktøjer, anbefale nye værktøjer og opdatere systemer. Mange sikkerhedsingeniører er specialiserede i SIEM-platforme. Sikkerhedsingeniører er ansvarlige for at opbygge sikkerhedsarkitekturen og systemerne. De arbejder typisk med udviklingsoperationsteams for at sikre, at systemerne er opdaterede. Derudover dokumenterer sikkerhedsingeniører krav, procedurer og protokoller for at sikre, at andre brugere har de rigtige ressourcer.
Security Manager
en sikkerhedschef i et SOC-team er ansvarlig for at føre tilsyn med operationer i det hele taget. De har ansvaret for at styre teammedlemmer og koordinere med sikkerhedsingeniører. Sikkerhed ledere er ansvarlige for at skabe politikker og protokoller for ansættelse, og opbygge nye processer. De hjælper også udviklingshold med at indstille omfanget af nye sikkerhedsudviklingsprojekter. De fungerer som den direkte chef for alle medlemmer af SOC-teamet.
Chief Information Security Officer
chief information security officer (CISO) er ansvarlig for at definere og skitsere organisationens sikkerhedsoperationer. De er det sidste ord om strategi, politikker og procedurer involveret i alle aspekter af cybersikkerhed i organisationen. Derudover kan de også være ansvarlige for at styre overholdelse.
større virksomheder kan have hele hold dedikeret til denne opgave. Typisk rapporterer en CISO direkte til administrerende direktør og har direkte kontakt med hele den øverste ledelse. CISO-stillinger går langt forbi tekniske færdigheder og kræver også at kommunikere komplicerede problemer til den øverste ledelse, der måske ikke er vidende om tekniske forhold.
yderligere roller
Ofter gange, større sikkerhedsorganisationer har roller som direktør incident response og/eller direktør for threat intelligence. Direktøren for incident response eller incident response manager overvåger og prioriterer handlingsmæssige trin under påvisning af en hændelse. Denne person er eneansvarlig for at formidle de unikke krav til hændelser med høj sværhedsgrad til resten af virksomheden.incident response manager fører tilsyn med og prioriterer handlinger under detektering, analyse og indeslutning af en hændelse. De er også ansvarlige for at formidle de særlige krav til hændelser med høj sværhedsgrad til resten af virksomheden.
konklusion
opbygning af et effektivt SOC-team er afgørende for organisationer i alle størrelser. At sikre, at du kan fange, undersøge og afhjælpe sikkerhedshændelser er nøglen. I betragtning af rollerne og kompleksiteten inden for en SOC er det meget vigtigt at give synlighed over hele linjen. Det er også vigtigt at være opmærksom på, at en solid SOC er 24/7 og flere skift og styring af arbejdsgangen handoff problemfrit og forsigtigt er et must. At definere de politikker og procedurer, der styrer enkeltpersoner, der er en del af dette team, bør være en løbende proces for bedre at tjene teamet og organisationen som helhed. Definition af sikkerhedsoperationscentrets roller og ansvar hjælper virksomheder med at prioritere og bedre vurdere deres behov.
