Soc-ryhmän roolien ja vastuiden ymmärtäminen
tehokkaan turvallisuusoperaatiokeskuksen (SOC) rakentaminen on ratkaisevan tärkeää kaikenkokoisille organisaatioille. Aivan kuten yritykset itse, jokainen Turvatiimi on erilainen.
yritykset, jotka tunnustavat kyberturvallisuuden tärkeyden, investoivat tarvittavan määrän varmistaakseen, että heidän tietonsa ja järjestelmänsä pysyvät turvallisina ja että heidän SOC-tiimillään on tarvittavat resurssit uhkien torjumiseksi.
turvaoperaatiokeskusten tehtävät ja vastuut ovat melko suoraviivaisia, mutta vaatimuksiltaan erillisiä.
kokonaisuutena organisaatioilla on ollut taipumus aliarvioida kyberturvallisuutta. Turvaoperaatioryhmät kohtaavat lukemattomia haasteita-ne ovat usein alimiehitettyjä, ylityöllistettyjä ja saavat vain vähän näkyvyyttä ylemmältä johdolta.
ilmaiseksi: Gartner MARKET GUIDE for SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE SOLUTIONS
Jos nämä yritykset tietäisivät, mistä on kyse, voit lyödä vetoa, että ne olisivat valmiita tekemään suurempia investointeja SOC-ja team-jäseniinsä. Turvallisuusoperaatioiden jälkeen parhaat käytännöt auttavat yrityksiä suojautumaan ja tarjoamaan paremman ympäristön SOC-tiimeille. Kun uudet korkean profiilin hyökkäykset pääsevät päivittäin otsikoihin, organisaatiot alkavat korostaa kyberturvallisuuden merkitystä ja turvallisuusoperaatiokeskuksesta on tulossa arvostettu polttopiste.
vaikka kaikki SOC: n joukkueet saattavat poiketa hieman toisistaan, useimmilla on suurin piirtein samat roolit ja vastuut. Tehokkaan SOC: n rakentaminen edellyttää ennakointia ja toteutettavaa toimintasuunnitelmaa. Katsotaan jokaisen SOC-joukkueen perusroolit ja-vastuut.
Security Operations Centerin tehtävät ja vastuut
KESKIVERTOKOMITEALLA on monia vastuita, joita heidän odotetaan hoitavan useissa eri tehtävissä. Tyypillisesti SOC-ryhmillä on tehtäviä, jotka kattavat kaksi perustehtävää – turvallisuuden seurantavälineiden ylläpitämisen ja epäilyttävän toiminnan tutkimisen.
ylläpitää Turvavalvontatyökaluja
järjestelmän tehokkaan suojaamisen ja valvonnan varmistamiseksi on monia työkaluja, joita tiimin on ylläpidettävä ja päivitettävä säännöllisesti. Ilman kunnollisia välineitä on mahdotonta turvata tehokkaasti järjestelmiä ja verkkoja. Security operations Centerin tehtävät ja vastuut edellyttävät, että tiimin jäsenet ylläpitävät työkaluja, joita käytetään kaikissa turvallisuusprosesseissa. Tähän sisältyy tietojen kerääminen. Tietojen on ulotuttava kaikkiin verkon järjestelmiin, mukaan lukien pilvi-infrastruktuuri. Nämä lokit on sitten siirrettävä Siem ja log analytics työkalu. Yhdellä katkoksella tiedonkulun ketjussa voi olla vakavia seurauksia.
tutki epäilyttävää toimintaa
edellä mainittujen työkalujen avulla SOC-tiimi on vastuussa epäilyttävän ja mahdollisesti haitallisen toiminnan tutkimisesta verkoissa ja järjestelmissä. Tyypillisesti Siem-tai analytiikkaohjelmistosi tekee heidät tietoisiksi mahdollisista ongelmista antamalla hälytyksiä. Analyytikkoryhmänne tutkii sitten hälytykset, suorittaa triagen ja määrittää uhan laajuuden. Oikeiden työkalujen ja asiantuntemuksen yhdistelmä ovat menestyvän SOC-tiimin tarpeellisia aineksia.
Security Operations Centerin tehtävät ja tehtävät
vaikka roolit missä tahansa yrityksessä voivat olla eri nimiä, kaikilla organisaatioilla on kyberturvallisuuteen liittyen samanlaiset vastuut. Tässä ovat yleisemmät roolit SOC-tiimissä ja yksilölliset vastuut, jotka liittyvät kuhunkin rooliin.
tietoturva-analyytikot
tietoturva-analyytikot ovat tyypillisesti ensimmäisiä vastaajia vaaratilanteisiin. He ovat etulinjan sotilaita, jotka taistelevat kyberhyökkäyksiä vastaan ja analysoivat uhkia. Lyhyesti sanottuna heidän tehtävänään on havaita uhkia, tutkia niitä ja vastata niihin ajoissa. Lisäksi analyytikoilla voi olla vastuita, joihin liittyy johdon sanelemien turvatoimien toteuttaminen. Niillä voi olla myös rooli organisaation katastrofien elvytyssuunnitelmissa. Joissakin organisaatioissa turvallisuusanalyytikkojen odotetaan päivystävän vastaamassa häiriötilanteisiin, joita syntyy virka-ajan ulkopuolella.
turvallisuusinsinööri
Turvallisuusinsinöörit vastaavat työkalujen ylläpidosta, uusien työkalujen suosittelemisesta ja järjestelmien päivittämisestä. Monet turvallisuusinsinöörit ovat erikoistuneet SIEM-alustoihin. Turvallisuusinsinöörit vastaavat turvallisuusarkkitehtuurin ja-järjestelmien rakentamisesta. He työskentelevät tyypillisesti kehitystiimien kanssa varmistaakseen, että järjestelmät ovat ajan tasalla. Lisäksi turvallisuusinsinöörit dokumentoivat vaatimukset, menettelyt ja protokollat varmistaakseen, että muilla käyttäjillä on oikeat resurssit.
turvallisuuspäällikkö
SOC-tiimiin kuuluva turvallisuuspäällikkö vastaa koko toiminnan valvonnasta. He vastaavat tiimin jäsenten johtamisesta ja koordinoinnista turvallisuusinsinöörien kanssa. Turvallisuusjohtajat ovat vastuussa politiikkojen ja protokollien luomisesta palkkaamista varten sekä uusien prosessien rakentamisesta. Ne auttavat myös kehitystiimejä määrittelemään uusien turvallisuuskehityshankkeiden laajuuden. He toimivat suorana Pomona kaikille SOC-tiimin jäsenille.
Chief Information Security Officer
chief information security officer (CISO) vastaa organisaation tietoturvatoiminnan määrittelystä ja hahmottelusta. Ne ovat viimeinen sana strategiasta, politiikoista ja menettelyistä, jotka liittyvät kaikkiin kyberturvallisuuden osa-alueisiin organisaatiossa. Lisäksi ne voivat olla vastuussa myös vaatimustenmukaisuuden hallinnoinnista.
suuremmilla yrityksillä voi olla kokonaisia tiimejä, jotka ovat omistautuneet tähän tehtävään. Tyypillisesti CISO raportoi suoraan toimitusjohtajalle ja on suoraan yhteydessä koko ylempään johtoon. CISO-tehtävissä mennään paljon pidemmälle kuin teknisissä taidoissa, ja ne edellyttävät myös monimutkaisten asioiden välittämistä ylemmälle johdolle, joka ei välttämättä ole perehtynyt teknisiin asioihin.
Lisärooleja
useasti suuremmilla turvallisuusorganisaatioilla on rooleja kuten director incident response ja / tai director of threat intelligence. Johtaja vaaratilanteiden vastaus tai vaaratilanteiden vastauspäällikkö yksinkertaisesti valvoo ja priorisoi toimia aikana havaitsemisen vaaratilanteen. Tämä henkilö on yksin vastuussa siitä, että korkean vakavuuden vaaratilanteiden yksilölliset vaatimukset toimitetaan muulle yritykselle.
vaaratilanteiden vastuuhenkilö valvoo ja priorisoi toimia tapahtuman havaitsemisen, analysoinnin ja estämisen aikana. He ovat myös vastuussa erittäin vakavien vaaratilanteiden erityisvaatimusten välittämisestä muulle yritykselle.
johtopäätös
tehokkaan SOC-tiimin rakentaminen on välttämätöntä kaikenkokoisille organisaatioille. On tärkeää varmistaa, että voit saada kiinni, tutkia ja korjata tietoturvaloukkauksia. SOC: n tehtävät ja monimutkaisuus huomioon ottaen on erittäin tärkeää tarjota näkyvyyttä kautta linjan. On myös tärkeää muistaa, että vankka SOC on 24/7 ja useita vuoroja ja hallita työnkulun handoff saumattomasti ja varovaisesti on välttämätöntä. Määrittelemällä politiikat ja menettelyt, jotka ohjaavat yksilöitä, jotka ovat osa tätä tiimiä, pitäisi olla jatkuva prosessi, joka palvelee paremmin tiimiä ja organisaatiota kokonaisuutena. Security operations Centerin roolien ja vastuiden määrittely auttaa yrityksiä priorisoimaan ja arvioimaan paremmin tarpeitaan.
