a SOC csapat szerepeinek és felelősségének megértése
a hatékony biztonsági műveleti központ (SOC) létrehozása elengedhetetlen minden méretű szervezet számára. Csakúgy, mint maguk a vállalatok, minden biztonsági csapat más.
azok a vállalatok, amelyek felismerik a kiberbiztonság fontosságát, befektetik a szükséges összeget annak biztosítására, hogy adataik és rendszereik biztonságban maradjanak, és hogy SOC csapatuk rendelkezzen a fenyegetések kezeléséhez szükséges erőforrásokkal.
a biztonsági műveleti központ szerepkörei és felelősségi körei meglehetősen egyértelműek, de követelményeikben különböznek egymástól.
összességében a szervezetek hajlamosak voltak alulértékelni a kiberbiztonságot. A biztonsági műveletek csapatai számtalan kihívással néznek szembe – gyakran kevés a személyzet, túlterheltek, és kevés láthatóságot kapnak a felső vezetéstől.
ingyenes letöltés: GARTNER MARKET GUIDE for SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE SOLUTIONS
Ha ezek a vállalatok tudták, mi forog kockán, akkor fogadhat, hogy hajlandóak lennének nagyobb beruházásokat végrehajtani SOC-jukban és csapattagjaikban. A biztonsági műveleteket követően a bevált gyakorlatok segítenek a vállalatoknak megvédeni magukat, és jobb környezetet biztosítanak a SOC csapatok számára. Az új, nagy horderejű támadások, amelyek naponta rögzítik a címsorokat, a szervezetek kezdik hangsúlyozni a kiberbiztonság jelentőségét, és a biztonsági műveleti központ értékes fókuszponttá válik.
bár az összes SOC csapat kissé eltérhet egymástól, a legtöbbnek nagyjából ugyanaz a szerepe és felelőssége. A hatékony SOC kiépítése előrelátást és végrehajtható cselekvési tervet igényel. Vessünk egy pillantást minden SOC csapat alapvető szerepére és felelősségére.
biztonsági műveleti központ szerepkörök és felelősségek
Az átlagos SOC-csapatnak számos feladata van, amelyeket számos szerepkörben el kell végeznie. A SOC-csapatok általában két alapvető feladatot fednek le-a biztonsági felügyeleti eszközök karbantartását és a gyanús tevékenységek kivizsgálását.
biztonsági felügyeleti eszközök karbantartása
a rendszer hatékony védelme és figyelemmel kísérése érdekében számos olyan eszköz létezik, amelyet a csapatnak rendszeresen karbantartania és frissítenie kell. Megfelelő eszközök nélkül lehetetlen hatékonyan biztosítani a rendszereket és hálózatokat. A biztonsági műveleti központ szerepkörei és felelősségi körei megkövetelik a csapattagoktól, hogy az összes biztonsági folyamat során használt eszközöket karbantartsák. Ez magában foglalja az adatgyűjtést is. Ezeknek az adatoknak ki kell terjedniük a hálózat összes rendszerére, beleértve a felhőinfrastruktúrát is. Ezeket a naplókat ezután át kell adni egy SIEM és egy log analytics eszköznek. Az információáramlás láncának egyetlen megszakítása súlyos következményekkel járhat.
vizsgálja meg a gyanús tevékenységeket
a fent említett eszközök segítségével a SOC csapata felelős a hálózatokon és rendszereken belüli gyanús és potenciálisan rosszindulatú tevékenységek kivizsgálásáért. A SIEM-vagy elemző szoftver általában figyelmeztetések kiadásával tudatja velük a lehetséges problémákat. Az elemzői csapat ezután megvizsgálja a riasztásokat, elvégzi a triage-t, és meghatározza a fenyegetés hatókörét. A megfelelő eszközök és szakértelem kombinációja a sikeres SOC csapat szükséges összetevői.
biztonsági műveleti központ szerepek és pozíciók
bár a szerepek bármely vállalatnál eltérő nevűek lehetnek, minden szervezet hasonló felelősséggel tartozik a kiberbiztonság terén. Itt vannak a SOC-csapaton belüli gyakoribb szerepek és az egyes szerepekhez kapcsolódó egyéni felelősségek.
biztonsági elemző
a biztonsági elemzők általában az első válaszadók az eseményekre. Ők a frontvonal katonái, akik kibertámadások ellen harcolnak és fenyegetéseket elemeznek. Röviden, feladatuk a fenyegetések felderítése, a fenyegetések kivizsgálása és időben történő reagálása. Ezenkívül az elemzőknek lehetnek olyan felelősségeik, amelyek magukban foglalják a vezetés által diktált biztonsági intézkedések végrehajtását. Szerepet játszhatnak a szervezeti katasztrófa-helyreállítási tervekben is. Egyes szervezetekben a biztonsági elemzők várhatóan ügyeletben állnak, hogy reagáljanak a munkaidőn kívül felmerülő eseményekre.
biztonsági mérnök
a biztonsági mérnökök felelősek az eszközök karbantartásáért, új eszközök ajánlásáért és a rendszerek frissítéséért. Számos biztonsági mérnök a SIEM platformokra szakosodott. A biztonsági mérnökök felelősek a biztonsági architektúra és rendszerek felépítéséért. Általában a fejlesztési műveleti csapatokkal dolgoznak annak biztosítása érdekében, hogy a rendszerek naprakészek legyenek. Ezenkívül a biztonsági mérnökök dokumentálják a követelményeket, eljárásokat és protokollokat annak biztosítása érdekében, hogy más felhasználók rendelkezzenek a megfelelő erőforrásokkal.
Security Manager
a SOC csapat biztonsági menedzsere felelős a műveletek teljes felügyeletéért. Ők felelősek a csapat tagjainak irányításáért és a biztonsági mérnökökkel való koordinációért. A biztonsági vezetők felelősek a bérleti politikák és protokollok létrehozásáért és az új folyamatok felépítéséért. Segítenek a fejlesztési csapatoknak az új biztonsági fejlesztési projektek hatókörének meghatározásában is. Közvetlen főnökként szolgálnak a SOC csapat minden tagjának.
Chief Information Security Officer
a chief information security officer (CISO) felelős a szervezet biztonsági műveleteinek meghatározásáért és felvázolásáért. Ezek a végső szó a stratégiáról, a politikákról és az eljárásokról, amelyek a szervezeten belüli kiberbiztonság minden aspektusában részt vesznek. Ezenkívül felelősek lehetnek a megfelelés kezeléséért is.
A nagyobb vállalatok egész csapatokkal rendelkezhetnek erre a feladatra. Jellemzően a CISO közvetlenül a vezérigazgatónak számol be, és közvetlen kapcsolatban áll az összes felső vezetéssel. A CISO pozíciók messze túlmutatnak a technikai készségeken, és bonyolult kérdéseket kell kommunikálniuk a felső vezetésnek, amely nem biztos, hogy ismeri a technikai kérdéseket.
további szerepkörök
gyakran a nagyobb biztonsági szervezetek olyan szerepkörökkel rendelkeznek, mint például az incidensválasz igazgatója és / vagy a fenyegetésintelligencia igazgatója. Az incident response igazgatója vagy az incident response manager egyszerűen felügyeli és rangsorolja az esemény észlelése során végrehajtható lépéseket. Kizárólag ez a személy felelős azért, hogy a nagy súlyosságú események egyedi követelményeit továbbítsa a vállalat többi tagjának.
az incident response manager felügyeli és rangsorolja az eseményeket az esemény észlelése, elemzése és elszigetelése során. Ők felelősek azért is, hogy a nagy súlyosságú események különleges követelményeit továbbítsák a vállalat többi tagjának.
következtetés
egy hatékony SOC csapat kiépítése elengedhetetlen minden méretű szervezet számára. Kulcsfontosságú annak biztosítása, hogy elkapja, kivizsgálja és orvosolja a biztonsági eseményeket. Tekintettel a SOC-n belüli szerepekre és összetettségre, rendkívül fontos a láthatóság biztosítása az egész területen. Fontos szem előtt tartani azt is, hogy a szilárd SOC 24/7 és több műszakban, valamint a munkafolyamat-átadás zökkenőmentes és körültekintő kezelése elengedhetetlen. A csapat részét képező egyéneket szabályozó politikák és eljárások meghatározásának folyamatos folyamatnak kell lennie a csapat és a szervezet egészének jobb kiszolgálása érdekében. A biztonsági műveleti központ szerepköreinek és felelősségi köreinek meghatározása segít a vállalatoknak az igényeik rangsorolásában és jobb felmérésében.