zrozumienie ról i obowiązków zespołu SOC
budowanie efektywnego centrum operacji bezpieczeństwa (Soc) ma kluczowe znaczenie dla organizacji każdej wielkości. Podobnie jak same firmy, każdy zespół ds. bezpieczeństwa jest inny.
firmy, które uznają znaczenie cyberbezpieczeństwa, zainwestują niezbędną kwotę, aby zapewnić bezpieczeństwo swoich danych i systemów oraz aby ich zespół SOC dysponował zasobami niezbędnymi do radzenia sobie z zagrożeniami.
role i obowiązki centrum operacji bezpieczeństwa są dość proste, ale różnią się pod względem wymagań.
ogólnie rzecz biorąc, organizacje mają tendencję do zaniżania wartości cyberbezpieczeństwa. Zespoły ds. bezpieczeństwa borykają się z niezliczonymi wyzwaniami – często brakuje im personelu, są przepracowane i otrzymują niewielki wgląd od kierownictwa wyższego szczebla.
bezpłatne pobieranie: Gartner MARKET GUIDE FOR SECURITY ORCHESTRATION, AUTOMATION and RESPONSE SOLUTIONS
gdyby te firmy wiedziały, o co chodzi, można się założyć, że będą skłonne do większych inwestycji w swoje SOC i członków zespołu. Po przeprowadzeniu operacji bezpieczeństwa najlepsze praktyki pomogą firmom chronić się i zapewnić lepsze środowisko zespołom SOC. Dzięki nowym, głośnym atakom, które codziennie pojawiają się w nagłówkach gazet, organizacje zaczynają podkreślać znaczenie cyberbezpieczeństwa, a centrum operacji bezpieczeństwa staje się cenionym punktem centralnym.
chociaż wszystkie zespoły SOC mogą się nieco różnić od siebie, większość z nich ma mniej więcej te same role i obowiązki. Budowanie skutecznego SOC wymaga dalekowzroczności i wykonalnego planu działania. Przyjrzyjmy się podstawowym rolom i obowiązkom każdego zespołu SOC.
role i obowiązki Centrum Operacji bezpieczeństwa
przeciętny zespół SOC ma wiele obowiązków, którymi powinien zarządzać w wielu rolach. Zazwyczaj zespoły SOC mają stanowiska, które obejmują dwa podstawowe obowiązki-utrzymywanie narzędzi monitorowania bezpieczeństwa i badanie podejrzanych działań.
utrzymanie narzędzi do monitorowania bezpieczeństwa
aby skutecznie zabezpieczyć i monitorować system, istnieje wiele narzędzi, które zespół musi regularnie utrzymywać i aktualizować. Bez odpowiednich narzędzi nie da się skutecznie zabezpieczyć systemów i sieci. Role i obowiązki centrum operacji bezpieczeństwa wymagają od członków zespołu utrzymywania narzędzi używanych we wszystkich procesach bezpieczeństwa. Obejmuje to gromadzenie danych. Dane te muszą obejmować wszystkie systemy w sieci, w tym infrastrukturę chmury. Dzienniki te muszą być następnie przekazywane do SIEM i narzędzia do analizy dzienników. Pojedyncza przerwa w łańcuchu przepływu informacji może mieć poważne konsekwencje.
Badaj podejrzane działania
za pomocą wyżej wymienionych narzędzi zespół SOC jest odpowiedzialny za badanie podejrzanych i potencjalnie szkodliwych działań w sieciach i systemach. Zazwyczaj oprogramowanie SIEM lub analityczne uświadamia im potencjalne problemy, wysyłając alerty. Następnie zespół analityków analizuje alerty, dokonuje oceny stanu i określa zakres zagrożenia. Połączenie odpowiednich narzędzi i wiedzy jest niezbędnym składnikiem udanego zespołu SOC.
role i stanowiska w Centrum Operacji bezpieczeństwa
chociaż role w każdej firmie mogą mieć różne nazwy, wszystkie organizacje mają podobne obowiązki w zakresie cyberbezpieczeństwa. Oto bardziej powszechne role w zespole SOC i indywidualne obowiązki, które są związane z każdą rolą.
analityk bezpieczeństwa
analitycy bezpieczeństwa są zazwyczaj pierwszymi osobami reagującymi na incydenty. Są to żołnierze na pierwszej linii frontu walczący z cyberatakami i analizujący zagrożenia. Krótko mówiąc, ich zadaniem jest wykrywanie zagrożeń, badanie tych zagrożeń i reagowanie na nie w odpowiednim czasie. Dodatkowo analitycy mogą mieć obowiązki, które obejmują wdrażanie środków bezpieczeństwa podyktowanych przez kierownictwo. Mogą one również odgrywać rolę w organizacyjnych planach odzyskiwania po awarii. W niektórych organizacjach oczekuje się, że analitycy bezpieczeństwa będą dyżurować w celu reagowania na incydenty, które pojawiają się poza godzinami pracy.
inżynier bezpieczeństwa
inżynierowie bezpieczeństwa są odpowiedzialni za utrzymanie narzędzi, rekomendowanie nowych narzędzi i aktualizowanie systemów. Wielu inżynierów bezpieczeństwa specjalizuje się w platformach SIEM. Inżynierowie bezpieczeństwa są odpowiedzialni za budowanie architektury i systemów bezpieczeństwa. Zazwyczaj współpracują z zespołami ds. rozwoju, aby zapewnić aktualność systemów. Ponadto inżynierowie ds. bezpieczeństwa dokumentują wymagania, procedury i protokoły, aby zapewnić, że inni użytkownicy mają odpowiednie zasoby.
Menedżer bezpieczeństwa
menedżer bezpieczeństwa w zespole SOC jest odpowiedzialny za nadzorowanie operacji w całości. Są odpowiedzialni za Zarządzanie członkami zespołu i koordynację z inżynierami ds. bezpieczeństwa. Menedżerowie ds. bezpieczeństwa są odpowiedzialni za tworzenie zasad i protokołów zatrudniania oraz budowanie nowych procesów. Pomagają również zespołom programistycznym określić zakres nowych projektów związanych z rozwojem bezpieczeństwa. Służą jako bezpośredni szef dla wszystkich członków zespołu SOC.
Chief Information Security Officer
chief information security officer (CISO) jest odpowiedzialny za definiowanie i opisywanie operacji bezpieczeństwa organizacji. Są one ostatnim słowem na temat strategii, polityk i procedur związanych ze wszystkimi aspektami bezpieczeństwa cybernetycznego w organizacji. Ponadto mogą one być również odpowiedzialne za zarządzanie zgodnością.
większe firmy mogą mieć całe zespoły dedykowane do tego zadania. Zazwyczaj CISO zgłasza się bezpośrednio do Prezesa i ma bezpośredni kontakt z całym kierownictwem wyższego szczebla. Stanowiska CISO wykraczają daleko poza umiejętności techniczne, a także wymagają komunikowania skomplikowanych problemów kierownictwu wyższego szczebla, które mogą nie mieć wiedzy w kwestiach technicznych.
dodatkowe role
często większe organizacje zajmujące się bezpieczeństwem pełnią takie role, jak dyrektor ds. reagowania na incydenty i / lub dyrektor ds. analizy zagrożeń. Dyrektor ds. reagowania na incydenty lub menedżer reagowania na incydenty po prostu nadzoruje i priorytetyzuje możliwe do wykonania kroki podczas wykrywania incydentu. Osoba ta ponosi wyłączną odpowiedzialność za przekazanie unikalnych wymagań dotyczących incydentów o dużym nasileniu reszcie firmy.
menedżer reagowania na incydenty nadzoruje i priorytetyzuje działania podczas wykrywania, analizy i zabezpieczania incydentu. Są one również odpowiedzialne za przekazywanie specjalnych wymagań dotyczących poważnych incydentów reszcie firmy.
wnioski
budowanie skutecznego zespołu SOC jest niezbędne dla organizacji każdej wielkości. Zapewnienie możliwości złapania, zbadania i usunięcia incydentów bezpieczeństwa jest kluczowe. Biorąc pod uwagę role i złożoność w ramach SOC, niezwykle istotne jest zapewnienie widoczności we wszystkich obszarach. Ważne jest również, aby pamiętać, że solidny SOC jest 24/7 i wiele zmian, a zarządzanie przepływem pracy płynnie i rozważnie jest koniecznością. Definiowanie polityk i procedur, które regulują osoby wchodzące w skład tego zespołu, powinno być ciągłym procesem, aby lepiej służyć zespołowi i organizacji jako całości. Zdefiniowanie ról i obowiązków centrum operacji bezpieczeństwa pomaga firmom ustalać priorytety i lepiej oceniać ich potrzeby.