förstå Soc-teamets roller och ansvar
att bygga ett effektivt säkerhetscenter (SOC) är avgörande för organisationer av alla storlekar. Precis som företagen själva är varje säkerhetsteam annorlunda. företag som inser vikten av cybersäkerhet kommer att investera det nödvändiga beloppet för att säkerställa att deras data och system förblir säkra och att deras SOC-team har de resurser som krävs för att hantera hot.
säkerhetsoperationscentrets roller och ansvarsområden är ganska rakt framåt, men tydliga i deras krav.
på det hela taget har organisationer haft en tendens att undervärdera cybersäkerhet. Säkerhetsoperationsteam står inför otaliga utmaningar – de är ofta underbemannade, överarbetade och får liten synlighet från den övre ledningen.
gratis nedladdning: GARTNER MARKET GUIDE FOR SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE SOLUTIONS
om dessa företag visste vad som stod på spel kan du satsa på att de skulle vara villiga att göra större investeringar i sina SOC och teammedlemmar. Efter säkerhetsoperationer kommer bästa praxis att hjälpa företag att skydda sig och ge en bättre miljö för SOC-Team. Med nya högprofilerade attacker som fångar rubriker dagligen börjar organisationer betona betydelsen av cybersäkerhet och security operations center blir en värderad kontaktpunkt.
även om alla SOC-team kan skilja sig lite från varandra, har de flesta ungefär samma roller och ansvar. Att bygga en effektiv SOC kräver framsyn och en körbar handlingsplan. Låt oss ta en titt på de grundläggande rollerna och ansvaret för varje SOC-team.
Security Operations Center roller och ansvar
det genomsnittliga SoC-teamet har många ansvarsområden som de förväntas hantera över ett antal roller. Vanligtvis har SOC-Team positioner som täcker två grundläggande ansvarsområden – att upprätthålla säkerhetsövervakningsverktyg och undersöka misstänkta aktiviteter.
underhålla Säkerhetsövervakningsverktyg
för att effektivt säkra och övervaka ett system finns det många verktyg som teamet måste underhålla och uppdatera regelbundet. Utan lämpliga verktyg är det omöjligt att effektivt säkra system och nätverk. Roller och ansvarsområden för security operations center kräver att teammedlemmar underhåller verktyg som används i alla säkerhetsprocesser. Detta inkluderar insamling av data. Dessa data måste omfatta alla system i nätverket, inklusive molninfrastruktur. Dessa loggar måste sedan skickas till ett SIEM och ett logganalysverktyg. Ett enda avbrott i kedjan av informationsflöde kan få allvarliga konsekvenser.
Undersök misstänkta aktiviteter
med hjälp av verktyg som nämns ovan är SOC-teamet ansvarigt för att undersöka misstänkt och potentiellt skadlig aktivitet inom nätverk och system. Vanligtvis kommer din SIEM-eller analysprogramvara att göra dem medvetna om potentiella problem genom att utfärda varningar. Ditt team av analytiker undersöker sedan varningarna, utför triage och bestämmer omfattningen av hotet. Kombinationen av lämpliga verktyg och expertis är de nödvändiga ingredienserna för ett framgångsrikt SOC-team.
Security Operations Center roller och positioner
även om rollerna i alla företag kan ha olika namn har alla organisationer liknande ansvar när det gäller cybersäkerhet. Här är de vanligaste rollerna inom ett SOC-team och de individuella ansvarsområden som är förknippade med varje roll.
säkerhetsanalytiker
säkerhetsanalytiker är vanligtvis de första som svarar på incidenter. De är soldaterna i frontlinjen som kämpar mot cyberattacker och analyserar hot. Kort sagt, deras jobb är att upptäcka hot, undersöka dessa hot och svara på dem i tid. Dessutom kan analytiker ha ansvar som innebär att genomföra säkerhetsåtgärder som dikteras av ledningen. De kan också spela en roll i organisatoriska katastrofåterställningsplaner. I vissa organisationer förväntas säkerhetsanalytiker vara jourhavande för att svara på incidenter som uppstår utanför kontorstid.
säkerhetsingenjör
säkerhetsingenjörer ansvarar för att underhålla verktyg, rekommendera nya verktyg och uppdatera system. Många säkerhetsingenjörer är specialiserade på Siem-plattformar. Säkerhetsingenjörer ansvarar för att bygga säkerhetsarkitekturen och systemen. De arbetar vanligtvis med utvecklingsoperationsteam för att säkerställa att systemen är uppdaterade. Dessutom dokumenterar säkerhetsingenjörer krav, procedurer och protokoll för att säkerställa att andra användare har rätt resurser.
Security Manager
en säkerhetschef inom ett SOC-team ansvarar för att övervaka verksamheten på det hela taget. De ansvarar för att hantera teammedlemmar och samordna med säkerhetsingenjörer. Säkerhetschefer ansvarar för att skapa policyer och protokoll för anställning och bygga nya processer. De hjälper också utvecklingsteam att fastställa omfattningen av nya säkerhetsutvecklingsprojekt. De tjänar som direktchef för alla medlemmar i SOC-laget.
Chief Information Security Officer
chief information security officer (CISO) ansvarar för att definiera och beskriva organisationens säkerhetsverksamhet. De är det sista ordet om strategi, politik och förfaranden som är involverade i alla aspekter av cybersäkerhet inom organisationen. Dessutom kan de också vara ansvariga för att hantera efterlevnad.
större företag kan ha hela team dedikerade till denna uppgift. Vanligtvis rapporterar en CISO direkt till VD och har direktkontakt med hela den övre ledningen. CISO-positioner går långt förbi tekniska färdigheter och kräver också att kommunicera komplicerade frågor till högsta ledningen som kanske inte är kunniga i tekniska frågor.
ytterligare roller
ofta har större säkerhetsorganisationer roller som director incident response och/eller director of threat intelligence. Direktören för incident response eller incident response manager övervakar helt enkelt och prioriterar handlingsbara steg under upptäckten av en incident. Den här personen är ensam ansvarig för att förmedla de unika kraven på incidenter med hög svårighetsgrad till resten av företaget.
incident response manager övervakar och prioriterar åtgärder under upptäckt, analys och inneslutning av en incident. De är också ansvariga för att förmedla de speciella kraven för incidenter med hög svårighetsgrad till resten av företaget.
slutsats
att bygga ett effektivt SOC-team är absolut nödvändigt för organisationer av alla storlekar. Att se till att du kan fånga, undersöka och åtgärda säkerhetsincidenter är nyckeln. Med tanke på rollerna och komplexiteten inom en SOC är det väldigt viktigt att ge synlighet över hela linjen. Det är också viktigt att vara medveten om att en solid SOC är 24/7 och flera skift och hantera arbetsflödet handoff sömlöst och försiktigt är ett måste. Att definiera policyer och förfaranden som styr individer som ingår i detta team bör vara en pågående process för att bättre tjäna laget och organisationen som helhet. Att definiera roller och ansvarsområden för security operations center hjälper företag att prioritera och bättre bedöma deras behov.