Еще одна заметку в тему предстоящего через пару дней SOC-Forum. На этот раз на тему того, что же такое SOC и является ли обернутый в процессы SIEM-продукт таким SOCом?
Вообще, если посмотреть на программу форума, то можно увидеть интересную тенденцию, все выступления (если не брать те, которые непосредственно касаются SOCов) концентрируются вокруг либо SIEM, либо реагирования на инциденты. Когда речь заходит о SOCах (Security Operation Center), то почему-то обычно все уходят в крайности - либо такой центр занимается только мониторингом (поэтому не случайно так часто термины SOC и SIEM сосуществуют рука об руку), либо он занимается борьбой с последствиями успешных атак.
Никто не будет спорить, что и мониторинг, и реагирование, - это operations (повседневные операции), которыми занимаются службы ИБ. Вот только возникает логический вопрос - а остальные операции куда пропали? Управление уязвимостями, управление патчами, управление средствами защиты, управление криптографическими ключами и сертификатами, управление учетными записями… Куда попадают эти операции? В SOC? Если следовать буквальному термину, то да. Но почему тогда про них мало кто говорит в контексте SOC?
Почему некоторые компании, установив у себя SIEM, говорят о том, что у них теперь есть SOC? Только потому, что они еще и некоторые SIEM-процессы внедрили? Или потому что на каждый отфильтрованный сигнал тревоги запускается процедура разбора полетов? А как насчет других повседневных операций? Почему все концентрируются только вокруг SIEM, как витрины SOC, или вокруг реагирования на инциденты? Что же все-таки такое Security Operations Center, которому будет посвящен предстоящий форум? Надо будет обсудить это на форуме.
Вообще, если посмотреть на программу форума, то можно увидеть интересную тенденцию, все выступления (если не брать те, которые непосредственно касаются SOCов) концентрируются вокруг либо SIEM, либо реагирования на инциденты. Когда речь заходит о SOCах (Security Operation Center), то почему-то обычно все уходят в крайности - либо такой центр занимается только мониторингом (поэтому не случайно так часто термины SOC и SIEM сосуществуют рука об руку), либо он занимается борьбой с последствиями успешных атак.
Так многие воспринимают Security Operations Center |
Почему некоторые компании, установив у себя SIEM, говорят о том, что у них теперь есть SOC? Только потому, что они еще и некоторые SIEM-процессы внедрили? Или потому что на каждый отфильтрованный сигнал тревоги запускается процедура разбора полетов? А как насчет других повседневных операций? Почему все концентрируются только вокруг SIEM, как витрины SOC, или вокруг реагирования на инциденты? Что же все-таки такое Security Operations Center, которому будет посвящен предстоящий форум? Надо будет обсудить это на форуме.
Остальные операции должны контроллироваться SOCом с помощью метрик по соответствующим превентивным процессам защиты. И при отклонении значений метрик от заданных границ (это тоже инцидент) - реагировать. Очевидно, что метрики могут измеряться с помощью SIEM систем. Также, SOCу не плохо проводить контроль эффективности процессов защиты с помощью периодических тестов.
ОтветитьУдалитьОтклонение значений метрик от заданных пороговых значений - это инцидент чего? И какой ущерб от такого отклонения?
ОтветитьУдалитьМетрики, измеряемые с помощью SIEM-систем, - это самый низший уровень в измерении ИБ. Они никак с бизнесом не связаны. Тут нужны отдельные решения.
Интересно, данную тему затронули на SOC-форуме?
ОтветитьУдалитьЯ вот тоже понял, что SIEM - это сбоку припеку, даже анализ уязвимостей как-то странновато в него интегрируется... А замена ключей, проведение регулярных проверок, подготовка отчетности по ИБ, обновление документов, контроль закрытия рекомендаций аудита и выявленных уязвимостей, и т.п....
ПОлучается, что SOC - это Outlook с книжкой Г. Архангельского ;-)
Нет
ОтветитьУдалить