26 ноября, 2020

Как избежать ошибок в построении SOC. Лайфхаки от Тинькофф Банка

Поддерживаю Алексея Лукацкого! Все советы по делу! Я бы дополнил ещё несколькими идеями.

  • Не изобретайте велосипед. Не нужно разрабатывать все правила и сценарии с нуля – в условиях «гитхабизации» огромное количество готовых правил корреляции доступны аналитикам. Умейте использовать чужой опыт – iOc, техники поведения злодеев и т.д. Многое из этого открыто и доступно в интернет, например, в каналах Twitter.
  • Переиспользуйте. Выясните, что уже реализовано – в мониторинге ИТ, клиентском антифроде, сверках платежей ОПЕРу. Это не только инфраструктура, это могут и должны быть критичные прикладные системы, DLP, антифрод.
  • SOC – это в первую очередь набор процессов и людей, структурированных под вашу организацию. SIEM не всегда главный компонент, а возможно, что он в вашем SOC и не нужен. Не обязательно стараться все затянуть в SIEM – вполне нормальный вариант делать прекорреляцию на sysmon на конечных хостах.
  • Интегрируйте проактивные техники threatintelligence/threathunting в процессы SOC.
  • Тестируйте каждое правило SOC. Постоянно. Автоматизировано. На практике без этого вы рискуете узнать, что из источника пропали события или уже после инцидента не работает правило. Считаете что закрыли мониторингом какую либо технику хакерской группы? Протестируйте это руками redteam и поставьте на мониторинг. Нет redteam? Найдите способы тестирования и автоматизируйте их. Иначе не считается.
  • Внедрение средства защиты не считается, если SOC не принимал в нем участие и не реагирует на него.
  • Автоматизируйте все, что можно автоматизировать. Задать вопрос пользователю в мессенджер и обработать его ответ вполне может и робот.
  • Профилируйте! Планируйте как развивать направление поиска отклонений от «стандартного» поведения. Думаю, мы все уйдем в machine learning рано или поздно, но уже и сейчас можно на простых выборках выявлять отклонения, а также фильтровать фолс.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.07.2025
Скамеры раздают «советские» дивиденды
11.07.2025
Роскачество исследует механизм финансовых манипуляций в видеоиграх
11.07.2025
Владельцам дата-центров официально запретят майнить?
11.07.2025
Банкирам дадут всего три часа на информирование о киберинциденте
11.07.2025
RED Security SOC: Ландшафт атак становится всё более изощрённым
10.07.2025
От айтишников всё чаще требуют развитых soft skills
10.07.2025
Хакер попытался украсть личность госсекретаря США с помощью ИИ
10.07.2025
Финрегулятор хочет раскрыть имена собственников банков
10.07.2025
«Большая часть компаний начинает инвестировать в ИБ только в ответ на требования извне»
10.07.2025
Telegram эволюционирует, скамеры — тоже

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных