Остерегайтесь синдрома «мы всегда так делали». Как повысить эффективность SOC и избежать выгорания команды

Работа в Центре мониторинга и реагирования на компьютерные инциденты (SOC) означает, что когда всё работает нормально, никто не знает, что вы за это ответственны, но когда что-то идёт не по плану, все знают, кого винить. Так пишет портал CISO Series.

Необходимо постоянно сохранять бдительность, что часто приводит к переутомлению сотрудников. CISO постоянно пытаются улучшить работу, купить новые инструменты или сменить людей. Эксперты портала поделились советами, как перестать нервничать, внедрить эффективную культуру безопасности и привлечь к работе всех сотрудников.

Автоматизация. Она помогает сократить ненужные усилия команды и берёт на себя большую часть работы. Любая возможность автоматизации — это первый шаг к улучшению SOC.

Не надо изобретать велосипед. Лучшие методы автоматизации и стоит ими воспользоваться.

Автоматизация улучшается благодаря налаживанию коммуникации между сотрудниками SOC и другими командами в компании.

Контроль. Управляйте только тем, что можете проконтролировать.

Качество, а не количество. Наличие в SOC большого числа инструментов мониторинга и обнаружения означает, что они предоставляют большой объём информации с большим уровнем шума. Начните с уменьшения объёма поступающей информации, идите по пути повышения качества этих данных для обнаружения сигнала атаки.

Перестаньте думать, что вы должны хранить все данные. Затраты на хранение запросов в SIEM не сравнимы с затратами на хранение информации для инфраструктурных и операционных целей в иных инструментах и платформах.

Создайте свой фонд ПО, сосредоточьтесь на фундаментальных принципах. Если у вас установлены базовые инструменты обеспечения безопасности и вы можете видеть картину в целом, то у вашего SOC есть основа для начала работы.

Боритесь с расточительностью. Начните с эффективного управления ресурсами, которые у вас уже есть.

Не тратьте время и деньги впустую: «новое блестящее решение» от отдела маркетинга вендоров вряд ли решит все проблемы. Сосредоточьтесь на средствах защиты, которые могут быть комплексно реализованы и работают без сбоев.

Остерегайтесь синдрома «мы всегда так делали». Многие команды разработчиков ПО все еще полагаются на ручное вмешательство на первом этапе защиты, особенно с учетом растущих возможностей искусственного интеллекта.

Следите за оформлением документов. Контакт регулирующих органов, соблюдение требований и оформление документов всегда требуют времени и финансовых средств.

Серьёзно относитесь к эмоциональному выгоранию. Отсутствие показателей, бумажная волокита и трата времени впустую могут привести к истощению команды.

Ложные срабатывания приводят к расточительству. Настройка системы обнаружения — это важный этап, о котором часто забывают. Однако именно с ним связано устранение ложных срабатываний.

Определите бизнес-цели. Это позволяет определить характеристики SOC и наиболее важные системы, которые вам необходимо отслеживать, минимально допустимый уровень журналов аудита и необходимое количество аналитиков.

Устраняйте внутренние проблемы с помощью имеющихся инструментов. Но помните, что не каждый инструмент сможет реализовать ваши желания.

Сотрудничайте с вендорами — они должны помочь вам оптимизировать свои инструменты в вашей среде.

Пользуйтесь преимуществами стандартов и открытых данных. Получайте информацию о тактике, методах и процессах из открытых источников, чтобы найти информацию, связанную с более масштабными атаками.

Оцените критическим взглядом данные, которые вы обрабатываете. Могут ли они быть действительно более полезными для вас как аналитика. Если собранные данные не дают результатов, откажитесь от них.

Интегрируйте инструменты TI и SOC.

Задержка оповещения в SOC может стать фатальной. Лучшие решения — сочетание правильных людей и правильной автоматизации. Сократить время между возникновением инцидента и принятием корректирующих мер помогут ИИ-технологии и даже прямое обращение к владельцу учётной записи, в которой обнаружена подозрительная активность.

Встройте искусственный интеллект в работу SOC для повышения эффективности. Предоставьте это поставщикам: вы получите наибольшую выгоду от успешного внедрения ИИ в инструменты вендоров. При этом рассматривайте ИИ в перспективе — у технологий есть как положительные, так и отрицательные стороны.

Эффективная работа SOC по-прежнему зависит от человека.

Эффективность SOC — это одновременно наука и искусство, подводит итоги портал CISO Series. Конечно, нужны проверенные технологии и лучшие из инструментов ИИ, но в целом нужно сосредоточиться на создании сильной команды опытных специалистов, способных сочетать практические рекомендации со знаниями и проницательностью.

 

Готовы обсудить практику противодействия кибератакам и построения центров мониторинга ИБ, методы обнаружения и анализа инцидентов? Хотите узнать особенности работы инструментов детекта на Linux? Поделиться опытом расследований своих команд форензики и групп реагирования? Поговорить о применении технологий искусственного интеллекта для решения ИБ-задач?

Второй SOC Tech ждёт вас 15 октября 2024 года. Оригинальные форматы откроют возможности сверхэффективного взаимодействия между участниками, спикерами и партнёрами. Успейте предложить темы для докладов!

12 сентября, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
09.10.2024
«Необходимо внедрить архитектурный подход к производству ПО»
09.10.2024
Две недели до XI Форума ВБА-2024 «Вся банковская автоматизация»
09.10.2024
Легенды не врали: Роскомнадзор таки заблокировал Discord
09.10.2024
«Ты делаешь запрос, но делаешь его без уважения». «Нобелевку» по физике забрал «крёстный отец ИИ»
09.10.2024
BREAKING NEWS: ИИ-мошенники действуют под прикрытием ураганов
08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных