Работа в Центре мониторинга и реагирования на компьютерные инциденты (SOC) означает, что когда всё работает нормально, никто не знает, что вы за это ответственны, но когда что-то идёт не по плану, все знают, кого винить. Так пишет портал CISO Series.
Необходимо постоянно сохранять бдительность, что часто приводит к переутомлению сотрудников. CISO постоянно пытаются улучшить работу, купить новые инструменты или сменить людей. Эксперты портала поделились советами, как перестать нервничать, внедрить эффективную культуру безопасности и привлечь к работе всех сотрудников.
Автоматизация. Она помогает сократить ненужные усилия команды и берёт на себя большую часть работы. Любая возможность автоматизации — это первый шаг к улучшению SOC.
Не надо изобретать велосипед. Лучшие методы автоматизации и стоит ими воспользоваться.
Автоматизация улучшается благодаря налаживанию коммуникации между сотрудниками SOC и другими командами в компании.
Контроль. Управляйте только тем, что можете проконтролировать.
Качество, а не количество. Наличие в SOC большого числа инструментов мониторинга и обнаружения означает, что они предоставляют большой объём информации с большим уровнем шума. Начните с уменьшения объёма поступающей информации, идите по пути повышения качества этих данных для обнаружения сигнала атаки.
Перестаньте думать, что вы должны хранить все данные. Затраты на хранение запросов в SIEM не сравнимы с затратами на хранение информации для инфраструктурных и операционных целей в иных инструментах и платформах.
Создайте свой фонд ПО, сосредоточьтесь на фундаментальных принципах. Если у вас установлены базовые инструменты обеспечения безопасности и вы можете видеть картину в целом, то у вашего SOC есть основа для начала работы.
Боритесь с расточительностью. Начните с эффективного управления ресурсами, которые у вас уже есть.
Не тратьте время и деньги впустую: «новое блестящее решение» от отдела маркетинга вендоров вряд ли решит все проблемы. Сосредоточьтесь на средствах защиты, которые могут быть комплексно реализованы и работают без сбоев.
Остерегайтесь синдрома «мы всегда так делали». Многие команды разработчиков ПО все еще полагаются на ручное вмешательство на первом этапе защиты, особенно с учетом растущих возможностей искусственного интеллекта.
Следите за оформлением документов. Контакт регулирующих органов, соблюдение требований и оформление документов всегда требуют времени и финансовых средств.
Серьёзно относитесь к эмоциональному выгоранию. Отсутствие показателей, бумажная волокита и трата времени впустую могут привести к истощению команды.
Ложные срабатывания приводят к расточительству. Настройка системы обнаружения — это важный этап, о котором часто забывают. Однако именно с ним связано устранение ложных срабатываний.
Определите бизнес-цели. Это позволяет определить характеристики SOC и наиболее важные системы, которые вам необходимо отслеживать, минимально допустимый уровень журналов аудита и необходимое количество аналитиков.
Устраняйте внутренние проблемы с помощью имеющихся инструментов. Но помните, что не каждый инструмент сможет реализовать ваши желания.
Сотрудничайте с вендорами — они должны помочь вам оптимизировать свои инструменты в вашей среде.
Пользуйтесь преимуществами стандартов и открытых данных. Получайте информацию о тактике, методах и процессах из открытых источников, чтобы найти информацию, связанную с более масштабными атаками.
Оцените критическим взглядом данные, которые вы обрабатываете. Могут ли они быть действительно более полезными для вас как аналитика. Если собранные данные не дают результатов, откажитесь от них.
Интегрируйте инструменты TI и SOC.
Задержка оповещения в SOC может стать фатальной. Лучшие решения — сочетание правильных людей и правильной автоматизации. Сократить время между возникновением инцидента и принятием корректирующих мер помогут ИИ-технологии и даже прямое обращение к владельцу учётной записи, в которой обнаружена подозрительная активность.
Встройте искусственный интеллект в работу SOC для повышения эффективности. Предоставьте это поставщикам: вы получите наибольшую выгоду от успешного внедрения ИИ в инструменты вендоров. При этом рассматривайте ИИ в перспективе — у технологий есть как положительные, так и отрицательные стороны.
Эффективная работа SOC по-прежнему зависит от человека.
Эффективность SOC — это одновременно наука и искусство, подводит итоги портал CISO Series. Конечно, нужны проверенные технологии и лучшие из инструментов ИИ, но в целом нужно сосредоточиться на создании сильной команды опытных специалистов, способных сочетать практические рекомендации со знаниями и проницательностью.
Готовы обсудить практику противодействия кибератакам и построения центров мониторинга ИБ, методы обнаружения и анализа инцидентов? Хотите узнать особенности работы инструментов детекта на Linux? Поделиться опытом расследований своих команд форензики и групп реагирования? Поговорить о применении технологий искусственного интеллекта для решения ИБ-задач?
Второй SOC Tech ждёт вас 15 октября 2024 года. Оригинальные форматы откроют возможности сверхэффективного взаимодействия между участниками, спикерами и партнёрами. Успейте предложить темы для докладов!