26 ноября, 2020

Как избежать ошибок в построении SOC. Лайфхаки от Тинькофф Банка

Поддерживаю Алексея Лукацкого! Все советы по делу! Я бы дополнил ещё несколькими идеями.

  • Не изобретайте велосипед. Не нужно разрабатывать все правила и сценарии с нуля – в условиях «гитхабизации» огромное количество готовых правил корреляции доступны аналитикам. Умейте использовать чужой опыт – iOc, техники поведения злодеев и т.д. Многое из этого открыто и доступно в интернет, например, в каналах Twitter.
  • Переиспользуйте. Выясните, что уже реализовано – в мониторинге ИТ, клиентском антифроде, сверках платежей ОПЕРу. Это не только инфраструктура, это могут и должны быть критичные прикладные системы, DLP, антифрод.
  • SOC – это в первую очередь набор процессов и людей, структурированных под вашу организацию. SIEM не всегда главный компонент, а возможно, что он в вашем SOC и не нужен. Не обязательно стараться все затянуть в SIEM – вполне нормальный вариант делать прекорреляцию на sysmon на конечных хостах.
  • Интегрируйте проактивные техники threatintelligence/threathunting в процессы SOC.
  • Тестируйте каждое правило SOC. Постоянно. Автоматизировано. На практике без этого вы рискуете узнать, что из источника пропали события или уже после инцидента не работает правило. Считаете что закрыли мониторингом какую либо технику хакерской группы? Протестируйте это руками redteam и поставьте на мониторинг. Нет redteam? Найдите способы тестирования и автоматизируйте их. Иначе не считается.
  • Внедрение средства защиты не считается, если SOC не принимал в нем участие и не реагирует на него.
  • Автоматизируйте все, что можно автоматизировать. Задать вопрос пользователю в мессенджер и обработать его ответ вполне может и робот.
  • Профилируйте! Планируйте как развивать направление поиска отклонений от «стандартного» поведения. Думаю, мы все уйдем в machine learning рано или поздно, но уже и сейчас можно на простых выборках выявлять отклонения, а также фильтровать фолс.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.09.2025
В России вступили в силу антифрод-поправки от «связистов»
02.09.2025
«Звёздные врата» откроются и над Индией. OpenAI строит ЦОД в Азии
02.09.2025
ИИ-факультет — имиджевый и стратегический проект МГУ
02.09.2025
НИЦ «Телеком» против мобильного рабства россиян
02.09.2025
«Яблоки» под расписку. Россиянам предлагают «пустые» смартфоны и после 1 сентября
02.09.2025
Google скоро покажет свой криптоконструктор для финсервисов
01.09.2025
«Зависимость от зарубежных платформ уже не раз приводила к ограничению доступа к важным цифровым сервисам»
01.09.2025
В Госдуме переизобрели Multi Pass
01.09.2025
ENISA будет координировать общеевропейскую схему реагирования на ИБ-инциденты
01.09.2025
РАНХиГС: Нейросети повышают производительность труда на 15-20%

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных