26 ноября, 2020

Как избежать ошибок в построении SOC. Лайфхаки от Тинькофф Банка

Поддерживаю Алексея Лукацкого! Все советы по делу! Я бы дополнил ещё несколькими идеями.

  • Не изобретайте велосипед. Не нужно разрабатывать все правила и сценарии с нуля – в условиях «гитхабизации» огромное количество готовых правил корреляции доступны аналитикам. Умейте использовать чужой опыт – iOc, техники поведения злодеев и т.д. Многое из этого открыто и доступно в интернет, например, в каналах Twitter.
  • Переиспользуйте. Выясните, что уже реализовано – в мониторинге ИТ, клиентском антифроде, сверках платежей ОПЕРу. Это не только инфраструктура, это могут и должны быть критичные прикладные системы, DLP, антифрод.
  • SOC – это в первую очередь набор процессов и людей, структурированных под вашу организацию. SIEM не всегда главный компонент, а возможно, что он в вашем SOC и не нужен. Не обязательно стараться все затянуть в SIEM – вполне нормальный вариант делать прекорреляцию на sysmon на конечных хостах.
  • Интегрируйте проактивные техники threatintelligence/threathunting в процессы SOC.
  • Тестируйте каждое правило SOC. Постоянно. Автоматизировано. На практике без этого вы рискуете узнать, что из источника пропали события или уже после инцидента не работает правило. Считаете что закрыли мониторингом какую либо технику хакерской группы? Протестируйте это руками redteam и поставьте на мониторинг. Нет redteam? Найдите способы тестирования и автоматизируйте их. Иначе не считается.
  • Внедрение средства защиты не считается, если SOC не принимал в нем участие и не реагирует на него.
  • Автоматизируйте все, что можно автоматизировать. Задать вопрос пользователю в мессенджер и обработать его ответ вполне может и робот.
  • Профилируйте! Планируйте как развивать направление поиска отклонений от «стандартного» поведения. Думаю, мы все уйдем в machine learning рано или поздно, но уже и сейчас можно на простых выборках выявлять отклонения, а также фильтровать фолс.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.02.2024
Крупнейшие российские провайдеры ЦОДов вошли в SDN-лист
26.02.2024
«И вот опять». РКН — об утечке ПДн в полмиллиона строк
26.02.2024
Дипфейки отметились в более чем двух тысячах атак на россиян в этом январе
26.02.2024
Кто ещё попал в прицел Минфина США в этом месяце
26.02.2024
В России готовятся защитить транспортные средства от кибертатак
26.02.2024
Минцифры импортозамещает Digital Markets Act?
26.02.2024
Закон о самозапрете на выдачу кредитов подписан
26.02.2024
В ВТБ рассказали о мошенниках из «налоговой»
26.02.2024
«На Форуме нас ждёт конструктивная дискуссия по самым актуальным вопросам кибербезопасности России»
22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных