«Развиваете SOC? Мы знаем, как вам помочь». Как успевать за изменениями в сфере SOC

BIS Journal №4(43)/2021

6 декабря, 2021

«Развиваете SOC? Мы знаем, как вам помочь». Как успевать за изменениями в сфере SOC

Чтобы оценить, насколько всё изменилось в сфере SOC, достаточно ответить на встречный вопрос: а насколько поменялся мир в целом и образ жизни в последние годы?

Ваш ответ можно смело умножить на два, а лучше сразу на десять, так как процессы, структура, технологии, метрики и многое другое в информационной сфере (особенно в безопасности) меняются настолько быстро, что вы, читая эту статью (а она, как вы понимаете, готовилась намного заранее), уже немного не успеваете за трендами. Но это не есть плохо, главное – стремление чётко понять, что у вас происходит в центре мониторинга ИБ, ведь нельзя улучшить то, что нельзя измерить.

SOC состоит из ряда столпов, таких как люди, бизнес, процессы, технологии и сервисы. Каждый из них напоминает цепочку действий с обратной связью, задача которой – постоянное улучшение того или иного направления. Вспомним модель Шухарта — Деминга (PDCA): Plan-Do-Check-Act. Работа в SOC — это постоянная работа над ошибками.

Для того чтобы люди успешно работали, им необходимы хорошие инструменты. Что нужно использовать из технологий в центре мониторинга ИБ? Прежде всего, существуют основополагающие классы решений, такие как SIEM-системы, IRP, IAM-системы и Threat Intelligence, и базовые технологии: средства антивирусной защиты, сканеры уязвимостей, межсетевые экраны, средства обнаружения вторжений, средства динамического анализа и так далее. Каждый вектор атаки должен покрываться несколькими слоями защиты для соответствия принципу эшелонированной ИБ. Не нужно обходить стороной и новые системы защиты, например EDR, XDR, SOAR.

Как вы могли заметить, решений на рынке много, и полезно иметь в своём арсенале комплексные системы и платформы, которые смогут покрыть несколько классов систем. Примерами могут быть такие продукты, как Kaspersky Unified Monitoring and Analysis Platform (KUMA) или платформа Kaspersky AntiTargeted Attack (KATA). Первое решение сочетает в себе функциональность SIEM-системы, которая может работать под высокой нагрузкой, тикет-систему, которая потоково обогащается данными Threat Intelligence через платформу CyberTrace, а также имеет возможность автоматически (в случае срабатывания правила корреляции) запускать задачи на Kaspersky Security для бизнеса при помощи интеграции с Kaspersky Security Center. К слову, данная SIEM-система хорошо зарекомендовала себя не только на проектах у клиентов, но и при собственном использовании в SOC«Лаборатории Касперского».

Платформа Kaspersky AntiTargeted Attack сочетает в себе функциональность анализа сетевого трафика и продвинутого динамического анализа файлов и ссылок в веб-трафике, почте и др. Также платформа интегрирована с Kaspersky Endpoint Detectionand Response – решением для выявления продвинутых угроз и реагирования на них на уровне конечных станций и серверов. Вместе с Kaspersky EDR платформа Kaspersky AntiTargeted Attack составляет современное решение класса XDR (Extended Detectionand Response), которое предназначено для комплексной передовой защиты от сложных угроз и целевых атак, в том числе класса APT.

Использование лучших практик, наличие развитой инфраструктуры систем ИТ и ИБ, а также обученные специалисты в штате Security Operations Center –  далеко не верх зрелости центра компетенции, необходимо постоянно держать команду в тонусе – обучать новым навыкам и обмениваться опытом с другими продвинутыми центрами мониторинга ИБ. Делать всё вышеперечисленное своими силами не так просто, поэтому аутсорс услуг SOC набирает популярность. К примеру, «Лаборатория Касперского» предлагает сервис управляемой безопасности Kaspersky Managed Detection and Response, который включает основные преимущества собственного SOCбез затрат на его создание – в частности, круглосуточный мониторинг происходящего в системе безопасности и реагирование в случае возникновения инцидента. Кроме того, у «Лаборатории Касперского» есть специализированные сервисы Kaspersky SOC Framework Development и Kaspersky SOC Maturity Assessment. Первый поможет на всех этапах построения центра мониторинга ИБ, а второй будет полезен для тех, у кого уже есть сложившиеся практики операционной безопасности, – он поможет оценить их зрелость и наметить дорожную карту дальнейшего развития.

Для того чтобы оценить собственный уровень зрелости SOC и понять свои сильные и слабые стороны, можно самостоятельно применять SOC-CMM (Capability Maturity Model). Используйте новые подходы и идеи для улучшения работы процессов и условий труда специалистов и не бойтесь совершать ошибки, ведь ошибок не делает только тот, кто ничего не делает. А чтобы их было меньше, обращайтесь к нам – «Лаборатория Касперского» всегда к вашим услугам!

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.01.2023
Минцифры создаст Центр цифровой криптографии
26.01.2023
Процессы операционной надёжности должны обеспечивать не только ИБ и ИТ, но и менеджмент некредитных финансовых организаций
26.01.2023
Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка
26.01.2023
Всё о приватности — теперь в «Кибрарии»
26.01.2023
В Новосибирске UserGate в качестве разработчика первого отечественного щита от кибератак пригласили к участию в областном мультимедийном проекте
26.01.2023
FLAMAX и КГАСУ представили Рустаму Минниханову совместную разработку в сфере водоснабжения и систем безопасности
26.01.2023
Stack Telecom получил награду от АО «Мосэнергосбыт»
25.01.2023
Поставщик половины POS-терминалов в РФ собирается уйти из страны?
25.01.2023
«Немедленного» импортозамещения пока достигнуть сложно
25.01.2023
Компания GoTo подтвердила утечку чувствительных данных клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных