Строим SOC по Gartner

Строим SOC по Gartner
На днях посмотрел вебинар Gartner "Design a Modern Security Operation Center", на котором спикером был известный специалист Anton Chuvakin. Что удивительно для Gartner, но материалы выложены в общий доступ, посмотреть запись и скачать презентацию  можно тут . Такая халява бывает редко. 

Крайне рекомендую с ними ознакомиться перед походом на SOC Forum 2016 .

Что интересного можно найти в презентации?

1. Антон дает довольно развернутое толкование термина SOC и тех функций, которые в нем должны быть реализованы. Задача современных SOCов уже состоит не только в своевременном обнаружении атак, но и в их прогнозировании, предупреждении и реагировании на инциденты. При этом "Security monitoring" остается ключевой функцией SOC. Важно понимать, что SOC - это не просто технологии, люди и процессы важнее... 
"SOC involves PEOPLE and PROCESS which are in fact MORE IMPORTANT than tools"
2. Современные SOCи активно используют глубокую аналитику угроз (TI, malware reversing, data analysis, etc.), сильные средства мониторинга и анализа (например, UEBA, EDR, NTA/NFT, а не только SIEM), а также передают отдельные процессы на аутсорсинг (взаимодействуют с MSSP).



3. Важно не только обучить персонал и внедрить современные средства мониторинга и защиты, но и правильно выстроить процессы. Одним из важнейших процессов является "Threat hunting".

4. Многие SOCи используют внешних поставщиков услуг (аутсорсинг ИБ), так называемую "гибридную модель".
5. Основная проблема при построении SOCов - отсутствие необходимых ресурсов (обычно людей, особенно при необходимости обеспечивать 24х7).
Вот как-то так. На мой взгляд, презентация очень хороша. Рекомендую с ней ознакомиться более подробно.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире