fbpx

Representative offices: 

Request callback
btn

Знайомство з процесами Security Operations Center (SOC) та найкращі рекомендації для його ефективної роботи від Lepide

News

Security Operations Center (SOC) — це підрозділ організації, роль якого полягає у постійному моніторингу, аналізі та вдосконаленні системи безпеки компанії. Як правило, SOC працює цілодобово, забезпечуючи захист секретних даних та дотримання відповідних норм конфіденційності.

SOC також розслідує, усуває та повідомляє про інциденти. У ході цього передбачається тісна взаємодія з групою реагування на інциденти (Incident Response Team — якщо така існує в компанії) для забезпечення оперативного та ефективного усунення ситуацій, що загрожують безпеці.


SOC зазвичай не бере участь у розробці політик та процедур, а займається моніторингом всіх сегментів мережі компанії на предмет аномальної активності, включаючи сервери, кінцеві точки, бази даних, програми та будь-яке інше мережеве обладнання/програмне забезпечення.

Додаткові види діяльності, які охоплює SOC, включають зворотну розробку шкідливого програмного забезпечення (reverse engineering malware), використання методів криптоаналізу для виявлення слабких місць у криптографічних системах організації, а також проведення розширених криміналістичних розслідувань попередніх інцидентів безпеки.

Як Security Operations Center працює

Робота SOC зазвичай починається із зустрічей з представниками різноманітних відділів та керівниками з метою збору інформації про поточний стан мережі організації.

Ці зустрічі передбачають питання про будь-які проблеми безпеки та відомі вразливості, а також про превентивні заходи, які вживаються для їх усунення.

SOC також встановлюють, яка саме інфраструктура безпеки вже була розгорнута в організації, щоб визначити, чи потрібна додаткова. Оскільки однією з ключових функцій SOC є аналіз журналів подій, команді необхідно переконатися, чи зможе вона узагальнювати дані з брандмауерів, IPS/IDS, UBA, DLP і SIEM-рішень.

Команда SOC також повинна мати можливість здійснювати збір інформації за допомогою передачі даних, телеметрії, інспекції пакетів даних (deep packet inspection), служби syslog та інших методів, щоб отримати всебічне уявлення про всю мережеву активність.

Ролі в Security Operations Center

Представники Security Operations Center зазвичай розділені на п'ять ролей: менеджер, аналітик, дослідник, респондент і аудитор. Однак слід зазначити, що в залежності від розміру організації деякі члени SOC можуть виконувати кілька ролей.

  • Менеджер: Роль менеджера полягає у контролі всіх областей мережевої безпеки та у тому, щоб у разі потреби бути здатним взяти на себе будь-яку роль.
  • Аналітик: Аналітик збиратиме, зіставлятиме (корелюватиме) та відстежуватиме журнали подій, створювані всіма мережевими програмами.
  • Дослідник: Роль дослідника полягає у проведенні криміналістичного аналізу після інциденту безпеки з метою з'ясування того, що сталося і з якої причини.
  • Респондент: Респондент відповідає за організоване реагування на інциденти безпеки. Це може бути звернення до відповідних зацікавлених сторін, повідомлення уповноважених органів влади та, можливо, навіть спілкування з пресою.
  • Аудитор: Аудитор зобов'язаний здійснювати аудит усіх систем безпеки, щоб переконатися, що вони функціонують належним чином і здатні відповідати необхідним вимогам.

Рекомендації для ефективної роботи SOC

Слід зазначити, що традиційні рішення для захисту периметра, такі як AV-програми, брандмауери та системи запобігання вторгненням, стають все менш актуальними. Багато в чому це пов'язано з тим, що ІТ-середовища стають більш розподіленими.

Дедалі більше співробітників працюють удома, використовуючи власні пристрої, і дедалі більше організацій переходять на хмарні послуги. Таким чином, вони все частіше керуються підходом, орієнтованим на дані. Його суть полягає у відстеженні того, як користувачі взаємодіють із конфіденційною інформацією.

Представники SOC завжди мають бути в курсі останніх відомостей про загрози. Це реалізується за допомогою збору інформації з новинних ресурсів та звітів. Вони повинні забезпечити своєчасне виправлення/оновлення всіх систем, а також отримання оновлень сигнатур та сповіщень про вразливості. SOC повинен автоматизувати якомога більшу кількість процесів, щоб спростити роботу служби безпеки та виключити можливість false positives (хибного спрацьовування).


Якщо ви хочете дізнатися, як Lepide може допомогти вашій команді SOC стати більш ефективною завдяки використанню платформи Lepide Data Security Platform, ознайомтеся ближче з цим рішенням by the link.


iIT Distribution пропонує різноманітність рішень для кібербезпеки, які допоможуть компаніям здійснювати всебічний захист та підвищувати ефективність своїх ІТ-інфраструктур. Ми тісно співпрацюємо зі своїми клієнтами та партнерами для того, щоб надати повну підтримку у проєктуванні та реалізації замовлених рішень.

Back

Mobile Marketing
+