Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Модель зрелости SOC от Gartner
19 июля 2019 |
Таблица показывает отличия SOCов разных уровней зрелости по пяти
ключевым параметрам - инструментарий, функции, Threat Intelligence,
метрики и персонал. И, в целом, они отражают ключевые элементы, по
которым можно оценивать "на глазок", насколько серьезно
построен/спроектирован SOC. В этом преимущество это простой таблички -
по ней можно быстро оценить как уже построенный SOC (и куда ему
стремиться), так и проект по SOC, который сделан каким-то из
консультантов/интеграторов.
Почему я вспомнил про эту картинку? Все просто. Почему-то до сих
создаваемые или развивающиеся SOC строятся вокруг SIEM и все. Хотя
наиболее прогрессивным сегодня считается использование так называемой
"ядерной триады". Этот термин используется в международной политики и
означает вооруженные силы государства, оснащенные ядерным оружием,
которое размещается "на земле" (межконтинентальные баллистические
ракеты), "на воде" (атомные подводные ракетоносцы) и "в воздухе"
(стратегическая авиация). В области SOC эта триада состоит из следующих
компонентов:
- мониторинг логов с помощью SIEM
- мониторинг сетевого трафика с помощью NTA
- мониторинг хостов с помощью EDR.
Но многие SOCи упорно строятся только на базе SIEM, упуская из виду
события, происходящие на уровне сети или на уровне оконечных устройств.
Без этих двух компонентов многие события ИБ остаются незамеченными и
злоумышленники месяцами орудуют внутри "защищенной" инфраструктуры не
будучи обнаруженными. К ним еще нередко добавляют UEBA для расширенной
аналитики поведения пользователей (если use case по скомпрометированным
сотрудникам или хакерам, маскирующимся под сотрудников, является
актуальными для вас) и CASB для мониторинга облачных платформ. Я могу
понять, когда SOC строился на базе только SIEM несколько лет назад. Но
сейчас, когда и ландшафт угроз поменялся, и технологии новые появились?
Почему сразу не закладывать в проект по SOC мониторинг сети и хостов?
Или почему не включить их в план развития SOC на 1, 3, 5 лет (кстати, с
ним тоже проблемы - такие планы мало кто готовит, почему-то считая, что
создание SOC - это одномоментное событие, которое срабатывает "по
щелчку").
В дополнение к средствами мониторинга и аналитики есть есть еще две
обязательных платформы, которые должны обязательно быть предусмотрены в
современном SOC, - решение по оркестрации (SOAR) и threat intelligence. В
итоге получается, что в SOCе, который можно назвать современным (или
SOC-NG, или SOC 2.0), должны быть реализованы следующие платформы:
Ну вот как-то так... Можно было бы поговорить и о других столбцах
таблицы (мы только про инструментарий успели пообщаться), но это уже в
другой раз.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.