Моделът за зрялост на операциите по сигурността оценява настоящите възможности на организацията за сигурност, за да намали киберриска и разходите за инциденти, като намали времето за откриване и реагиране на заплахи, да стане по-устойчива в киберпространството и да състави план за зрялост с течение на времето. Всяко ниво надгражда предходното, като добавя допълнителни технологични и процесни подобрения, които укрепват възможностите на операциите по сигурността на организацията в посока намаляване на MTTD (средното време за откриване) /MTTR (средното време за реакция).

Нива на модела за зрялост на операциите по сигурността

Моделът на операциите по сигурността включва етапите, които определят цялостното управление на жизнения цикъл на заплахите – от превенцията до откриването и реагирането и анализа на поуките за подобряване на състоянието на сигурността на организацията.

Следващата таблица описва всяко ниво за сигурността на крайните точки, като идентифицира критичните технологични и работни функции/процеси, които трябва да бъдат внедрени на всяко ниво.

Ниво 0 – МИНИМАЛНО

1. Ориентиран към превенция (въведени защитни стени, антивирусни програми и т.н.) и реактивен подход на защита.
2. Технологични и функционални силози.
3. Липса на официален процес за откриване и реагиране на инциденти.
4. Неопределени или основни политики за сигурност.
5. Сляпост за непознати и сложни заплахи, използващи техники за атака, които живеят на земята.

Ниво 1 – РЕАКТИВНО

1. Минимално прилагане на практики за намаляване на повърхността на атаката: мониторинг на състоянието на контролите за сигурност, оценка на уязвимостите, управление на кръпките и откриване на незащитени активи, наред с други.
2. Събирането и съхраняването на дневници или събития се определя предимно от изискванията за съответствие и одит.
3. Липса на официален процес за откриване и реагиране на инциденти.
4. Сляпа за непознати и сложни заплахи, използващи техники за атака, които живеят в реалността.
5. Липса на технологии, които идентифицират подозрителна дейност по последователен и повтарящ се начин.

Ниво 2 – ПРОАКТИВНО

1. Въведени решения за откриване на инциденти в крайни точки (EDR) и за откриване и реагиране в мрежи (NDR) с минимална интеграция, работещи в силово пространство.
2. Внедрени силни и зрели политики за сигурност с предварително дефинирани шаблони за конфигурация, за да се избегнат човешки грешки.
3. Минимална централизация на данните от логовете и събитията за сигурност в случай на нарушаване на сигурността на данните, с приоритет за сървърите и критичните активи.
4. Липса на хора и процеси за ефективна оценка и приоритизиране на сигналите.
5. По-голяма устойчивост на киберпрестъпниците, с изключение на тези, които използват непознати, сложни атаки, насочени към „слепи“ точки, като незащитени крайни точки.

Ниво 3 – УПРАВЛЯВАНО

1. Създали са основен, но формален процес за непрекъснато наблюдение, поведенчески анализ за откриване на аномалии и ограничаване на заплахите, които се крият в средата, чрез усъвършенствани решения за сигурност EDR/NDR.

2.Цялостна централизация на данните от логовете и събитията за сигурност.
3. Интелигентна информация за заплахите, базирана на IoC, интегрирана в анализите и работния процес.
4. Анализи на сигурността за откриване на известни заплахи TTP (тактика, техника и процедура).
5. Основни оперативни показатели за MTTD/MTTR.

Ниво 4 – ОПТИМИЗИРАНО

1.  Цялостна централизация на лог данни и събития с достатъчно време за запазване, за да се разследват напреднали постоянни заплахи.
2. Междуорганизационно управление на случаи, сътрудничество и автоматизация.
3. Специфична за индустрията разузнавателна информация за заплахите, базирана на IOC и TTP, интегрирана в контрола на сигурността и работните процеси.
4. Усъвършенстван анализ на сигурността за откриване на аномалии чрез базирано на AI/ML поведение, ръководено от SOC експерти.
5. Установени и документирани процеси на разследване и реагиране с наръчници за действие, извлечени поуки и непрекъснато усъвършенстване на процесите и инструментите на SOC.
24/7 вътрешнофирмена система или SOCaaS, включваща SOC анализатори, отговорници и ловци.
6.Разширени оперативни показатели MTTD/MTTR и исторически тенденции.

Организациите, които не разполагат с квалифициран персонал по сигурността, трябва да работят с опитен доставчик на управлявана сигурност (MSP), който е направил необходимите капиталови инвестиции, за да им помогне да се изравнят с квалифициран персонал. Разбира се, организациите могат да изградят и свой собствен модерен SOC, ако разполагат с ресурсите и опитните хора, за да стигнат до него.