Моделът за зрялост на операциите по сигурността оценява настоящите възможности на организацията за сигурност, за да намали киберриска и разходите за инциденти, като намали времето за откриване и реагиране на заплахи, да стане по-устойчива в киберпространството и да състави план за зрялост с течение на времето. Всяко ниво надгражда предходното, като добавя допълнителни технологични и процесни подобрения, които укрепват възможностите на операциите по сигурността на организацията в посока намаляване на MTTD (средното време за откриване) /MTTR (средното време за реакция).
Нива на модела за зрялост на операциите по сигурността
Моделът на операциите по сигурността включва етапите, които определят цялостното управление на жизнения цикъл на заплахите – от превенцията до откриването и реагирането и анализа на поуките за подобряване на състоянието на сигурността на организацията.
Следващата таблица описва всяко ниво за сигурността на крайните точки, като идентифицира критичните технологични и работни функции/процеси, които трябва да бъдат внедрени на всяко ниво.
Ниво 0 – МИНИМАЛНО
- Ориентиран към превенция (въведени защитни стени, антивирусни програми и т.н.) и реактивен подход на защита.
- Технологични и функционални силози.
- Липса на официален процес за откриване и реагиране на инциденти.
- Неопределени или основни политики за сигурност.
- Сляпост за непознати и сложни заплахи, използващи техники за атака, които живеят на земята.
Ниво 1 – РЕАКТИВНО
1. Минимално прилагане на практики за намаляване на повърхността на атаката: мониторинг на състоянието на контролите за сигурност, оценка на уязвимостите, управление на кръпките и откриване на незащитени активи, наред с други.
2. Събирането и съхраняването на дневници или събития се определя предимно от изискванията за съответствие и одит.
3. Липса на официален процес за откриване и реагиране на инциденти.
4. Сляпа за непознати и сложни заплахи, използващи техники за атака, които живеят в реалността.
5. Липса на технологии, които идентифицират подозрителна дейност по последователен и повтарящ се начин.
Ниво 2 – ПРОАКТИВНО
1. Въведени решения за откриване на инциденти в крайни точки (EDR) и за откриване и реагиране в мрежи (NDR) с минимална интеграция, работещи в силово пространство.
2. Внедрени силни и зрели политики за сигурност с предварително дефинирани шаблони за конфигурация, за да се избегнат човешки грешки.
3. Минимална централизация на данните от логовете и събитията за сигурност в случай на нарушаване на сигурността на данните, с приоритет за сървърите и критичните активи.
4. Липса на хора и процеси за ефективна оценка и приоритизиране на сигналите.
5. По-голяма устойчивост на киберпрестъпниците, с изключение на тези, които използват непознати, сложни атаки, насочени към “слепи” точки, като незащитени крайни точки.
Ниво 3 – УПРАВЛЯВАНО
1. Създали са основен, но формален процес за непрекъснато наблюдение, поведенчески анализ за откриване на аномалии и ограничаване на заплахите, които се крият в средата, чрез усъвършенствани решения за сигурност EDR/NDR.
2.Цялостна централизация на данните от логовете и събитията за сигурност.
3. Интелигентна информация за заплахите, базирана на IoC, интегрирана в анализите и работния процес.
4. Анализи на сигурността за откриване на известни заплахи TTP (тактика, техника и процедура).
5. Основни оперативни показатели за MTTD/MTTR.
Ниво 4 – ОПТИМИЗИРАНО
1. Цялостна централизация на лог данни и събития с достатъчно време за запазване, за да се разследват напреднали постоянни заплахи.
2. Междуорганизационно управление на случаи, сътрудничество и автоматизация.
3. Специфична за индустрията разузнавателна информация за заплахите, базирана на IOC и TTP, интегрирана в контрола на сигурността и работните процеси.
4. Усъвършенстван анализ на сигурността за откриване на аномалии чрез базирано на AI/ML поведение, ръководено от SOC експерти.
5. Установени и документирани процеси на разследване и реагиране с наръчници за действие, извлечени поуки и непрекъснато усъвършенстване на процесите и инструментите на SOC.
24/7 вътрешнофирмена система или SOCaaS, включваща SOC анализатори, отговорници и ловци.
6.Разширени оперативни показатели MTTD/MTTR и исторически тенденции.
Организациите, които не разполагат с квалифициран персонал по сигурността, трябва да работят с опитен доставчик на управлявана сигурност (MSP), който е направил необходимите капиталови инвестиции, за да им помогне да се изравнят с квалифициран персонал. Разбира се, организациите могат да изградят и свой собствен модерен SOC, ако разполагат с ресурсите и опитните хора, за да стигнат до него.