На високо ниво основната мисия на SOC остава да помага на предприятието да управлява киберриска, но това, което се е променило, е сложността на киберзаплахите и механиката на работа на SOC. За да могат успешно да защитават и да реагират на заплахите, SOC се нуждаят от дълбока видимост в дейността на организацията и да автоматизират ключови, но повтарящи се функции, като същевременно освобождават анализаторите да се съсредоточат върху по-ценни функции, като например търсене на заплахи и управление на уязвимостите.
Ключови функции, изпълнявани от съвременния SOC
1- Превантивна сигурност:
Тази стъпка включва всички действия, които усложняват успеха на атаката и принуждават нападателя да се откаже, включително редовна поддръжка и актуализация на съществуващите системи, актуализиране на политиките на защитната стена, закърпване на уязвимостите, създаване на бели и черни списъци на приложения и др.
2 – Нормализиране и управление на масивите от данни:
Съвременната SOC събира, поддържа и редовно преглежда събития и логове на мрежи, потребители, активност на крайни точки и комуникации в организацията. Тези данни помагат на ловците на заплахи да разкриват неоткрити атаки и се използват за отстраняване на нередности и съдебна експертиза.
3 – Непрекъснато проактивно наблюдение и откриване на подозрителни дейности:
Инструментите, използвани от съвременната SOC, наблюдават дейността 24 часа в денонощието, 7 дни в седмицата и сигнализират за подозрителни дейности. Денонощното наблюдение позволява да се идентифицират нововъзникващи заплахи, като им се дава най-добър шанс да предотвратят или намалят вредите. Инструментите за мониторинг автоматизират поведенческия анализ, като свеждат до минимум количеството на триажите и анализите, които хората трябва да извършват.
4 – Индикатори за компрометиране и триаж на атаки, приоритизиране и корелация:
Подпомагани от автоматизирани анализи на сигурността (ML/ AI), SOC анализаторите разглеждат всеки сигнал и индикатор за атака, отхвърлят всички фалшиви положителни резултати и определят критичността на заплахите. Това им позволява да подреждат възникващите заплахи по подходящ начин, като първо се справят с най-спешните проблеми.
5 – Лов на заплахи:
Това е процес, ориентиран към анализаторите, който позволява на организациите проактивно да разкриват скрити, напреднали заплахи, пропуснати от автоматизираните превантивни и детективски контроли, да ги спират, преди да са нанесени щети, и да автоматизират механизми за задействане на индикатори за атака, които да бъдат разследвани, за да се открие заплахата по-рано.
6 – Разследване на първопричините:
След инцидента или по време на атаката съвременният SOC е отговорен за изясняване на това какво точно се е случило – кога, как и защо. По време на това разследване съвременните SOC анализатори използват логове, събития, разузнаване на заплахите и анализи на сигурността, за да им помогнат да реагират ефективно и да предотвратят подобни проблеми.
7- Реакция на заплахите:
Веднага след като инцидентът бъде потвърден, съвременният SOC може да действа като първи отговорник, извършвайки действия за ограничаване на заплахите, като изолиране на крайни точки, прекратяване на вредни процеси, изтриване на файлове и др. Целта е да се реагира, като същевременно се намали въздействието върху непрекъснатостта на дейността.
8 – Отстраняване и възстановяване:
След инцидента съвременният SOC ще работи за възстановяване на системите. Това може да включва изтриване и рестартиране на крайните точки, преконфигуриране на системите или в случай на атаки с рансъмуер, внедряване на жизнеспособни резервни копия за заобикаляне на рансъмуера.
9- Научени уроци:
Макар и често пренебрегвани, сесиите за извличане на поуки са от решаващо значение за подобряване на сигурността на организацията и готовността ѝ да се сблъска с бъдещи инциденти със сигурността. Те помагат да се оценят рисковете за сигурността на организацията и ефективността на реакцията при инциденти, да се идентифицират предизвикателствата и да се подобрят възможностите за реакция при инциденти в бъдеще.
10- Оптимизиране на модела на операциите по сигурността:
Ефективната отбранителна стратегия изисква адаптивна архитектура за сигурност, която позволява на организациите да въвеждат оптимизирани операции по сигурността, като повишават ефективността чрез интеграция, автоматизация и оркестрация и същевременно подобряват позицията на организацията по отношение на сигурността.
Технологията позволява на SOC функциите да се мащабират
Всяка от функциите на SOC е критично зависима от технологиите. Правилният технологичен подход ще окаже значително влияние върху възможностите на организацията и разходите при минимизиране на времето за откриване и реагиране на заплахи. Екипите за операции по сигурността в идеалния случай са склонни да изискват модерна и силно интегрирана платформа, базирана на облак, която предоставя всички изброени по-долу функции:
- Централизирана видимост и търсене: Централизирано търсене във всички данни от цялата разпределена ИТ инфраструктура, включително незабавен достъп до сигнали за сигурност и пълна телеметрия, за да се ускори разследването на заплахи и реакцията на инциденти с видимост в реално време.
- Цялостен анализ на заплахите: Прилагането на изкуствен интелект, анализ на сценарии, базирани на TTP, и задълбочен контекстуален анализ на криминалистичните данни за откриване на усъвършенствани заплахи и точно приоритизиране на всички заплахи по цялата повърхност на атаката.
- Управление на случаи на инциденти: Възможности, позволяващи на екипите по сигурността да участват в съвместни и ефективни работни процеси с централизирана и защитена платформа за управление на случаи за управление и ускоряване на усилията за разследване на заплахи и реагиране на инциденти.
- Автоматизация на задачите: Автоматизиране на рутинни и времеемки задачи в подкрепа на разследването на заплахи и реакцията при инциденти, включително автоматизирано изпълнение на смекчаващи и противодействащи мерки за ограничаване и неутрализиране на заплахи.
- Оперативни показатели: Възможността за лесно събиране на метрики и ефективно отчитане на ключовите показатели за ефективност на бизнеса (KPI) и споразуменията за ниво на обслужване (SLA).
Източник: Watchguard