Nowoczesne SOC (Security Operation Center) to wysoce specjalistyczne centra operacji bezpieczeństwa, których celem jest wykrycie atakujących, którzy uzyskali dostęp do urządzeń lub sieci organizacji. Zespół ekspertów ds. cyberbezpieczeństwa pełniących różne role koordynuje operacje w SOC. Specjaliści ci wykonują sekwencję określonych procesów wspieranych przez specjalistyczne narzędzia w celu jak najszybszego wykrywania, analizowania i reagowania na ataki.
Różne role w nowoczesnym SOC
Cyberprzestępcy są aktywni 365 dni w roku. Oznacza to, że SOC również muszą działać 24 godziny na dobę, 365 dni w roku, by zapewniać należytą ochronę.
Do kluczowych ról w nowoczesnym SOC należą:
Analitycy bezpieczeństwa
Istnieją trzy poziomy analityków bezpieczeństwa, które charakteryzują się różnymi obowiązkami. Są to tak zwane trzy linie wsparcia.
- I linia wsparcia. Ma za zadanie proaktywne monitorowanie i klasyfikowanie alertów, a także wykrywanie anomalii. Wszystko po to, by umożliwić klasyfikację incydentów bezpieczeństwa, a następnie podejmować działania zapobiegawcze.
- II linia wsparcia. Analitycy z tego poziomu zajmują się badaniem samego incydentu, a również ustalaniem jego przyczyn oraz źródła. Muszą oni współpracować z zespołem reagowania, opracowując środki zaradcze celem zapobiegania podobnym atakom w przyszłości. Do zadań II linii wsparcia należą również cykliczne przeglądy słabości w organizacji.
- III linia wsparcia. Do zadań tego zespołu należy współpraca z linią II przy analizie najbardziej zaawansowanych incydentów.
Łowcy zagrożeń (threat hunters)
Rola łowców zagrożeń jest skoncentrowana bardziej na wiedzy na temat kluczowych technik atakujących, aniżeli na samych technologiach ich wykrywania. Ich zadaniem jest lokalizowanie nieznanych i wyrafinowanych zagrożeń, którym udało się ominąć istniejące zabezpieczenia. Threat hunterzy oceniają bezpieczeństwo organizacji z proaktywnego punktu widzenia, aby jak najbardziej skrócić czas utrzymywania się zagrożenia.
Zespół reagowania SOC
Jego zadaniem jest opracowywanie i wdrażanie strategii powstrzymywania, łagodzenia i eliminowania zagrożeń.
SOC Manager
Odpowiada za kierowanie zespołem, budżetowanie, koordynowanie operacji, zakup rozwiązań i narzędzi itp.
Zespół architektów
Team odpowiedzialny za tworzenie i utrzymywanie infrastruktury centrum bezpieczeństwa poprzez testowanie, ocenę i sugerowanie odpowiednich narzędzi dla procesów SOC. Zespół ten odpowiada także za zapewnienie zgodności z przepisami bezpieczeństwa, co wiąże się z dokumentowaniem, przestrzeganiem i ciągłym aktualizowaniem praktyk bezpieczeństwa w odniesieniu do ram wewnętrznych i branżowych.
Podsumowanie
Nowoczesne centrum operacji bezpieczeństwa powinno mieć uszeregowaną strukturę organizacyjną oraz jasno określone role w zespole. Jest to niezmiernie ważne w sprawnym wykrywaniu zagrożeń wewnątrz sieci.
O korzyściach dla firm wynikających z posiadania SOC pisaliśmy w tym artykule.
Szukasz optymalnych rozwiązań do zabezpieczenia Twojej firmy? Sprawdź nasze portfolio i skontaktuj się z nami.
Źródło: https://www.watchguard.com/wgrd-news/blog/modern-soc-and-mdr-series-iii-different-roles-within-modern-soc?fbclid=IwAR3CvYJ1stUzM19swu4u2p29S79Qb2xvc7ubuiR2o29PHZLnm3jKvdy8kk8
Grafika: freepik
Redaktorka Net Complex Blog