Собери свой Security Operation Center из 5 элементов

    Привет, Хабр!


    Мы тут часто пишем о том, что работа центра мониторинга и противодействия кибератакам невозможна без определенных процессов (мониторинг, реагирование, расследование инцидентов и т.д.) и, конечно, без систем защиты (AV, WAF, IPS и т.д.).


    То же самое мы объясняем заказчикам, но они, быстро пересчитывая деньги в кармане, иногда в ответ спрашивают: "А можно нам SOC в базовой комплектации?"


    Предлагаем вам представить себя на месте такого заказчика. Под катом 26 аббревиатур и терминов. Проверьте, насколько вы понимаете принципы мониторинга и противодействия кибератакам и выберите всего 5 буквосочетаний, которые смогут надежно защитить компанию.


    Внимание! Среди вариантов возможны honeypots.


    image

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Создай свой SOC из пяти аббревиатур:

    • 76,9%SIEM (Security information and event management)123
    • 51,9%AV (Antivirus)83
    • 18,1%EDR (Endpoint Detection and Response)29
    • 5,0%AAPT (Anti Advanced Persistent Threats)8
    • 64,4%IPS/IDS (Intrusion Prevention System/ Intrusion Detection System)103
    • 18,8%ADDoS (Anti DDoS)30
    • 39,4%WAF (Web Application Firewall)63
    • 1,2%AST (Application Security Testing)2
    • 33,8%DLP (Data Leakage Prevention)54
    • 13,1%UEBA (User Behavior & Entity Analysis)21
    • 5,6%BI/SI (Business Intelligence/Security Intelligence)9
    • 4,4%CM (Compliance Management)7
    • 8,1%AM (Asset Management)13
    • 11,2%CCM (Change & Configuration Management)18
    • 15,0%RVM (Risk & Vulnerability Management)24
    • 31,9%LM (Log Management)51
    • 5,6%CM (Case Management)9
    • 20,6%IR (Incident Response)33
    • 22,5%CSIRT (Cyber Security Incident Response Team)36
    • 11,9%CERT (Computer Emergency Response Team)19
    • 3,8%TH (Threat Hunting)6
    • 10,6%MA (Malware Analysis)17
    • 16,9%TI (Threat Intelligence)27
    • 16,2%Pentest (Penetration test)26
    • 2,5%PR (Public Relations)4
    • 6,2%DF (Digital Forensics)10
    Ростелеком-Солар
    Безопасность по имени Солнце

    Комментарии 13

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Хм, и правда путаница вышла. Мы про SOC, который Security Operation Center.
        Сейчас поправим заголовок во избежание :)
        0
        Интересно, а какой правильный ответ?
          0
          Скажем так, построить «SOC в базовой комплектации» из 5 элементов реально. Но если мы сейчас назовем их, какой же людям будет интерес дальше отвечать?)
          К тому же, все-таки компании, понимающие, что им нужен SOC, обычно уже обзавелись, как минимум, антивирусом. Поэтому если мы подразумеваем, что у заказчика есть базовые системы защиты, дальше многое зависит от специфики его бизнеса.
            +1
            Стоп, на компах уже стоит endpoint у тех компаний, которым требуется SOC, то и из голосования надо убирать. Разве нет?
          0

          То-ли лыжи не едут… То-ли в мобильной версии нет голосования

            0
            Проверьте, не разлогинились ли Вы случайно. А вот из приложения я вообще не могу открыть этот пост…
              0
              Я говорил о мобильной версии сайта

              image

                0
                У коллег все работает. Вы точно заходите из-под своего аккаунта?
                  0
                  Подтверждаю, в мобильной не выводятся варианты
              0
              Еще можно вот здесь выбрать свои варианты: www.surveymonkey.com/summary/fxBWDephHgu_2FqCBTGObRm_2F7dGaPGKQX8Q39Gkb_2FDpE2gmWJovyJIFhnXNfCwAHYE
              0
              Кажется, по итогам опроса можно будет сделать статью «Как устроены и зачем нужны процессы в SOC». Пока средства защиты уверенно лидируют.
                0
                Ну если бы вы сразу исключили все СЗИ и оставили только то, что имеет непосредственное отношение к SOC — то и ответ бы получили про процессы)

                А в текущей ситуации получается ситуация, что у заказчика нет вообще ничего, и он хочет минимум.
                На мой взгляд, в таком случае лучше сделать SOC без SIEM, DF и прочих радостей, но сеть обеспечить хотя бы какой-то минимальной защитой, чем полностью оснастить SOC, но оставить ПК пользователей без антивируса, а критичные участки — без межсетевого экрана.

                Понятно, что СЗИ имеют к SOC весьма опосредованное отношение — но если у клиента нет базовых СЗИ, то и SOC ему на текущем этапе, ИМХО, не_нужен.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое