Собери свой Security Operation Center из 5 элементов

    Привет, Хабр!


    Мы тут часто пишем о том, что работа центра мониторинга и противодействия кибератакам невозможна без определенных процессов (мониторинг, реагирование, расследование инцидентов и т.д.) и, конечно, без систем защиты (AV, WAF, IPS и т.д.).


    То же самое мы объясняем заказчикам, но они, быстро пересчитывая деньги в кармане, иногда в ответ спрашивают: "А можно нам SOC в базовой комплектации?"


    Предлагаем вам представить себя на месте такого заказчика. Под катом 26 аббревиатур и терминов. Проверьте, насколько вы понимаете принципы мониторинга и противодействия кибератакам и выберите всего 5 буквосочетаний, которые смогут надежно защитить компанию.


    Внимание! Среди вариантов возможны honeypots.


    image

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Создай свой SOC из пяти аббревиатур:

    • 77,2%SIEM (Security information and event management)125
    • 51,2%AV (Antivirus)83
    • 18,5%EDR (Endpoint Detection and Response)30
    • 4,9%AAPT (Anti Advanced Persistent Threats)8
    • 64,8%IPS/IDS (Intrusion Prevention System/ Intrusion Detection System)105
    • 18,5%ADDoS (Anti DDoS)30
    • 39,5%WAF (Web Application Firewall)64
    • 1,2%AST (Application Security Testing)2
    • 33,3%DLP (Data Leakage Prevention)54
    • 13,0%UEBA (User Behavior & Entity Analysis)21
    • 5,6%BI/SI (Business Intelligence/Security Intelligence)9
    • 4,3%CM (Compliance Management)7
    • 8,0%AM (Asset Management)13
    • 11,1%CCM (Change & Configuration Management)18
    • 14,8%RVM (Risk & Vulnerability Management)24
    • 31,5%LM (Log Management)51
    • 5,6%CM (Case Management)9
    • 21,0%IR (Incident Response)34
    • 22,2%CSIRT (Cyber Security Incident Response Team)36
    • 12,4%CERT (Computer Emergency Response Team)20
    • 3,7%TH (Threat Hunting)6
    • 11,1%MA (Malware Analysis)18
    • 17,3%TI (Threat Intelligence)28
    • 16,0%Pentest (Penetration test)26
    • 2,5%PR (Public Relations)4
    • 6,2%DF (Digital Forensics)10
    Ростелеком-Солар
    Безопасность по имени Солнце

    Комментарии 13

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Хм, и правда путаница вышла. Мы про SOC, который Security Operation Center.
        Сейчас поправим заголовок во избежание :)
        0
        Интересно, а какой правильный ответ?
          0
          Скажем так, построить «SOC в базовой комплектации» из 5 элементов реально. Но если мы сейчас назовем их, какой же людям будет интерес дальше отвечать?)
          К тому же, все-таки компании, понимающие, что им нужен SOC, обычно уже обзавелись, как минимум, антивирусом. Поэтому если мы подразумеваем, что у заказчика есть базовые системы защиты, дальше многое зависит от специфики его бизнеса.
            +1
            Стоп, на компах уже стоит endpoint у тех компаний, которым требуется SOC, то и из голосования надо убирать. Разве нет?
          0

          То-ли лыжи не едут… То-ли в мобильной версии нет голосования

            0
            Проверьте, не разлогинились ли Вы случайно. А вот из приложения я вообще не могу открыть этот пост…
              0
              Я говорил о мобильной версии сайта

              image

                0
                У коллег все работает. Вы точно заходите из-под своего аккаунта?
                  0
                  Подтверждаю, в мобильной не выводятся варианты
              0
              Еще можно вот здесь выбрать свои варианты: www.surveymonkey.com/summary/fxBWDephHgu_2FqCBTGObRm_2F7dGaPGKQX8Q39Gkb_2FDpE2gmWJovyJIFhnXNfCwAHYE
              0
              Кажется, по итогам опроса можно будет сделать статью «Как устроены и зачем нужны процессы в SOC». Пока средства защиты уверенно лидируют.
                0
                Ну если бы вы сразу исключили все СЗИ и оставили только то, что имеет непосредственное отношение к SOC — то и ответ бы получили про процессы)

                А в текущей ситуации получается ситуация, что у заказчика нет вообще ничего, и он хочет минимум.
                На мой взгляд, в таком случае лучше сделать SOC без SIEM, DF и прочих радостей, но сеть обеспечить хотя бы какой-то минимальной защитой, чем полностью оснастить SOC, но оставить ПК пользователей без антивируса, а критичные участки — без межсетевого экрана.

                Понятно, что СЗИ имеют к SOC весьма опосредованное отношение — но если у клиента нет базовых СЗИ, то и SOC ему на текущем этапе, ИМХО, не_нужен.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое