如何建立安全運營中心(按預算)

  • 用有限的資源建設安全運營中心(SOC)是一場與時俱進的競賽
  • 建立SOC有兩個關鍵功能
  • 我怎麼知道我是否需要MSSP?

安全運營中心(SOC)團隊負責監視,檢測,遏制和補救其公共和私有云環境以及物理位置中的關鍵應用程序,設備和系統中的IT威脅。 安全運營中心(SOC)團隊使用各種技術和流程,依靠最新的威脅情報來確定是否正在發生活動威脅,影響範圍以及適當的補救措施。

隨著事件發生頻率和嚴重性的不斷提高,安全運營中心(SOC)的角色和職責不斷發展。

用有限的資源建設安全運營中心(SOC)是一場與時俱進的競賽

對於許多組織(除非您在大型銀行工作),構建SOC似乎是不可能的任務。

對於許多組織(除非您在大型銀行工作),構建SOC似乎是不可能的任務。 在資源(時間,人員和預算)有限的情況下,建立由多種安全監控技術和近實時威脅更新支持的運營中心似乎並不需要全部。

實際上,您可能會懷疑您將有足夠的專職和熟練的團隊成員來持續實施和管理這些不同的工具。 因此,尋找簡化和統一安全監控以優化SOC流程和團隊的方法至關重要。

建立SOC有2個關鍵功能。

首先是設置您的安全監視工具,以接收與安全性相關的原始數據(例如,登錄/註銷事件,持久出站數據傳輸,防火牆允許/拒絕等)。 這包括確保關鍵的雲和本地基礎結構(防火牆,數據庫服務器,文件服務器,域控制器,DNS,電子郵件,Web,活動目錄等)都將其日誌發送到日誌管理,日誌分析或SIEM工具。

第二個功能是使用這些工具通過分析警報來發現可疑或惡意活動; 調查危害指標(IOC,例如文件哈希,IP地址,域等); 查看和編輯事件關聯規則; 通過確定警報的嚴重性和影響範圍對警報進行分類; 評估歸因和對手細節; 並與威脅情報社區共享您的發現。

我怎麼知道我是否需要MSSP?

我們希望有一個硬性規定可以準確地知道是否/何時將SOC外包給服務提供商。 員工人數和技能水平當然是一個因素。 同時,一些最大的企業依靠MSSP而不是構建自己的SOC。

真正的選擇取決於回答一個問題:您對自己的團隊有足夠的資源和熟練的人員來檢測,遏制和應對數據洩露有多自信? 如果您團隊的資源集中在其他優先事項上,那麼利用MSSP管理SOC可能是明智的。

實踐中的網絡殺戮鏈

成功的關鍵在於在敏感數據和系統受到影響之前,在攻擊的早期階段確定攻擊者的活動。 隨著攻擊者在這些殺傷鏈階段上移,他們更有可能在攻擊中取得成功。 通過從攻擊者的角度查看環境行為和基礎架構活動,您可以確定哪些事件現在需要引起您的注意。

作為SOC分析師,記錄調查的每個階段都是至關重要的:您檢查了哪些資產,哪些資產具有“特殊”配置或由VIP(即高管)擁有,以及哪些事件是誤報。

作為SOC分析師,記錄調查的每個階段都是至關重要的:您檢查了哪些資產,哪些資產具有“特殊”配置或由VIP(即高管)擁有,以及哪些事件是誤報。 AlienVault USM使這一部分過程變得容易。

從AlienVault USM在您的環境中檢測到的任何警報,事件或漏洞,您都可以使用ServiceNow®和Jira®等第三方生產力工具輕鬆打開和跟踪故障單,而無需離開USM平台。 您還可以在USM中使用標籤來分類,跟踪和搜索漏洞和警報。 將調查記錄在案可提供審計跟踪,以防萬一它再次成為目標或參與將來的可疑活動。 即使您的公司現在不接受審核,擁有這些寶貴的信息也可能在以後證明有用。

了解您的網絡及其所有資產

資產發現和庫存是最重要但也是最被忽視的網絡安全功能之一。 當您在SOC團隊中時,訪問更新的自動化資產清單非常有用。

預防與檢測

這裡要強調的關鍵是檢測(相對於預防)的重要性。 當然,組織需要實施預防工具(例如,防火牆,AV等),並提供在其他預防類型的活動(例如,桌面配置和帳戶管理的安全性以及嚴格的密碼策略等)中修補漏洞。 但是在最近幾年中,檢測的重要性迅速提高。

攻擊者已經發展了自己的能力(考慮到勒索軟件和DDoS威脅之類的網絡犯罪攻擊的增加),以至於他們不加註意地執行這些攻擊。 在“ AT&T市場脈動:全球網絡安全狀況*”中,他們發現受害者通常會從第三方那裡得知自己遭到入侵,而不是自己發現這些違規行為。

預算和時間有限的小型組織需要一種新方法,該方法將用於構建SOC的基本工具組合到工作流中,可以由小型團隊輕鬆支持。 這些基本的SOC功能包括資產發現,漏洞評估,行為監控,入侵檢測和SIEM(安全信息和事件管理)。

預算和時間有限的小型組織需要一種新方法,該方法將用於構建SOC的基本工具組合到工作流中,可以由小型團隊輕鬆支持。 這些基本的SOC功能包括資產發現,漏洞評估,行為監控,入侵檢測和SIEM(安全信息和事件管理)。

在4本電子書中獲得“如何在預算內構建安全運營中心”的所有1章! 您將深入了解資源有限的組織如何建立運營中心,以監視,檢測,包含和補救跨應用程序,設備,系統,網絡和位置的IT威脅。

您將閱讀的章節集中在:

  • 安全運營團隊中涉及的角色和責任
  • 建立安全運營中心(SOC)的關鍵流程
  • 功能齊全的安全運營中心所需的基本安全監視工具
  • 安全運營中心如何使用威脅情報

立即下載此電子書,以了解如何構建SOC,而無需昂貴的實施服務或大型團隊來管理它。

立即下載白皮書

每次$ 1美元

在這裡提交廣告

傑克·蘇里

在Tech Cloud Link上可以免費下載各種格式的技術白皮書,包括流行文章技術摘要,技術白皮書的PDF版本以及在IT領域內範圍廣泛的研究文章。 在這裡,您將解決與IT趨勢相關的趨勢,這些問題涉及–網絡通信–存儲–數據中心–服務器–網絡安全。 白皮書準確地解決了工業和企業網絡之間的融合以及有關企業IT,業務和領導力戰略的文章,功能,幻燈片和分析的集合
https://techcloudlink.com/

發表評論