Основы и тонкости Security Operation Center (SOC)

Подписывайтесь на канал Топ Кибербезопасности https://t.me/+HHvIeYkQgyhiMWIy
Security Operation Center (SOC) — это подразделение, задачей которого является мониторинг, анализ и реагирование на инциденты информационной безопасности на основе заданных процессов, командой сотрудников использующих правильные инструменты.

Зачем SOC, VSOC и Red, Blue, Purple команды вашей компании?

Создание SOC требует ресурсов, в том числе персонал и оборудование.

Виртуальный SOC предоставляет альтернативный вариант, позволяя компаниям аутсорсить функции безопасности специализированным провайдерам, сокращая затраты и повышая эффективность управления безопасностью.


00:00 Введение в Security Operation Center (SOC)

• Денис Транков рассказывает о концепции Security Operation Center (SOC), которая объединяет процессы и людей для обеспечения информационной безопасности.
• SOC становится необходимым на определенном уровне зрелости компании, и его создание требует усилий и времени.

01:25 Создание и эксплуатация SOC

• Создание SOC начинается с определения процессов и ролей, которые должны быть автоматизированы.
• SOC также должен быть основан на четких процессах и процедурах, которые должны быть реализованы и улучшены.

02:47 Задачи и функции SOC

• SOC выполняет мониторинг, реагирование на инциденты, анализ журналов, управление безопасностью, экспертизу принятых решений и расследование инцидентов.
• SOC должен быть основан на людях с определенными знаниями и ролями, а также на процессах, которые четко определены и улучшаются.

04:56 Видеоролик про расследование инцидентов    • Как реагировать на ИТ-инциденты: руководство!  

06:37 Обучение и сбор информации

• SOC должен обучать своих сотрудников быть бдительными и собирать информацию со всего мира, включая внутренние и внешние источники.
• SOC также должен иметь базу знаний, которая включает в себя информацию о скомпрометированных учетных записях, схемах проникновения и актуальных атаках.

08:29 Организационная структура службы информационной безопасности

• В видео обсуждается организационная структура службы информационной безопасности, включая разделение обязанностей между аналитиками и администраторами.
• Упоминается возможность использования внешних сервисов для администрирования средств защиты, таких как Managed Detection and Response (MSS).

08:54 !!! Не отдавайте сотрудников SOC на администрирование СЗИ и ИТ средств!
09:28 Почему переходят на внешний SOC или Virtual SOC
10:22 Виртуальный сок и аутсорсинг

• Виртуальный сок - это сервис, который предоставляет компании возможность передать свои события на анализ и реагирование внешним специалистам.
• Это позволяет полностью отдать защиту рабочих станций и сетей на аутсорсинг.

12:14 Оценка эффективности службы информационной безопасности

• Обсуждается методология оценки эффективности службы информационной безопасности, которая включает в себя оценку процессов, технологий и людей.
• Важным параметром оценки является время реакции на инциденты.

13:11 Как вовремя узнать о взломе компании

Взломы происходят и ваша цель - вовремя узнать об этом
   • 19 способов проникновения в сети и 117 спо...  

14:09 Команды Blue Team и Red Team

• В видео обсуждаются команды Blue Team и Red Team, которые занимаются обнаружением и реагированием на угрозы.
• Также упоминается команда Purple Team, которая объединяет усилия этих двух команд для улучшения безопасности компании.

15:38 Благодарность

Благодарю Виктора Гордеева, Вячеслава Касимова и Андрея Поломошнова за помощь в подготовке выпуска!

Чтобы продолжить изучение подписывайтесь на канал Топ Кибербезопасности https://t.me/+HHvIeYkQgyhiMWIy
Вот тут предыдущие видеоролики из серии про продукты и сервисы
первый    • IPS, Sandbox, DLP, VPN, PKI, MFA, SSO,  ID...  
второй    • NGFW, WAF, EDR/NDR, SIEM, CASB, ILD/VDR, D...