2Staff


 

Neem contact met ons op

Opbouwen van een succesvolle Security Operations Center (SOC) de vereisten

Opbouwen van een succesvolle Security Operations Center (SOC) de vereisten

Er zijn unieke zakelijke vereisten die een speciaal SOC vereisen, of er kan cost drivers die de noodzaak van een in-house SOC dicteren zijn. Het bouwen van een in-house SOC heeft echter presenteren zijn eigen set van uitdagingen en vele groepen worstelen over hoe je het beste beginnen. Dit document zal bieden een duidelijk inzicht in hoe je je eigen SOC te bouwen en de balans van de triade van IT-project componenten - mensen, processen en technologie - om uw inspanningen jumpstart.

Missie en Business Case

Voorafgaand aan de bouw van een security operations center, moeten organisaties om wat tijd te plannen nemen. Maar al te vaak deze planning richt zich alleen op de mensen, processen en technologie onderdelen van het project en negeert waarin de fundamentele drivers voor de reden waarom de SOC nodig is en wat het bedrijfsleven problemen de SOC zal oplossen. Voorafgaand aan de ontwikkeling van het project plan voor de bouw van een SOC, moeten project sponsors om een ​​harde blik op de algemene opdracht en de business case voor de SOC nemen.

Missie

Alle succesvolle teams moeten een verenigend gevoel van doel te motiveren teamleden helpen, prioriteren werk en effectief reageren op de veranderende behoeften van het bedrijf. Tijd doorgebracht in deze fase van de planning zal de SOC op lange termijn ten goede komen. Voorafgaand aan de bouw van een SOC, moeten organisaties de volgende vragen beantwoorden:
Welke behoeften zal de SOC ontmoeten voor de organisatie?
Wat zijn de specifieke taken van de SOC? (Bijvoorbeeld het opsporen van aanvallen vanaf het internet, monitoring PCI compliance, het opsporen van misbruik van misbruik van de financiële systemen, incident response en forensische analyse, kwetsbaarheidsanalyses, etc.)
Wie zijn de gebruikers van de informatie verzameld en door de SOC geanalyseerd? Welke eisen ze hopen te leggen aan de SOC?
Wie is de ultieme project sponsor van de SOC? Wie zal "verkopen" de SOC naar de rest van de organisatie? Welke eisen zal hij of zij heffen op de SOC?
Welke soorten van security events uiteindelijk zal worden ingevoerd in de SOC voor het toezicht?

Business Case
Er zijn maar weinig organisaties die gaan naar de uitbouw van een SOC goedkeuren zonder een duidelijk overzicht van de kosten en de strategieën om deze kosten te verhalen. In een overzicht van de kosten van de SOC, zal de volgende items te helpen start de discussie:
Faciliteiten: Meubels, computerapparatuur, speciale badges eisen, macht, HVAC, telefonie
SOC Arbeid: Beveiliging analisten, shift leads, SOC managers
Het ondersteunen van de Arbeid: Netwerk ondersteuning, system support, database-ondersteuning, telefonie ondersteuning, security device management (wanneer niet door de SOC)
Onderwijs en Vorming: Lessen, conferenties, voortgezet onderwijs
Bedreigingen abonnementen: Up-to-the-minute informatie over de nieuwste bedreigingen
Monitoring technologie: diensten Hardware, software, opslag en implementatie
Aanvullende technologieën: Probleem en change management, e-mail, het delen van kennis

Het herstellen van deze kosten is een veel moeilijker probleem op te lossen. De volgende lijst worden enkele gemeenschappelijke benaderingen in de motivering van de kosten van een SOC:
Kostenvermijding: Het bouwen van de SOC zal veel minder dan niet opsporen, voorkomen, en reageren op aanvallen kosten.
Kostenbesparingen: De kans is groot dat veel van de SOC processen of technologieën kunnen helpen bij het automatiseren functies reeds plaats binnen de organisatie. Door het accepteren van een nieuwe datafeed en de productie van geautomatiseerde rapportage kan een SOC vaak bespaart de organisatie geld door het verminderen van handmatige inspanning.
Deling van de kosten: In veel gevallen worden andere groepen momenteel belast met de verantwoordelijkheden geschetst voor de toekomst SOC. Zijn de groepen die bereid zijn om "uit te besteden" deze verantwoordelijkheden aan de SOC? Met andere organisaties te helpen om het wetsvoorstel kan de totale impact op alle minimaliseren voet.
Inkomsten / kosten Recovery: Kan SOC diensten worden aangeboden aan klanten - zowel intern als extern? Er is meer werk bij het bepalen van scheiding van de gegevens bij de klanten, prijsmodellen, en andere zakelijke aspecten, maar de werkelijke ontvangsten (of terugvordering van kosten in het geval van interne klanten) is een krachtig argument waar SOC diensten kunnen worden ingezet om de veiligheid diensten verrichten voor andere organisaties.

Mensen
Zodra de SOC missie en business case duidelijk worden uiteengezet, kunnen projectteams dan richten op de traditionele IT-project onderdelen van mensen, processen en technologie. Hoewel geen enkel deel van de triade is belangrijker dan de andere, organisaties hebben de neiging om vaker falen in het aantrekken en behouden van de belangrijkste mensen nodig om een ​​SOC effectief te opereren.
Selectie
De meest voorkomende fout bij de uitvoering van een interne SOC is het aantrekken van mensen met de juiste vaardigheden. Bedrijven hebben de neiging om te beginnen met een te lage vaardigheden voor de analist. De SOC analist is de infanterie man van de informatiebeveiliging gemeenschap die zich bezighouden met de dagelijkse loopgravenoorlog met een stevige en innovatieve tegenstander. Dit is een tegenstander die de ontberingen van het bewaken van een console voor kwaadaardige gebeurtenissen die worden gemaskeerd door duizenden overlast gebeurtenissen begrijpt. De effectieve SOC analist heeft een goede deal van het oplossen van problemen geduld, het vermogen om problemen te onderzoeken, en een onverstoorbare vermogen om te communiceren tijdens stressvolle tijden. Het duurt meer dan instap IT-vaardigheden om te slagen.
Terwijl de uitzonderlijke kandidaat kan gaan van een help-desk technicus om een ​​effectieve SOC analist, is een betere initiële capaciteit gevonden in systeembeheer, desktop support, en het netwerk operationeel personeel. Personeel met ervaring in netwerk-, server- en desktop support neiging om de achtergrond van het oplossen van problemen om snel uit te blinken in de typische analist taken die de diepten van de TCP / IP-protocol suite en diverse inbraakdetectie handtekeningen.
Loopbaanontwikkeling
Monitoring en het reageren op een eindeloos aanbod van security events is genoeg om de band zelfs de meest enthousiaste informatiebeveiliging professional. Als zodanig, de typische mandaat als SOC analist tussen 1-3 jaar. Dit maakt het noodzakelijk om voortdurend kandidaten te identificeren voor de volgende generatie van analisten en het plan van de loopbaanontwikkeling voor bestaande analisten. De SOC Manager moet sterke relaties met andere IT-groepen te helpen identificeren die kandidaten die een nieuw informatiebeveiliging carrière te beginnen te ontwikkelen. Bovendien moet de SOC Manager en zie uit naar Incident Response Teams, Audit, en andere geavanceerde informatiebeveiliging groepen te bieden SOC personeel helpen een carrière na hun SOC ambtstermijn.

Opleiding

Geen SOC analist kan effectief zijn zonder een passende opleiding te zijn; Gelukkig zijn er zeer goede mogelijkheden voor het bouwen van een effectief trainingsprogramma. Wanneer crafting opleidingsplannen, moet SOC managers omvatten zowel formele opleiding op standaard informatiebeveiliging vaardigheden en on-the-job training (opleiding op de werkplek) om de effectiviteit van de analisten binnen de organisatie te maximaliseren.
Formele opleiding moet de SANS (Systeembeheer en netwerkbeveiliging) "Intrusion Detection in Depth" opleidingsmodule en de GCIA (GIAC Certified Intrusion Analyst) certificering. Dit is de industrie standaard in opleiding analisten in de fundamenten van TCP / IP, TCP / IP-monitoring tools en vaardigheden in verband met geavanceerde inbraak analyse. Voor die organisaties standaardiseren hun Security Information and Event Management (SIEM) programma rond ArcSight, de ArcSight Certified Security Analyst (ACSA) opleiding is een must-have. ACSA traint analisten om kritieke security events met behulp van het ESM product goed te identificeren, correleren, en filteren.

On-the-job moeten trainingsprogramma's een overzicht van belangrijke informatie beveiligingsconcepten bieden, trainen op specifieke inbraakdetectie gereedschappen in gebruik, analytische processen en procedures, en effectieve communicatie technieken. De SOC analist vereist zal zijn om alle niveaus van ingenieurs en het senior management effectief te communiceren en te briefen in tijden van extreme stress, waardoor de opleiding in het beheer van strijdlustige communicatie is van onschatbare waarde. Deze opleiding moet ook de hiërarchie van communicatiemiddelen. Leren wanneer naar pagina, bellen, e-mail of wijs een ticket is een cruciale vaardigheid. Bovendien is het belangrijk dat elke analist leren communiceren in beknopte goed geschreven documenten en e-mails. SOC managers moeten een programma dat aspirant-analisten schrijven van analytische blad en vervolgens presenteren hun bevindingen aan hun collega's om schriftelijke en mondelinge communicatieve vaardigheden aan te scherpen creëren.
Staffing Plannen
Staffing plannen zullen direct evolueren uit de behoeften van de missie. Is de SOC een virtuele entiteit waar evenementen worden verzameld, geanalyseerd, gealarmeerd, en gerapporteerd? Moet de SOC hebben full-time voor toezicht consoles, analyseren, alert, en verslag? Of, doet de SOC nodig volledige personeelsbezetting vierentwintig uur per dag, 7 dagen per week, het hele jaar door? Deze missie behoeften zal bepalend zijn voor de personeelsbezetting modellen die moeten worden uitgevoerd.
Ondanks de bijzonderheden van elke geven staffing modellen, zijn er een aantal richtlijnen te volgen:
Een SOC analist mag nooit alleen in het bemannen van een verschuiving. Er zijn een groot aantal veiligheids- en prestatieproblemen die kan leiden.
Elke shift en rol binnen de SOC moet duidelijk omschreven verantwoordelijkheden en deliverables te hebben.
Er mag geen onduidelijkheid verwacht wordt elke analist op elk moment tijdens een SOC verschuiving.
Er moet een duidelijke "hand-off 'tussen verschuivingen zijn. Elke shift moet een formele logboek van gebeurtenissen documenteren van die zaken die aanvullende of voortdurende aandacht nodig hebben te houden.
Er is een belangrijke kwestie die altijd opduikt op een nachtdienst - de analisten voelen zich genegeerd en niet geïnformeerd. De SOC manager moet moeilijk om te waarborgen werken / zij voortdurend communiceert met de nachtploeg en zelfs schema tijd om samen te werken.
Om een ​​SOC 24x7x365 personeel, zijn tien SOC Analisten vereist. De verschuiving schema dat het beste past bij dit personeelsmodel is vier twaalf-uursdiensten per week. Elke analist werkt drie dagen op, vier dagen af, gevolgd door vier dagen op, en drie dagen vrij. Deze bedraagt ​​84 uur twee weken. Bovendien zijn twee van de meer ervaren analisten (meestal aangeduid als Level-2 Analisten) werken een 8x5 shift en zijn beschikbaar voor verschuivingen voor geplande en ongeplande afwezigheden te dekken. 

Onderstaand  toont een voorbeeld schema voor een 24x7x365 verschuiving schema.

DAGELIJKS (08:00 TOT 08:00)
Niveau 1 Analisten Night Shift dagdiensten 1 & 2 10:00-10:00 nachtdiensten 3 & 4 22:00-10:00
Niveau 2 Analisten Day Shift 08:00-05:00 Nachtploeg 05:00-02:00 On-call Rotation
Beveiliging Ingenieurs Day Shift 08:00-05:00 On-call Rotation
SOC management Day Shift 08:00-17:00 On-call Rotation

Nadere informatie: contact

Contact

2Staff B.V. 
Europalaan 2
5232 BV 's-Hertogenbosch 

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl