Impostazione del SOC aziendale

Naviga le tue risposte
8

l'altro giorno stavo parlando con un fornitore di servizi (MSSP) che ha esperienza con il funzionamento del SOC (security operations center) 24x7. Il loro prezzo era piuttosto ripido (nell'intervallo di milioni). Non capisco perché sarebbe così ripida. La mia impressione su un SOC è: 

a) getting a log collector such as HP arcsight
b) implement IDS on different locations, eg snort which is low cost.
c) forward the logs from these IDS (and other devices) to Arcsight
d) Let ARcsight do the magic of correlating events.
e) 2-3 Analysts on the Arcsight console monitoring 24x7 (on shifts) and 
   doing incident response. this I could probably do in-sourcing as I don't 
   have the staff to do this.the console could use vmware or some other 
   virtual technology, thus I save on the hardware cost?

Con quanto sopra, non penso che il mio SOC costerebbe in milioni. O l'impostazione di un SOC non è così semplice?

Svantaggio a cui posso pensare quando si utilizza MSSP: 

a) Lack of resource to monitor full time as MSSP may use shared resources for different clients
b) Slow response to incident?
c) Could not customize the way I want to run the show

Che cosa pensi di coinvolgere MSSP? Quali altre cose devo considerare se desidero creare il mio SOC a basso costo?

grazie

    
posta dorothy 05.02.2015 - 14:39
fonte

1 risposta

3

Uno strumento come HP ArcSight può essere personalizzato molto profondamente, e la semplice scrittura dei casi d'uso e delle regole corretti per correlare eventi rilevanti e allarmi su incidenti significativi è molto difficile. Molte organizzazioni falliscono miseramente nell'implementazione di ArcSight.

È sufficiente ottenere i registri non elaborati dai connettori al registratore e poi a ESM, e quindi scrivere casi d'uso è un progetto che a seconda delle dimensioni e della larghezza di banda della rete può costare da $ 100K a $ 3M.

Ma una volta che è attivo e funzionante, ora parte della routine giornaliera di SOC è di esaminare gli avvisi e ottimizzare lo strumento per evitare troppi falsi positivi; implica la revisione delle regole e dei casi d'uso. Per i primi sei mesi, se non si dispone delle risorse giuste, è possibile visualizzare solo la dashboard rossa piena di avvisi a cui non si sa a quale prestare attenzione.

Quando si verifica un incidente, un SOC di livello mondiale ha un processo ben definito di triage, investigazione e escalation per gestirlo, con almeno 2 livelli di analisti. Un SOC 24x7 dovrebbe rispondere quasi in tempo reale e intraprendere azioni appropriate contro gli attacchi rilevati.

Di solito, questi livelli sono esperti di sicurezza, che sono costosi e la rotazione a turni rende ancora più costoso. Il servizio deve essere affidabile, il che richiede molta ridondanza. Dovrebbero anche fare la raccolta di informazioni sulle minacce e ricercare le nuove tendenze negli attacchi informatici per te. Queste sono competenze che sono rare e costose.

Ma solo $ 1 milione all'anno per SOC non è ragionevole. Se vai ai grandi giocatori, perché usano l'economia di scala, possono offrire un accordo migliore.

    
risposta data 17.02.2015 - 02:07
fonte

Leggi altre domande sui tag

Installazione di una CA solo per domini specifici Non è saggio usare Redis per memorizzare PII, chiavi private e altri segreti?