Security Operation Center (SOC)

7

Sto cercando risorse e dettagli sulla creazione di un centro operativo di sicurezza (SoC) o n centro operativo della rete (NoC) basato su ITIL o qualsiasi altra normativa applicabile. Dove posso trovare buoni dettagli o esperienze di altri, tranne che per l'assunzione di consulenti.

    
posta Yasser Sobhdel 14.04.2011 - 19:09
fonte

1 risposta

7

Ecco alcune esperienze su come stabilire progetti, in particolare progetti di sicurezza, che si applicano alla consulenza e all'outsourcing che ho scritto su una risposta di stackexchange sulla sicurezza relativa a compromessi incident .

Per quanto riguarda le risorse, beh dipende in gran parte dal tuo ambiente da ciò che avresti bisogno di costruire e da quante persone assumere (ea quali livelli di qualifiche). In molti modi, un buon consulente strategico o due potrebbero spingerti a prendere decisioni migliori, ma se vuoi la vera storia - lascia che ti dia qualche consiglio in più.

Gli eventi e gli incidenti di sicurezza sono meglio tracciati da personale che ha già familiarità con SIEM e rilevamento degli incidenti e amp; pannelli di risposta (IDR) - quindi cerca candidati con esperienza passata e strategica a lungo termine con SIEM / log-management / IDR. Per il personale, Lance Hayden analizza l'attuale evento di sicurezza / flusso di incidenti utilizzando la distribuzione di Poisson in Minitab, come spiegato nel suo libro, "IT Security Metrics". Entra anche nel flusso di lavoro aziendale e in altri concetti che sono molto importanti per la creazione di un SOC di qualità.

Per i pannelli IDR, considera AIRT o RTIR - oppure costruisci uno personalizzato, magari in base ai wireframe e al flusso di lavoro. Molte organizzazioni integrano l'IDR nel loro sistema di ticketing, come ad esempio Remedy.

SIEM costa denaro , ma ci sono libri e risorse per avviare un SOC. La maggior parte degli incidenti di sicurezza nel 2011 sono attacchi SQL injection (o altri attacchi a livello di app Web) e browser / documenti sul lato client (ad esempio Adobe Reader / Flash, Microsoft IE / Office / ActiveX, applet Java Oracle, ecc.). È altamente consigliato che il tuo team di SOC abbia familiarità con le tecniche e gli strumenti delineati in questo post del blog intitolato Chiusura del ciclo . Pur non attenuando l'altro, informazioni più importanti in quel post del blog - c'è qualcosa di specifico per te, [PDF] [il manuale CSIRT] 6 [download]. Quel documento è vecchio, ma comunque molto pertinente.

Per risorse più aggiornate, consulta le guide e molte altre risorse all'indirizzo PRIMO .

Questi libri saranno anche utili, in ordine di necessità:

  • Implementazione della gestione delle informazioni e degli eventi di sicurezza (SIEM)
  • Strategie di sicurezza in piattaforme e applicazioni Windows
  • Ricettario e DVD degli analisti di malware: strumenti e tecniche per combattere il codice dannoso
  • Malware Forensics: ricerca e analisi del codice dannoso
  • Hack di sicurezza di rete, seconda edizione
  • Strumenti di sicurezza per la sicurezza
  • Posta open source Pro: creazione di una soluzione Enterprise Mail
risposta data 14.04.2011 - 21:50
fonte

Leggi altre domande sui tag