SOC/NOC Efektywne zarządzanie organizacją

Transkrypt

1

2

3 SOC/NOC Efektywne zarządzanie organizacją

4 NOC vs SOC Krytyczne centra IT w organizacjach Zadania: Obsługa incydentów 24/7/365 Monitorowanie zdarzeń, anomalii i korelacji Generowanie ticketów Komunikacja z innymi podmiotami organizacji Historycznie zwykle rozdzielone

5 NOC Network Operations Center Ochrona ciągłość działania sieci i usług Obsługa incydentów: Ataki DDoS Przerwy w zasilaniu Awarie sieci Konfiguracja sprzętu, routingu Zarządzanie portami Rozwiązywanie problemów użytkowników sieciowych Pierwszy stopień oceny stanu awarii

6 SOC Security Operations Center Analiza eventów Świadomość sytuacyjna i inne Threat Intel & Trendy Skanowanie i ocena bezpieczeństwa Analiza incydentów & odpowiedź na incydenty Audyt Analiza artefaktów Utrzymywanie narzędzi

7 Porównanie NOC i SOC Cecha NOC SOC Atrybuty Dostępność Poufność, Integralność, Dostępność SLA Czas pracy bez awarii Czas wykrycia Czas odpowiedzi Główne zadania Obsługa i utrzymywanie urządzeń sieciowych Przywrócenie firmy do poziomu operacyjnego Wykrywanie cyberataków Powstrzymywanie i zwalczenie ataków Monitorowanie Przerwy w pracy i anomalie sieciowe Zagrożenia bezpieczeństwa Technologie Use Case awaria urządzenia Servers, Routers, FWs, Switches, Storage Systems, DBs, Telco, IoT, Device Management Systems, Wireless Systems Monitoriowanie awarii urządzenia jako błąd hardware u SIEM, AV, IDS/IPS, Antymalware, AntyAPT, EDR, DLP Monitoriowanie awarii urządzenia jako wskaźnik kompromitacji Ekspert T3 Specjalistyczna wiedzy sieciowa Specjalistyczna wiedza z zakresu bezpieczeństwa Umiejętności Rozwiązywanie problemów Inwestygacja

8 Wspólne potrzeby NOC i SOC Stanowisko analityka Systemy zarządzania & Centralka telefoniczna SLAs Standardowe Procedury Operacyjne Workflow obsługi incydentów Technologie do monitorowania (NBAD) Wspólne technologie (FW, DNS, Proxy, Remote Access, VPN)

9 Przykładowa struktura organizacyjna SOC/NOC NOC/SOC Chief Tier 1 Tier 2 Tier 3 Tier 2 NOC Tier 3 NOC Tier 2 SOC Tier 3 SOC

10 Integracja NOC i SOC

11 Integracja NOC i SOC Połączenie Tier 1 SOC & Tier 1 NOC Integracja systemu zgłoszeniowego (SLAs, SOPs) Wpółdzielone sensory, narzędzia, dashboardy Poziom Operacyjny Poziom Systemowy Poziom Assetów

12 Integracja NOC i SOC

13 Integracja NOC i SOC Efektywność operacyjna Podobna sktuktura operacyjna Wzrost wydajności zintegrowany punkt kontaktowy Poprawa poziomu usług - zwiększona świadomość sytuacyjna, widoczność, redukacja FPs, Internal Threat Intel Skrócony czas reakcji na incydent Efektywność budżetowa Eliminowanie nadmiarowej infrastruktury operacyjnej i personelu poziomu 1 Zmniejszenie wskaźniów rotacji pracowników Ścieżki kariery w zakresie sieci i bezpieczeństwa

14 Powiązania relacji SOC i NOC Źródło:

15 Proces budowy NOC/SOC Misja i wizja Zdolności operacyjne Proces eskalacji Przewodniki obsługi wykorzystywanych systemów/narzędzi Stwórz Playbook Obsługuj incydenty wg Playbook Eliminacja False Positves Automatyzaja zadań Monitorowanie poziomu dojrzałości systemów/narzędzi wykorzystywanych przez SOC/NOC Ciągłe udoskonalanie narzędzi monitorujących Analiza GAP Ciągłe udoskonalanie procesów Monitorowanie poziomu dojrzałości procesów SOC/NOC

16 Materiały pomocnicze

17

18 SOC/NOC Uniwersalna sonda