Nowoczesny SOC i MDR: role w nowoczesnym SOC

Nowoczesne SOC (Security Operation Center) to wysoce specjalistyczne centra operacji bezpieczeństwa, których celem jest wykrycie atakujących, którzy uzyskali dostęp do urządzeń lub sieci organizacji.  Zespół ekspertów ds. cyberbezpieczeństwa pełniących różne role koordynuje operacje w SOC. Specjaliści ci wykonują sekwencję określonych procesów wspieranych przez specjalistyczne narzędzia w celu jak najszybszego wykrywania, analizowania i reagowania na ataki.

Cyberprzestępcy są aktywni 365 dni w roku. Oznacza to, że SOC również muszą działać 24 godziny na dobę, 365 dni w roku, by zapewniać należytą ochronę. 

Istnieją trzy poziomy analityków bezpieczeństwa, które charakteryzują się różnymi obowiązkami. Są to tak zwane trzy linie wsparcia.

Rola łowców zagrożeń jest skoncentrowana bardziej na wiedzy na temat kluczowych technik atakujących, aniżeli na samych technologiach ich wykrywania.  Ich zadaniem jest lokalizowanie nieznanych i wyrafinowanych zagrożeń, którym udało się ominąć istniejące zabezpieczenia. Threat hunterzy oceniają bezpieczeństwo organizacji z proaktywnego punktu widzenia, aby jak najbardziej skrócić czas utrzymywania się zagrożenia.

Jego zadaniem jest opracowywanie i wdrażanie strategii powstrzymywania, łagodzenia i eliminowania zagrożeń.

Odpowiada za kierowanie zespołem, budżetowanie, koordynowanie operacji, zakup rozwiązań i narzędzi itp.

Team odpowiedzialny za tworzenie i utrzymywanie infrastruktury centrum bezpieczeństwa poprzez testowanie, ocenę i sugerowanie odpowiednich narzędzi dla procesów SOC. Zespół ten odpowiada także za zapewnienie zgodności z przepisami bezpieczeństwa, co wiąże się z dokumentowaniem, przestrzeganiem i ciągłym aktualizowaniem praktyk bezpieczeństwa w odniesieniu do ram wewnętrznych i branżowych.

Nowoczesne centrum operacji bezpieczeństwa powinno mieć uszeregowaną strukturę organizacyjną oraz jasno określone role w zespole. Jest to niezmiernie ważne w sprawnym wykrywaniu zagrożeń wewnątrz sieci.