Изграждане на Security Operations Center
Целта на Security Operations Center (SOC) е да открива, анализира и отговаря на инциденти, свързани с киберсигурността, чрез използването на комбинация от технологични решения, утвърдени процеси и експертни познания.
Функционалността на един Security Operations Center е изградена от следните основни компоненти:
- Управление на инциденти – тази основна функционалност се осигурява от SIEM решението. Централизираният му потребителски интерфейс предоставя достъп базиран на роли и функции и глобален поглед над управлението на инциденти. Информационните екрани на SIEM предоставят улесняват експертите в откриването на аномалии в активността на наблюдаваната инфраструктура и съответно ранно откриване на започващи атаки.
- Управление на заплахите – решението използва способностите си за кибер-разузнаване и извличане на данни, за да сканира стандартния, deep и dark web, и да предостави полезна информация за потенциалните заплахи насочени към конкретната сфера на дейност на клиента, неговите активи, процеси, служители и др.
- Управление на уязвимостите – проактивно открива уязвимостите от гледна точка на сигурността в мрежовите устройства, сървърите и приложенията. Подпомага приоритизирането на действията за отстраняването им и смекчаване на последствията при евентуалното им експлоатиране.
- Наблюдение на търговските марки – предоставя информация относно кибер-заплахи, конкретно насочени към наблюдаваната организация. Системата идентифицира активите на клиента на база на името му и основните услуги, които ползва и предлага. Платформата постоянно сканира широк кръг от източници за оценка на заплахите в стандартния, deep и dark web. Също така използва и услугите на Интернет търсачките за събиране и анализиране на допълнителна информация.