15.11.2017 09:38
SolarSecurity 13 3400 Источник

Привет, Хабр!


Мы тут часто пишем о том, что работа центра мониторинга и противодействия кибератакам невозможна без определенных процессов (мониторинг, реагирование, расследование инцидентов и т.д.) и, конечно, без систем защиты (AV, WAF, IPS и т.д.).


То же самое мы объясняем заказчикам, но они, быстро пересчитывая деньги в кармане, иногда в ответ спрашивают: "А можно нам SOC в базовой комплектации?"


Предлагаем вам представить себя на месте такого заказчика. Под катом 26 аббревиатур и терминов. Проверьте, насколько вы понимаете принципы мониторинга и противодействия кибератакам и выберите всего 5 буквосочетаний, которые смогут надежно защитить компанию.


Внимание! Среди вариантов возможны honeypots.


image

Комментарии (13)


  1. izzholtik
    15.11.2017 12:44
    #10522234
    +1

    Эх. Я думал, system on a chip собирают, а тут какой-то профессиональный юмор.


    1. SolarSecurity Автор
      15.11.2017 12:54
      #10522252

      Хм, и правда путаница вышла. Мы про SOC, который Security Operation Center.
      Сейчас поправим заголовок во избежание :)


  1. vesper-bot
    15.11.2017 14:54
    #10522546

    Интересно, а какой правильный ответ?


    1. SolarSecurity Автор
      15.11.2017 16:10
      #10522692

      Скажем так, построить «SOC в базовой комплектации» из 5 элементов реально. Но если мы сейчас назовем их, какой же людям будет интерес дальше отвечать?)
      К тому же, все-таки компании, понимающие, что им нужен SOC, обычно уже обзавелись, как минимум, антивирусом. Поэтому если мы подразумеваем, что у заказчика есть базовые системы защиты, дальше многое зависит от специфики его бизнеса.


      1. Protos
        16.11.2017 03:35
        #10523306

        Стоп, на компах уже стоит endpoint у тех компаний, которым требуется SOC, то и из голосования надо убирать. Разве нет?


  1. iilin
    16.11.2017 07:53
    #10523408

    То-ли лыжи не едут… То-ли в мобильной версии нет голосования


    1. SolarSecurity Автор
      16.11.2017 11:08
      #10523612

      Проверьте, не разлогинились ли Вы случайно. А вот из приложения я вообще не могу открыть этот пост…


      1. iilin
        16.11.2017 15:03
        #10524040

        Я говорил о мобильной версии сайта

        image


        1. SolarSecurity Автор
          16.11.2017 15:43
          #10524104

          У коллег все работает. Вы точно заходите из-под своего аккаунта?


          1. SDKiller
            17.11.2017 01:45
            #10524978

            Подтверждаю, в мобильной не выводятся варианты


    1. SolarSecurity Автор
      16.11.2017 11:27
      #10523642

      Еще можно вот здесь выбрать свои варианты: www.surveymonkey.com/summary/fxBWDephHgu_2FqCBTGObRm_2F7dGaPGKQX8Q39Gkb_2FDpE2gmWJovyJIFhnXNfCwAHYE


  1. SolarSecurity Автор
    16.11.2017 11:14
    #10523622

    Кажется, по итогам опроса можно будет сделать статью «Как устроены и зачем нужны процессы в SOC». Пока средства защиты уверенно лидируют.


    1. lostpassword
      17.11.2017 09:52
      #10525210

      Ну если бы вы сразу исключили все СЗИ и оставили только то, что имеет непосредственное отношение к SOC — то и ответ бы получили про процессы)

      А в текущей ситуации получается ситуация, что у заказчика нет вообще ничего, и он хочет минимум.
      На мой взгляд, в таком случае лучше сделать SOC без SIEM, DF и прочих радостей, но сеть обеспечить хотя бы какой-то минимальной защитой, чем полностью оснастить SOC, но оставить ПК пользователей без антивируса, а критичные участки — без межсетевого экрана.

      Понятно, что СЗИ имеют к SOC весьма опосредованное отношение — но если у клиента нет базовых СЗИ, то и SOC ему на текущем этапе, ИМХО, не_нужен.