Какво представлява виртуалният оперативен център за сигурност на VSOC?

Оперативни центрове за сигурност стават съществени за големия бизнес. Голяма организация с много активи и точки за взаимодействие с външния свят трябва да посвети поне част от своя ИТ бюджет за наблюдение на сигурността.

Специализираните инструменти се нуждаят от специализирани техници, които да ги управляват и да интерпретират техните открития. По този начин скоро се сглобява SOC чрез наемане на специалисти по киберсигурност и предоставяне на необходимия софтуер за поддържане на безопасността на ИТ системата.

опитен техници по киберсигурност са в голямо търсене, така че заплатите, които компаниите трябва да предложат, за да привлекат тези хора, продължават да растат по-бързо от средните заплати в ИТ сектора. На много места високите заплати просто не са достатъчни, за да привлекат правилния калибър персонал по сигурността. По-малките компании нямат бюджет или производителност, за да оправдаят наемането на охранителен персонал. Поради много причини става все по-привлекателно да се възлагат задачи за наблюдение на сигурността и има много управлявани доставчици на услуги започване на извършване на мониторинг на сигурността от името на клиенти.

Терминът „виртуален“ се прилага за много услуги в ИТ и описва система, която изглежда е вътрешна, но не е. Като примери за това явление, помислете за виртуални частни мрежи и виртуални сървъри. Изнесеният Център за операции по сигурността (SOC) изглежда е друг отдел в бизнеса. Въпреки това не е – това е a виртуален център за операции по сигурността (vSOC).

Оперативни центрове за виртуална сигурност

Виртуалните оперативни центрове за сигурност могат да бъдат разположени навсякъде. Тази гъвкавост на местоположението им позволява да намалят разходите си, като се базират в райони с по-ниски наеми. Това обаче не означава непременно в отдалечени градове. Това е така, защото на таланти необходими за управлението на тези центрове обикновено са по-изобилни около университетските градове. Въпреки това, vSOC не е необходимо да бъде в офис пространство с високи наеми на главната улица.

vSOC може да се намира навсякъде по света и да обслужва клиенти от всяка страна. Основното ограничение за клиентската база за всеки доставчик на услуги е езикът на обслужващия персонал.

Основните операции на включените vSOC софтуер за наблюдение на сигурността . Виртуалните оперативни центрове за сигурност не се нуждаят от достъп до никое от хранилищата за данни на клиента, така че да не съхраняват данни за клиента, само за да не се уверят, че няма неподходящо използване на тези данни. Така че никакви проблеми с местоположението не произтичат от законодателство, като GDPR, за да не се блокира vSOC, търсещ клиенти в която и да е държава.

vSOC не хоства данни и не е SaaS доставчик. Вместо това, той управлява отделно софтуера, за който клиентът се е абонирал. В някои случаи консултантите на vSOC ще посъветват клиента кой софтуер за наблюдение на сигурността да купи и след това ще препоръчат услугата за управление на всичкото отгоре. В други случаи доставчикът на избрания софтуер за сигурност ще предложи услуга за управление в допълнение към SaaS пакета.

Не е необичайно клиентът да се намира на едно място, системният софтуер да работи на сървър в напълно различна държава, софтуерът за наблюдение на сигурността да се хоства на трето място, а персоналът на vSOC да бъде разположен някъде другаде.

Екипът, на който е възложено да наблюдава сигурността на системата на вашата компания, не е необходимо да се състои от едни и същи хора денонощно. Дори ако управлявате вашия SOC, различни хора ще бъдат наети по друго време, работа на смени . vSOC могат да прехвърлят отговорността за сигурността на сайта към различни центрове за данни по целия свят в стратегически часови зони. По този начин доставчикът на услуги може да осигури 24-часова бдителност без да се налага техниците да работят в необщителни часове.

Конфигурации за сигурност

Въпреки че разполага с техници за киберсигурност дистанционно може да изглежда като слабо място за сигурност, вярно е обратното. Оценките на уязвимостта за охраняваната система могат да се извършват от външно местоположение, тъй като тази конфигурация отразява по-добре сценария на проникване на хакери в интернет.

Когато екипът на vSOC има достъп до резиденти на защитен софтуер в защитената мрежа, връзките, които те използват, са осигурени . Така персоналът на vSOC може сигурно да наблюдава софтуера за сигурност, работещ в мрежата. Както вече беше отбелязано, системата за наблюдение на сигурността не е задължително да бъде резидентна в защитената мрежа. В този случай системата за наблюдение ще има агентска програма в защитената мрежа, която комуникира с облачната система за наблюдение. Отново, тази комуникация ще се осъществява по защитен начин, криптиран връзки.

След това екипът на vSOC получава достъп до услуга за наблюдение на сигурността , а не защитената мрежа. Действията за коригиране обикновено се изпълняват чрез оркестрация с резидентни системи за контрол на достъпа, работещи в защитената система. Това означава защитни стени, права за достъп, системи за управление и мрежови устройства.

Възстановителни действия трябва да бъдат задействани от инструмента за наблюдение на сигурността на системата, като например система за предотвратяване на проникване или система за предотвратяване на загуба на данни. Така че, отново, екипите на vSOC не трябва да имат директен достъп до защитената система, но трябва да настроят и прецизират системата за наблюдение на сигурността.

Най-важната част от системата за наблюдение на сигурността е начинът, по който е настроена. Да предположим, че правила за откриване и задействания за отстраняване са създадени правилно. В този случай системата за наблюдение ще се погрижи за цялата работа по надзора на сигурността, така че доставчикът на услуги за сигурност може да използва един екип от техници за наблюдение на много системи. Чрез тази тактика vSOC може да предложи управление на сигурността на системата на много по-ниска цена, отколкото повечето компании биха очаквали да управляват своя вътрешен център за операции по сигурността.

VSOC договори

Договорът за услуга е ключовият елемент, който прави аутсорсинга осъществим. Като клиент имате няколко решения какво точно искате да прави vSOC. Например, имате ли нужда от vSOC за управление приемственост стъпки, като дублиране на вашата система, за да осигурите среда за преодоляване на срив, така че вашият персонал да може да продължи да работи дори ако вашият сървър е унищожен? Други периферни задачи, които не са директно категоризирани като мониторинг на сигурността, включват архивиране на данни и възстановяване . Друга може да бъде отговорността за управление и архивиране на регистрационни файлове, за да бъдат достъпни за одит на съответствие.

Ще имате а споразумение за нивото на обслужване приложен към вашия договор с VSOC, който определя качеството на услугата и очакваното време за реакция за различни събития. Договорът трябва също така да посочва очаквания стандарт на опит и ниво на акредитация на персонала, назначен за наблюдение на сигурността на клиента.

Със сключен договор, стига да покрива правна отговорност за успеха или неуспеха на SOC в защитата на системата и предотвратяването на нарушения на данните, клиентът на практика има застрахователна полица срещу злонамерена дейност.

Най-добрите vSOC опции

Тъй като vSOC не поема контрола върху вашата система или не съхранява никакви данни на вашата компания, няма никакви дългосрочни последствия, които да налагат краткосрочното решение кой доставчик на услуги да изберете, когато търсите външни услуги за сигурност. Това ще рече; няма процедурна причина да бъдете заключени към конкретен доставчик на vSOC.

Фактът, че не се нуждаете от изнесен SOC, за да поеме външните ви комуникации, означава по-малко налягане когато избирате виртуален център за операции по сигурността – премахването на ужасно решение няма да бъде скъп процес.

Нашата методология за избор на виртуален оперативен център за сигурност

Разгледахме пазара за vSOC услуги и управлявани доставчици на сигурност и оценихме кандидат системите по следните критерии:

• Услуга, която е конфигурирана да гарантира, че техниците не могат да получат достъп до вашите данни
• Система, която предлага денонощен надзор
• Услуги, които могат да предоставят нов софтуер за наблюдение на сигурността, както и опции за използване със съществуващи системи
• Гъвкавост при създаването на SLA за отчитане на нестандартни изисквания
• Възможност за управление на набор от софтуерни пакети за наблюдение на сигурността
• Без такси за настройка или период на заключване
• Добра стойност за парите от доставчик, който няма да се опитва да добавя неочаквани такси, за да увеличи сметката

Въпреки че обикновено очакваме доставчиците на софтуер да дадат безплатен пробен период , това не е възможно с концепцията vSOC. В този случай вие наемате екип, вместо да купувате софтуер, а на хората трябва да се плаща.

Да предположим например, че сте оценили няколко надеждни и високо ценени доставчици на услуги, които могат да се превърнат във вашия виртуален център за операции по сигурността, имайки предвид тези критерии за подбор.

Ето нашия списък с петте най-добри доставчици на центрове за виртуална сигурност:

1. Под защита Този доставчик предлага голяма гъвкавост в своите планове. Централната концепция за сигурност на системата Under Defense е SIEM. Under Defense съветва вашата компания кой софтуер за сигурност (SIEM) да инсталира и дори ще ви помогне да го инсталирате. След това екипът на Under Defense поема, наблюдавайки таблото за управление на софтуера SIEM и гарантирайки, че той предприема подходящи действия, ако бъде открит пробив. Екипът също ще управлява регистрационни файлове вместо вас. Under Defense предлага две опции за vSOC: напълно управлявана и съвместно управлявана сигурност. Опцията за съвместно управление е подходяща за фирми, които имат малък екип от анализатори по сигурността на място.
2. Операционен център за виртуална сигурност VerSprite Тази услуга е напълно управляван пакет за сигурност, който включва система за наблюдение на сигурността. Вие купувате системата за сигурност и консултантите на VerSprite могат да ви помогнат в този процес. Ако вече имате инсталирана система за наблюдение на сигурността, това е добре. VerSprite поема управлението на тази система за сигурност и ще оценява всички предупреждения, които създава. Екипът настройва всяко известие и отстранява фалшивите аларми. Вашият екип за системна администрация ще бъде информиран за действителните заплахи, когато възникнат. Ако предпочитате, можете да работите с екипа на VerSprite, за да настроите автоматизирани отговори, така че вашият екип да не прекарва време в задачи за коригиране. Освен че предпазва от проникване, екипът на VerSprite има опит в наблюдението на целостта на файловете и защитата на данните.
3. LightEdge Virtual Security Operations Center Докато други доставчици на vSOC ви водят през избора ви на софтуер за наблюдение на сигурността или поемат управлението на текущата ви настройка за наблюдение на сигурността, LightEdge работи със софтуера IBM QRadar. QRadar е отличен SIEM, базиран на може, и можете да направите много по-лошо. Въпросът е, че екипът на Light Edge е направил своето проучване и са решили, че QRadar е най-добрата система, която могат да намерят. Също така наличието на всички клиенти в една и съща система за наблюдение на сигурността позволява на компанията бързо да прехвърля техници от един клиент на друг. Надзорът на вашата система се извършва денонощно, всеки ден от годината. Както при други vSOC решения, вие можете да решите доколко автоматизация на коригирането е внедрена в споразумението. Можете да решите да оставите вашите хора да се справят с идентифицираните проблеми или да оставите техниците на LightEdge да се справят с тях.
4. Redscan Virtual SOC Подходът на тази услуга е по-скоро система за поддръжка, отколкото цялостно управление на сигурността. Тази опция би подхождала на бизнес, който иска да управлява своя собствен SOC, но не може да намери правилното качество на персонала с високо ниво на опит. Използвайки SOC като екип от технически специалисти от втора линия, компанията клиент може да даде възможност на своя SOC персонал да подобри своите умения чрез опит. Това решение е добра идея за онези фирми, които се притесняват от загубата на контрол, която може да доведе до пълното изнасяне на управлението на сигурността. Това решение е персонализиран подход, който включва вашия ИТ персонал с насоки от консултанти на Rescan от избора на софтуер за сигурност до инсталирането му, настройката му и работата с него.
5. Изпълнителни операции XOVSOC е съвместно управлявано предложение, което предоставя експертна поддръжка и заместване в извънработно време за вашия вътрешен екип по ИТ операции. Екипът на Executive Ops има своя емисия за разузнаване на заплахи, която предупреждава техниците за новата атака. Първата линия на защита е софтуерът за наблюдение на сигурността на системата, който забелязва необичайно поведение. След това тези сигнали се насочват към анализатор на Executive Ops, който филтрира фалшивите аларми. И накрая, тези събития, които наистина засягат, се насочват към вашия екип, или като известия, или като емисии директно във вашата система за управление на мрежата.