Configurar su propio SOC empresarial

8

el otro día estaba hablando con un proveedor de servicios (MSSP) que tiene experiencia con el funcionamiento del SOC (centro de operaciones de seguridad) 24x7. Su precio era bastante elevado (en el rango de millones). No entiendo por qué sería tan empinada. Mi impresión de un SOC es:

a) getting a log collector such as HP arcsight
b) implement IDS on different locations, eg snort which is low cost.
c) forward the logs from these IDS (and other devices) to Arcsight
d) Let ARcsight do the magic of correlating events.
e) 2-3 Analysts on the Arcsight console monitoring 24x7 (on shifts) and 
   doing incident response. this I could probably do in-sourcing as I don't 
   have the staff to do this.the console could use vmware or some other 
   virtual technology, thus I save on the hardware cost?

Con lo anterior, no creo que mi SOC costaría millones. ¿O no es tan sencillo configurar un SOC?

Desventaja que se me ocurre al usar MSSP:

a) Lack of resource to monitor full time as MSSP may use shared resources for different clients
b) Slow response to incident?
c) Could not customize the way I want to run the show

¿Qué piensas de comprometer a MSSP? ¿Qué otras cosas debo tener en cuenta si deseo configurar mi propio SOC de bajo costo?

gracias

    
pregunta dorothy 05.02.2015 - 14:39
fuente

1 respuesta

3

Una herramienta como HP ArcSight puede personalizarse muy profundamente, y escribir los casos de uso y las reglas correctas para correlacionar eventos relevantes y alertar sobre incidentes significativos, es muy difícil. Muchas organizaciones fallan miserablemente implementando ArcSight.

El simple hecho de obtener registros sin procesar a través de conectores al registrador y luego al ESM, y luego escribir casos de uso es un proyecto que, según el tamaño y el ancho de banda de su red, puede costar entre $ 100K y $ 3M.

Pero una vez que está en funcionamiento, ahora parte de la rutina diaria de SOC es mirar las alertas y ajustar la herramienta para evitar demasiados falsos positivos; Implica revisar las reglas y casos de uso. Durante los primeros seis meses, si no tiene los recursos adecuados, es posible que solo vea el panel rojo lleno de alertas a las que no sabe a cuál prestar atención.

Cuando ocurre un incidente, un SOC de clase mundial tiene un proceso de clasificación, investigación y escalamiento bien definido para manejarlo, con al menos 2 niveles de analistas. Un SOC 24x7 debe responder casi en tiempo real y tomar las medidas adecuadas contra los ataques detectados.

Por lo general, estos niveles son expertos en seguridad, que son costosos y la rotación en turnos lo hace aún más caro. El servicio debe ser confiable, lo que requiere mucha redundancia. También deben realizar la recopilación de inteligencia sobre amenazas e investigar las nuevas tendencias en ataques cibernéticos para usted. Estos son conocimientos que son raros y caros.

Pero solo $ 1M por año para SOC no es razonable. Si acude a grandes jugadores, porque utilizan la economía de escala, pueden ofrecer un mejor trato.

    
respondido por el Goli E 17.02.2015 - 02:07
fuente

Lea otras preguntas en las etiquetas