Centro de operaciones de seguridad (SOC)

7

Estoy buscando recursos y detalles para establecer un centro de operaciones de seguridad (SoC) o n network operation center (NoC) basado en ITIL o cualquier otra normativa aplicable. ¿Dónde puedo encontrar buenos detalles o experiencias de otros, excepto para la contratación de consultores?

    
pregunta Yasser Sobhdel 14.04.2011 - 19:09
fuente

1 respuesta

7

Aquí hay algo de experiencia sobre el establecimiento de proyectos, especialmente proyectos de seguridad, que se aplica a la consultoría y la subcontratación que escribí en una respuesta de intercambio de seguridad sobre incidentes de compromiso .

En cuanto a los recursos, depende en gran medida de su entorno en cuanto a lo que necesitaría construir y la cantidad de personas que contratará (y en qué niveles de calificación). De muchas maneras, uno o dos asesores de estrategia podrían empujarlo a tomar mejores decisiones, pero si quiere la historia real, permítame darle algunos consejos adicionales.

Los eventos de seguridad y los incidentes son mejor rastreados por personal que ya está familiarizado con SIEM y la detección de incidentes & paneles de respuesta (IDR): busque candidatos con experiencia práctica anterior y estratégica a largo plazo con SIEM / log-management / IDR. Para la dotación de personal, Lance Hayden analiza la corriente actual de incidentes / eventos de seguridad utilizando la distribución de Poisson en Minitab, como se explica en su libro "Métricas de seguridad de TI". También se dedica al flujo de trabajo empresarial y otros conceptos que son muy importantes para crear un SOC de calidad.

Para los paneles IDR, considere AIRT o RTIR - o construya uno personalizado, quizás basado en sus wireframes y flujo de trabajo. Muchas organizaciones integran IDR en su sistema de emisión de boletos, como Remedy.

SIEM cuesta dinero , pero hay libros y Recursos para comenzar un SOC. La mayoría de los incidentes de seguridad en 2011 son inyección de SQL (u otros ataques de capa de aplicación web) y ataques de navegador / documento del lado del cliente (por ejemplo, Adobe Reader / Flash, Microsoft IE / Office / ActiveX, applets de Oracle Java, etc.). Se recomienda encarecidamente que su equipo de SOC esté familiarizado con las técnicas y herramientas descritas en esta publicación del blog titulada Cerrar el bucle . Si bien no es para bajar el tono, hay información más importante en esa publicación del blog: hay algo de interés específico para usted, [PDF] [el Manual del CSIRT] 6 [descargar]. Ese papel es antiguo, pero sigue siendo muy relevante.

Para obtener recursos más actualizados, consulte las guías y muchos otros recursos en FIRST .

Estos libros también serán útiles, por orden de necesidad:

  • Implementación de información de seguridad y gestión de eventos (SIEM)
  • Estrategias de seguridad en plataformas y aplicaciones de Windows
  • Libro de cocina y DVD de Malware Analyst: herramientas y técnicas para combatir el código malicioso
  • Malware Forensics: investigando y analizando código malicioso
  • Hacks de seguridad de red, segunda edición
  • Herramientas eléctricas de seguridad
  • Correo de código abierto de Pro: Creación de una solución de correo de empresa
respondido por el atdre 14.04.2011 - 21:50
fuente

Lea otras preguntas en las etiquetas