Nincs két szervezet egyforma háttérinfrastruktúrával, szabályozási követelményekkel vagy költségvetéssel, így az SOC-szükségletek eltérőek. Ennek eredményeként nincs „mindenre egyforma” megközelítés az SOC üzembe helyezésére és optimalizálására.
Egy nemrégiben készült tanulmányban a Gartner öt különböző modellt azonosított a biztonsági műveleti központok telepítésére és karbantartására. Ezen modellek mindegyike egyedi jellemzőkkel rendelkezik – egyesek a nagyvállalatok számára a legalkalmasabbak, míg mások ideálisak a kis- és közepes méretű szervezetek számára.
I. SOC-As-A-Service
A SOC-as-a-Service (SOCaaS) megoldások decentralizált, felhő alapú portálok, amelyek összekapcsolják a vállalati infrastruktúrát egy külső megfigyelő és eseményreagáló csapattal. A virtuális, felhőhöz kapcsolódó megközelítés egyre gyakoribb, ahogy a vállalkozások támogatást nyújtanak a távoli műveletekhez és a személyzethez.
Előnyök: A SOCaaS karbantartása sokkal olcsóbb, mint egy helyszíni biztonsági műveleti központ vásárlása, telepítése és karbantartása. Nincs szükség saját hardver vásárlására vagy saját személyzet képzésére, ami azt jelenti, hogy a szervezetek rendkívül gyorsan biztosíthatják infrastruktúrájukat.
A SOCaaS-szállítók kihasználhatják a legkorszerűbb technológiát és szakértelmet, hogy igény szerint biztosítsák a biztonsági eredményeket. Automatizálással, kategóriájában legjobb biztonsági incidens- és eseménykezelési ( SIEM ) technológiával és mélyreható elemzésekkel kiegészítve a virtuális megközelítés kiváló eredményeket érhet el annak a töredékével, mint amennyibe a helyszíni SOC felépítése kerülne.
Hátrányok: Nem minden SOCaaS szállító kínál azonos minőségű szolgáltatást. A fokozódó verseny arra késztette egyes szállítókat, hogy olyan költségcsökkentő stratégiákat alkalmazzanak, amelyek veszélybe sodorják vásárlóikat.
Például nem ritka, hogy a SOCaaS-szállítók kelet-európai és dél-ázsiai offshore cégeknek adják ki az infrastruktúrát. Sokkal kevesebbet számíthatnak fel szolgáltatásaikért, de a földrajzi távolság és az időzóna különbségei megnehezítik, hogy egy pillanat alatt magas színvonalú incidens-elhárítási szolgáltatásokat nyújtsanak.
Kinek megfelelő: A SOCaaS modell ideális néhány különböző típusú szervezet számára. Mivel ez a leggyorsabb és legolcsóbb módja a vállalati biztonság javításának, sok vállalat azonnal előfizet a SOCaaS szolgáltatásokra, miután kibertámadást szenvedett el. Számukra a SOCaaS-modell ideiglenes megoldás lehet a helyszíni infrastruktúra kiépítése közben.
A kis- és középvállalkozások is gyakran regisztrálnak a SOCaaS szolgáltatásokra. Ezek a cégek nem engedhetik meg maguknak, hogy helyszíni biztonsági infrastruktúrát építsenek ki, ezért a lehető legjobb és legmegbízhatóbb biztonsági szállítót keresik. Még a nagyvállalatok is kiberbiztonsági infrastruktúrájukat olyan neves, iparágvezető SOCaaS-megoldásokba szervezik ki, mint a ClearNetwork.
Ha szervezete SOCaaS telepítését tervezi, győződjön meg róla, hogy egy jó hírű, helyi szakértelemmel rendelkező szállítót talál. Szánjon egy kis időt a technológia megismerésére, és gondoskodjon arról, hogy megfelelő rálátása legyen a virtuális biztonsági infrastruktúrára.
II. Többfunkciós SOC/NOC
Ez a megközelítés a biztonsági műveleteket és a hálózati műveleteket ugyanabba a létesítménybe helyezi. Ezzel a megközelítéssel egyetlen biztonsági és hálózati szakemberekből álló csapat oszthatja meg az erőforrásokat és az infrastruktúrát. Ez egy helyszíni üzemeltetési központ, amely a biztonsági műveletek mellett IT-műveleteket, megfelelőséget és kockázatkezelést is végez.
Előnyök: A többfunkciós modell időszerű, helyszíni biztonsági folyamatokat tesz elérhetővé a vállalatok számára, csökkentett költségek mellett. A hálózati és biztonsági személyzet kombinálásával mindkét részleg költsége minimalizálható.
Ezek az előnyök még nagyobbak a kis szervezetek számára, amelyeknek már átfedő biztonsági feladatai vannak több csapaton belül.
Hátrányok: A többfunkciós megközelítés fő hátránya, hogy a biztonság gyakran háttérbe szorul a hálózatépítés előtt. A biztonsági tehetségek felvétele többfunkciós környezetben kihívást jelenthet, és a megosztott erőforrások elosztása konfliktusokhoz vezethet.
Ha a hálózati és biztonsági szakemberek egy többfunkciós környezetben nem értenek egyet a hálózati erőforrások legjobb kihasználásával kapcsolatban, a biztonsági oldal ritkán nyer. A hálózati statisztikák általában meggyőzőbb értéket képviselnek, mint a kiberbiztonság, mivel a megelőzést nehezebb mérni, mint a teljesítményt.
Kinek megfelelő: A viszonylag alacsony kockázati kitettséggel rendelkező kisvállalkozások használhatják a többfunkciós SOC megközelítést a biztonság és a hálózatok ideiglenes megszilárdítására. Érdemes hangsúlyozni, hogy a többfunkciós megközelítés a vállalat növekedésével megbomlik, ezért a vállalatvezetőknek átalakítási stratégiával kell rendelkezniük.
III. Közösen irányított SOC
A közösen menedzselt SOC modell a külső munkatársak mellett helyszíni monitoring megoldásokat is alkalmaz. Ezt a megközelítést hibrid megközelítésnek is nevezhetjük, mivel helyszíni és külső elemeket is tartalmaz. Ezek az elemek nagyon eltérőek lehetnek a különböző szervezetek között, így a közös irányítás sokoldalú lehetőség.
Előnyök: A közösen irányított SOC-megközelítés rugalmasságot kínál a vállalkozásoknak, hogy megválasszák, mely technológiákat alkalmazzák a helyszínen, és melyeket nem. Ez lehetőséget ad arra, hogy alacsony kockázatú biztonsági folyamatokat delegáljon az alacsony költségű SOCaaS-szolgáltatókra, miközben a nagy hatású biztonsági feladatokat házon belül tarthatja.
Ez azt is lehetővé teszi a vállalat számára, hogy bizonyos biztonsági ismereteket előnyben részesítsen másokkal szemben. Ha a szervezet túlméretezett kockázatokkal rendelkezik egy adott területen, akkor használhatja a közösen irányított megközelítést, hogy több erőforrást fordítson erre a területre, mint bármely más megközelítéssel.
Hátrányok: Sok közösen kezelt SOC-t felügyelt biztonsági szolgáltatók kezelnek, akiknek alapvető szakértelme sem az informatikai, sem a kiberbiztonsági műveletekhez nem tartozik. A SOCaaS-hez hasonlóan a vállalkozások számára is rendkívül fontos, hogy gondosan minősítsék partnerségeiket, mielőtt bármilyen szerződést aláírnának.
Ezenkívül fennáll a veszélye annak, hogy ez a modell idővel drágább lesz. Továbbra is be kell fektetnie további hardverekbe, és támogatnia kell a részleges helyszíni infrastruktúra többletköltségét. Ha a mérsékelni kívánt kiberbiztonsági kockázat öt év múlva valószínűleg nem jelent problémát, akkor lehet, hogy ma már nincs értelme erőforrásokat áldozni erre a megközelítésre.
Kinek megfelelő: A költségvetési korlátokkal és erősen specifikus kiberbiztonsági sebezhetőségekkel küzdő vállalkozások profitálnak a legjobban a közösen kezelt megközelítésből. Kihívást jelent majd megtalálni a megfelelő egyensúlyt az Ön által irányított biztonsági elemek és az Ön által delegált biztonsági elemek között. Készüljön fel arra, hogy ez az egyensúly idővel megváltozik, és győződjön meg arról, hogy társ-menedzsment partnere hajlandó elfogadni ezt a tényt.
IV. Dedikált SOC
A dedikált SOC egy központosított megoldás, amely saját infrastruktúrával, saját csapattal és kizárólag a kiberbiztonságra tervezett folyamatokkal rendelkezik. A dedikált SOC mérete, képességei és költsége nagyon eltérő lehet, de a legtöbb esetben legalább öt házon belüli kiberbiztonsági szakértőre van szükség a bérlistán.
Előnyök: A dedikált SOC teljes tulajdonjogot biztosít a vállalat összes biztonsági technológiája és folyamata felett. Ez biztosítja csapatának a lehető legnagyobb rálátást a környezetére, és lehetővé teszi a lehető leggyorsabb fenyegetés-választ és -csökkentést.
Leegyszerűsítve, nincs jobb megoldás a mindennapi biztonságra, mint egy saját, dedikált biztonsági műveleti központ.
Hátrányok: A saját, dedikált biztonsági műveleti központ felállítása és személyzete rendkívül költséges. A technológia és az infrastruktúra rendkívüli kezdeti beruházást igényel, a működési költségek pedig évről évre növekednek. A tehetségek felvétele és megtartása idővel nehezebb lesz, és állandó ütemben növeli a rezsiköltséget.
Mindazonáltal az állandó hackerek, államilag támogatott kémek és kiberbűnöző szervezetek által folyamatosan támadott szervezetek számára nincs jobb megoldás.
Kinek megfelelő: A nagyvállalatok, közintézmények és kormányzati szervek rendelkeznek azokkal az erőforrásokkal és fenyegetettségi profillal, amelyek indokolják egy dedikált SOC létrehozását és fenntartását. Nyilvánvaló okokból a kiberbiztonsági szolgáltatóknak is sokat kell fektetniük saját házon belüli képességeikbe.
V. Parancs SOC
A parancs SOC-modell több területen elosztott SOC-hálózatot ír le. Sok esetben ez egy összekapcsolt, globális biztonsági műveleti központ, amely több dedikált SOC-ból áll, amelyek párhuzamosan működnek egymással. Az SOC parancsnak lehetnek meghatározott webhelyei bizonyos feladatoknak, például kriminalisztika, kiberbiztonsági kutatás vagy fenyegetés-felderítés.
Előnyök: A parancs SOC-struktúra a lehető legátfogóbb biztonsági struktúrát kínálja. Rendelkezik az erőforrásokkal és az agyerővel ahhoz, hogy szembenézzen a globális kiberbiztonsági környezet legveszélyesebb kihívásaival.
Hátrányok: A globális parancsnoki SOC-megközelítés által megkövetelt puszta összetettség miatt a bolygó legnagyobb és legerősebb szervezetei kivételével az összes szervezet számára elérhetetlenné válik. Paradox módon ez az összetettség gyakran sebezhetővé teszi őket a legegyszerűbb támadásokkal szemben – például amikor egy brit tinédzser 2018-ban behatolt a CIA-ba, az FBI-ba és a Belbiztonsági Minisztériumba.
Kinek megfelelő: Globális 2000 vállalatok és kormányzati védelmi, hírszerzési és terrorizmusellenes ügynökségek.
Melyik SOC Modell A Megfelelő Az Ön Számára?
A választott SOC-modell idővel mélyen befolyásolja a biztonsági műveletek sikerét. Olyan megoldást kell választani, amely képes kezelni mind a mai, mind a holnap kiberbiztonsági fenyegetéseit. Vállalkozás mérete, kockázati profilja és technológiai infrastruktúrájának összetettsége mind olyan tényezők, amelyeket figyelembe kell venni.
A hatékonyság érdekében a biztonsági műveleti központnak áttekinthetőnek kell lennie a vállalkozás minden aspektusában. Megvan az egyensúly a szűk, hiperspecializált biztonsági szakértelem és a holisztikus biztonsági kultúra kialakítása között a vezetők, a személyzet és a felhasználók körében. A biztonsági jártasság ilyen szintjének megteremtése szakértői útmutatást, tehetséget és erőforrásokat igényel.
