Co je virtuální bezpečnostní operační centrum VSOC?
Bezpečnostní operační střediska se stávají nezbytnými pro velké podniky. Velká organizace s mnoha aktivy a interakčními body s vnějším světem musí věnovat alespoň část svého IT rozpočtu na monitorování zabezpečení.
Specializované nástroje potřebují specializované techniky, kteří je budou provozovat a interpretovat jejich zjištění. SOC se tedy brzy sestaví najmutím specialistů na kybernetickou bezpečnost a poskytnutím potřebného softwaru, aby byl systém IT v bezpečí.
Zkušený techniků kybernetické bezpečnosti jsou velmi žádané, takže platy, které společnosti musí nabídnout, aby přilákaly tyto lidi, rostou rychleji než průměrné mzdy v IT sektoru. Na mnoha místech vysoké platy prostě nestačí k tomu, aby přilákaly ten správný kalibr bezpečnostního personálu. Menší společnosti nemají rozpočet ani pracovní propustnost, aby ospravedlnily najímání bezpečnostních pracovníků. Z mnoha důvodů se stává atraktivnější outsourcovat úkoly bezpečnostního monitorování a je jich mnoho poskytovatelé řízených služeb zahájení provozu bezpečnostního monitoringu jménem klientů.
Termín „virtuální“ se používá pro mnoho služeb v IT a popisuje systém, který se zdá být interní, ale není. Jako příklady tohoto jevu si představte virtuální privátní sítě a virtuální servery. Outsourcing Security Operations Center (SOC) se zdá být dalším oddělením v oboru. Nicméně není – je virtuální bezpečnostní operační centrum (vSOC).
Virtuální bezpečnostní operační centra
Virtuální bezpečnostní operační centra mohou být umístěna kdekoli. Tato flexibilita umístění jim umožňuje snížit náklady tím, že se usadí v oblastech s nižším nájemným. To však nemusí nutně znamenat ve vzdálených městech. Je to proto, že fond talentů potřebná k provozování těchto center bývá hojnější v okolí univerzitních měst. VSOC však nemusí být v kancelářských prostorách s vysokým nájemným na Main Street.
VSOC může být umístěn kdekoli na světě a sloužit klientům z jakékoli země. Hlavním omezením klientské základny pro každého poskytovatele služeb je jazyk podpůrného personálu.
Jedná se o primární operace vSOC monitorovací bezpečnostní software . Virtuální bezpečnostní operační centra nepotřebují přistupovat k žádným datovým úložištím klienta, aby pro klienta neuchovávala data, jen aby se ujistila, že nedojde k nevhodnému použití těchto dat. Takže z legislativy, jako je GDPR, nevznikají žádné problémy s umístěním, které by neblokovaly vSOC hledající klienty v jakékoli zemi.
vSOC nehostuje data a není poskytovatelem SaaS. Místo toho spravuje software, který si zákazník předplatil, samostatně. V některých případech poradci vSOC klientovi poradí, jaký software pro monitorování zabezpečení si má koupit, a poté doporučí navíc službu správy. V ostatních případech nabídne poskytovatel zvoleného bezpečnostního softwaru nad rámec balíčku SaaS službu správy.
Není neobvyklé, že se klient nachází na jednom místě, systémový software funguje na serveru ve zcela jiné zemi, bezpečnostní monitorovací software je hostován na třetím místě a pracovníci vSOC jsou umístěni někde jinde.
Tým pověřený monitorováním zabezpečení systému vaší společnosti se nemusí skládat ze stejných lidí nepřetržitě. I když provozujete svůj SOC, jindy budou zaměstnáni různí lidé, práce na směny . vSOC mohou přenést odpovědnost za zabezpečení webu na různá datová centra po celém světě ve strategických časových pásmech. Poskytovatel služby tedy může poskytnout 24hodinová ostražitost aniž byste museli přimět techniky, aby pracovali nespolečenské hodiny.
Konfigurace zabezpečení
I když má lokalizované techniky kybernetické bezpečnosti na dálku může vypadat jako slabé bezpečnostní místo, opak je pravdou. Posouzení zranitelnosti střeženého systému lze provádět z externího umístění, protože tato konfigurace lépe odráží scénář hackerů, kteří se dostanou přes internet.
Když tým vSOC přistupuje k obyvatelům bezpečnostního softwaru v chráněné síti, připojení, která používají, jsou zajištěno . Zaměstnanci vSOC tak mohou bezpečně sledovat bezpečnostní software fungující uvnitř sítě. Jak již bylo uvedeno, bezpečnostní monitorovací systém nemusí být nutně umístěn v chráněné síti. V tomto případě bude mít monitorovací systém agentský program v chráněné síti, která komunikuje s cloudovým monitorovacím systémem. Tato komunikace bude opět probíhat přes zabezpečenou, zašifrované spojení.
Tým vSOC pak získá přístup k služba bezpečnostního sledování , nikoli chráněná síť. Nápravné akce jsou obvykle implementovány prostřednictvím orchestrace s rezidentními systémy řízení přístupu pracujícími na chráněném systému. To znamená brány firewall, přístupová práva, systémy správy a síťová zařízení.
Sanační akce musí být spuštěny nástrojem pro monitorování zabezpečení systému, jako je systém prevence narušení nebo systém prevence ztráty dat. Týmy vSOC tedy opět nepotřebují mít přímý přístup k chráněnému systému, ale potřebují nastavit a vyladit systém monitorování zabezpečení.
Nejdůležitější součástí bezpečnostního monitorovacího systému je způsob jeho nastavení. Předpokládejme, že detekční pravidla a sanační spouštěče jsou vytvořeny správně. V takovém případě se o veškerou práci bezpečnostního dohledu postará monitorovací systém, takže poskytovatel bezpečnostních služeb může využít jeden tým techniků k monitorování mnoha systémů. Touto taktikou může vSOC nabídnout správu zabezpečení systému za mnohem nižší cenu, než by si většina společností vynahradila při provozování vlastního bezpečnostního operačního centra.
smlouvy VSOC
Smlouva o poskytování služeb je klíčovým prvkem, který umožňuje outsourcing. Jako klient máte několik rozhodnutí o tom, co přesně chcete, aby vSOC dělal. Potřebujete například vSOC ke správě kontinuita kroky, jako je zrcadlení vašeho systému pro zajištění prostředí pro přepnutí při selhání, aby vaši zaměstnanci mohli pokračovat v práci, i když je váš server zničen? Mezi další periferní úlohy, které nejsou přímo kategorizovány jako monitorování zabezpečení, patří zálohování dat a zotavení . Další by mohla být odpovědnost za správu a archivaci protokolů, aby byly k dispozici pro audit shody.
Budete mít a dohoda o úrovni služeb připojené k vaší smlouvě s VSOC, které specifikuje kvalitu služeb a očekávané doby odezvy na různé události. Smlouva by také měla specifikovat očekávanou úroveň zkušeností a úroveň akreditace pracovníků pověřených monitorováním bezpečnosti klienta.
S uzavřenou smlouvou, pokud pokrývá právní odpovědnost za úspěch nebo neúspěch SOC při obraně systému a předcházení úniku dat, má klient efektivně pojistku proti škodlivé činnosti.
Nejlepší možnosti vSOC
Vzhledem k tomu, že vSOC nepřebírá kontrolu nad vaším systémem ani neuchovává žádná data vaší společnosti, neexistují žádné dlouhodobé důsledky, které by předběhly krátkodobé rozhodnutí o tom, kterého poskytovatele služeb zvolit při hledání externích bezpečnostních služeb. To znamená; neexistuje žádný procedurální důvod být uzamčen u konkrétního poskytovatele vSOC.
Skutečnost, že nepotřebujete outsourcované SOC k převzetí vaší externí komunikace, znamená menší tlak při výběru virtuálního bezpečnostního operačního centra – odhalit hrozné rozhodnutí nebude drahý proces.
Naše metodika pro výběr virtuálního bezpečnostního operačního centra
Prozkoumali jsme trh se službami vSOC a spravovali poskytovatele zabezpečení a hodnotili kandidátské systémy podle následujících kritérií:
- Služba, která je nakonfigurována tak, aby zaručovala, že technici nemohou získat přístup k vašim datům
- Systém, který nabízí nepřetržitý dohled
- Služby, které mohou poskytnout nový software pro monitorování zabezpečení a také možnosti použití se stávajícími systémy
- Flexibilita při vytváření SLA pro zohlednění nestandardních požadavků
- Schopnost spravovat řadu softwarových balíčků pro monitorování zabezpečení
- Žádné poplatky za nastavení ani doba uzamčení
- Dobrá hodnota za peníze od poskytovatele, který se nebude pokoušet přidat neočekávané poplatky, aby zvýšil účet
I když obvykle očekáváme, že poskytovatelé softwaru dají bezplatné zkušební období , to není možné s konceptem vSOC. V tomto případě si místo nákupu softwaru najímáte tým a lidem je třeba platit.
Předpokládejme například, že jste vyhodnotili několik spolehlivých a vysoce uznávaných poskytovatelů služeb, kteří se mohou stát vaším virtuálním bezpečnostním operačním centrem s ohledem na tato výběrová kritéria.
Zde je náš seznam pěti nejlepších poskytovatelů virtuálních bezpečnostních operačních center:
- Pod obranou Tento poskytovatel nabízí ve svých plánech velkou flexibilitu. Centrální bezpečnostní koncept systému Under Defense je SIEM. Under Defense radí vaší společnosti, jaký bezpečnostní software (SIEM) nainstalovat, a dokonce vám pomůže s jeho instalací. Tým Under Defense pak převezme řízení, monitoruje řídicí panel softwaru SIEM a zajišťuje, že v případě zjištění narušení podnikne příslušné kroky. Tým za vás bude také spravovat soubory protokolu. Under Defense nabízí dvě možnosti vSOC: plně spravované a společně spravované zabezpečení. Možnost společného řízení je vhodná pro podniky, které mají na místě malý tým bezpečnostních analytiků.
- VerSprite Virtual Security Operations Center Tato služba je plně spravovaný bezpečnostní balíček, který zahrnuje bezpečnostní monitorovací systém. Zakoupíte si bezpečnostní systém a konzultanti VerSprite vás mohou v tomto procesu podpořit. Pokud již máte svůj bezpečnostní monitorovací systém na místě, je to v pořádku. VerSprite převezme řízení tohoto bezpečnostního systému a vyhodnotí všechna upozornění, která vytvoří. Tým nastaví každé oznámení a odstraní falešné poplachy. Váš tým správy systému bude informován o skutečných hrozbách, jakmile nastanou. Pokud chcete, můžete spolupracovat s týmem VerSprite na nastavení automatických odpovědí, aby váš tým nemusel trávit čas řešením úkolů nápravy. Kromě ochrany proti vniknutí má tým VerSprite zkušenosti s monitorováním integrity souborů a ochranou dat.
- Virtuální bezpečnostní operační centrum LightEdge Zatímco ostatní poskytovatelé vSOC vás provedou výběrem softwaru pro monitorování zabezpečení nebo převezmou správu vašeho aktuálního nastavení monitorování zabezpečení, LightEdge spolupracuje se softwarem IBM QRadar. QRadar je vynikající SIEM založený na možnosti a mohl byste dopadnout mnohem hůř. Jde o to, že tým Light Edge provedl svůj výzkum a rozhodl se, že QRadar je ten nejlepší systém, jaký mohli najít. Také to, že všichni klienti používají stejný bezpečnostní monitorovací systém, umožňuje společnosti rychle převádět techniky z jednoho klienta na druhého. Dohled nad vaším systémem je prováděn nepřetržitě, každý den v roce. Stejně jako u jiných řešení vSOC se můžete rozhodnout, do jaké míry je ve smlouvě implementována automatizace nápravy. Můžete se rozhodnout nechat své lidi řešit zjištěné problémy nebo nechat techniky LightEdge, aby se s nimi vypořádali.
- Redscan virtuální SOC Přístup této služby je spíše podpůrným systémem než kompletním převzetím správy bezpečnosti. Tato možnost by vyhovovala podniku, který chce provozovat své vlastní SOC, ale nemůže najít správnou kvalitu zaměstnanců s vysokou úrovní odbornosti. Pomocí SOC jako týmu techniků druhé linie může klientská společnost umožnit svým zaměstnancům SOC zlepšit své dovednosti prostřednictvím zkušeností. Toto řešení je dobrým nápadem pro ty podniky, které se obávají ztráty kontroly, kterou by úplný outsourcing správy zabezpečení mohl přinést. Toto řešení je na míru šitý přístup, který zahrnuje váš IT personál s vedením od konzultantů Rescan od výběru bezpečnostního softwaru po jeho instalaci, nastavení a provoz.
- Výkonná operace XOVSOC je společně spravovaná nabídka, která poskytuje odbornou podporu a výměny vašeho interního IT provozního týmu mimo pracovní dobu. Tým Executive Ops má svůj informační kanál o hrozbách, který upozorní techniky na nový útok. První obranná linie spočívá v softwaru pro monitorování zabezpečení systému, který odhalí abnormální chování. Dále jsou tato upozornění směrována k analytikovi Executive Ops, který odfiltruje falešné poplachy. A konečně, ty, které se skutečně týkají událostí, se dostanou do vašeho týmu, buď jako oznámení, nebo jako zdroje přímo do vašeho systému správy sítě.