SOLDATOV_IN_TELEGRAM Telegram 533
tgoop.com » United States » Солдатов в Телеграм » Telegram web » Post 533
Солдатов в Телеграм
Как правильно: "SIEM" или "SOC"?

Некоторое время назад ЛК и К2К делали исследование о SOC-ах к подготовке которого немного приложился и ваш покорный слуга. Вот ссылка на пресс-релиз, а отчет будет доступен попозже.

Кто-то заложил традицию, что говоря о SOC надо обязательно говорить о SIEM, не было исключением и исследование. На мой взгляд, это не совсем корректно, поэтому вопрос почему компании не всегда стремятся приобретать SIEM для своего SOC, я бы прокомментировал следующим образом (дискуссионную тему о том, что в современных условиях SIEM уже не основной элемент технологического стека SOC, пока оставим):
Причин, почему не имеющие SIEM не планируют его внедрять, достаточно много, но я бы выделил две, как наиболее часто встречающиеся, по моему мнению.
- SIEM, как правило, является выдленной системой ИБ, тогда как собриать и обрабатывать журналы регистрации ИС – общая задача ИБ и ИТ. В компаниях со зрелыми подразделениями ИТ вопрос сбора журналов всех ИС, в том числе и с выделенных решений ИБ, таких как межсетевые экраны, системы защиты конечных точек (EPP-EDR) или сетевые системы обнаружения сетевых вторжений или NDR, традиционно решен. Поэтому, для подразделений ИБ значительно эффективнее переиспользовать LM-системы ИТ (LM – Log management), тем более, что современная LM-система позволяет покрыть все основные сценарии ИБ, а вместе с тем обеспечивает нилучшее покрытие, не ограничиваясь только системами ИБ и не стремясь остаться в рамках лицензионных ограничений EPS.
- В компаниях со зрелыми инженерными командами предпочитают свободно распростаняемые решения, что дает практически безграничную гибкость, а следовательно, безграничные возможности по адаптации. Выбор opensource еще более очевиден для компаний с большими возможностями по разработке собственного ПО.


Первый пункт принципиально важен. Что бы мы не говорили, но ИБ в компании обеспечивают подразделения ИТ! Именно ИТ разрабатывают, внедряют и обслуживают информационные системы с соблюдением требований безопасности, за ИБ остаются функции законодателя и контролера. Именно поэтому безопасность не может быть обеспечена там, где у ИБ и ИТ плохие отношения или ИТ - ленивые разгильдяи имеют низкий уровень зрелости. Уровень ИБ напрямую зависит от зрелости ИТ. Как правило, у зрелых ИТ вопрос управления журналами систем и приложений давно решен и, с точки зрения эффективности инвестиций, безопаснику логичнее подключиться к уже внедренным у ИТ системам LM, а не строить сбоку дорогостоящую городушку с кучей ограничений в виде SIEM. Собственно, когда где-то в 2006-2009 занимался созданием своего первого SOC, я ровно так и сделал. Правда, следует заметить, что позднее у меня появился и SIEM, но именно для корреляции на неполном объеме событий из-за ограничений по железу и EPS.
Если же в корпорации вопрос сбора логов не решен, то лучше это сразу решать совместо с ИТ: строить общий Data Lake, откуда ИТ будут брать данные для своего траблшутинга, а мы - для нашего обнаружения атак (какую-то их часть отправлять в SIEM для генерации алертов в SOC).

Итак, друзья мои, ответ на вопрос: "Можно ли построить SOC без SIEM?" - положительный, но с плотным вовлечением ИТ (повторюсь, что без плотного вовлечения ИТ безопасность обеспечить невозможно, именно ИТ делают безопасность!)

#vCISO #MDR #пятница
👍7🥰3👏2🔥1
www.tgoop.com/soldatov_in_telegram/533
1.2K views



tgoop.com/soldatov_in_telegram/533
Create:
Last Update:

Как правильно: "SIEM" или "SOC"?

Некоторое время назад ЛК и К2К делали исследование о SOC-ах к подготовке которого немного приложился и ваш покорный слуга. Вот ссылка на пресс-релиз, а отчет будет доступен попозже.

Кто-то заложил традицию, что говоря о SOC надо обязательно говорить о SIEM, не было исключением и исследование. На мой взгляд, это не совсем корректно, поэтому вопрос почему компании не всегда стремятся приобретать SIEM для своего SOC, я бы прокомментировал следующим образом (дискуссионную тему о том, что в современных условиях SIEM уже не основной элемент технологического стека SOC, пока оставим):

Причин, почему не имеющие SIEM не планируют его внедрять, достаточно много, но я бы выделил две, как наиболее часто встречающиеся, по моему мнению.
- SIEM, как правило, является выдленной системой ИБ, тогда как собриать и обрабатывать журналы регистрации ИС – общая задача ИБ и ИТ. В компаниях со зрелыми подразделениями ИТ вопрос сбора журналов всех ИС, в том числе и с выделенных решений ИБ, таких как межсетевые экраны, системы защиты конечных точек (EPP-EDR) или сетевые системы обнаружения сетевых вторжений или NDR, традиционно решен. Поэтому, для подразделений ИБ значительно эффективнее переиспользовать LM-системы ИТ (LM – Log management), тем более, что современная LM-система позволяет покрыть все основные сценарии ИБ, а вместе с тем обеспечивает нилучшее покрытие, не ограничиваясь только системами ИБ и не стремясь остаться в рамках лицензионных ограничений EPS.
- В компаниях со зрелыми инженерными командами предпочитают свободно распростаняемые решения, что дает практически безграничную гибкость, а следовательно, безграничные возможности по адаптации. Выбор opensource еще более очевиден для компаний с большими возможностями по разработке собственного ПО.


Первый пункт принципиально важен. Что бы мы не говорили, но ИБ в компании обеспечивают подразделения ИТ! Именно ИТ разрабатывают, внедряют и обслуживают информационные системы с соблюдением требований безопасности, за ИБ остаются функции законодателя и контролера. Именно поэтому безопасность не может быть обеспечена там, где у ИБ и ИТ плохие отношения или ИТ - ленивые разгильдяи имеют низкий уровень зрелости. Уровень ИБ напрямую зависит от зрелости ИТ. Как правило, у зрелых ИТ вопрос управления журналами систем и приложений давно решен и, с точки зрения эффективности инвестиций, безопаснику логичнее подключиться к уже внедренным у ИТ системам LM, а не строить сбоку дорогостоящую городушку с кучей ограничений в виде SIEM. Собственно, когда где-то в 2006-2009 занимался созданием своего первого SOC, я ровно так и сделал. Правда, следует заметить, что позднее у меня появился и SIEM, но именно для корреляции на неполном объеме событий из-за ограничений по железу и EPS.
Если же в корпорации вопрос сбора логов не решен, то лучше это сразу решать совместо с ИТ: строить общий Data Lake, откуда ИТ будут брать данные для своего траблшутинга, а мы - для нашего обнаружения атак (какую-то их часть отправлять в SIEM для генерации алертов в SOC).

Итак, друзья мои, ответ на вопрос: "Можно ли построить SOC без SIEM?" - положительный, но с плотным вовлечением ИТ (повторюсь, что без плотного вовлечения ИТ безопасность обеспечить невозможно, именно ИТ делают безопасность!)

#vCISO #MDR #пятница

BY Солдатов в Телеграм




Share with your friend now:
tgoop.com/soldatov_in_telegram/533

View MORE
Open in Telegram


Telegram News

Date: |

Telegram has announced a number of measures aiming to tackle the spread of disinformation through its platform in Brazil. These features are part of an agreement between the platform and the country's authorities ahead of the elections in October. How to create a business channel on Telegram? (Tutorial) Each account can create up to 10 public channels Earlier, crypto enthusiasts had created a self-described “meme app” dubbed “gm” app wherein users would greet each other with “gm” or “good morning” messages. However, in September 2021, the gm app was down after a hacker reportedly gained access to the user data. Content is editable within two days of publishing
from us


Как правильно: "SIEM" или "SOC"?

 Солдатов в Телеграм TG
web: 533
Солдатов в Телеграм.Telegram web
Солдатов в Телеграм Telegram TG Channel
Telegram Updated:
Telegram Солдатов в Телеграм
FROM American