Serie SOCwise: Una historia de dos SOC con Chris Crowley


En un episodio reciente de McAfee SOCwise Serie, experto en seguridad para huéspedes Chris Crowley reveló los hallazgos de su reciente encuesta sobre los esfuerzos de seguridad dentro de los SOC. Sus preguntas fueron diseñados para ganar información sobre todo lo relacionado con los SOC, incluida la forma en que los SOC pueden lograr su máximo potencial y cómo evalúan su capacidad para mantenerse al día con la tecnología de seguridad.

Los anfitriones Ismael Valenzuela y Michael Leland aprovecharon a Chris operaciones de seguridad pericia como dijo "A Historia de dos SOC."

“Chris tiene una tremenda experiencia en operaciones de seguridad”, dijo Ismael. “Siempre me ha gustado la gente que tiene experiencia tanto en el lado ofensivo como en el defensivo. Piensa en rojo, actúa azul, ¿verdad? . . . pero creo que eso es muy importante para los SOC. ¿Dónde aparece "A Tale of Two SOC ¿viene de?"

En referencia al clásico de Charles Dickens, Chris explicó cómo Las respuestas de la encuesta se dividieron en dos categorías: SOC que hsoporte de gestión de anuncios o los que no lo hicieron.

"No es solo esta idea de si la gerencia nos apoya. I¿Estamos efectivamente alineados con la organización?—Dijo Chris. "Y creo que eso se manifiesta en la percepción de apoyo a la dirección de no apoyo a la dirección, ¿verdad? Entonces, creo que cuando las personas que trabajan en un SOC tienen la sensación de que están haciendo cosas buenas para la organización, su percepción es que la administración los está apoyando ".

En este caso, Chris explica "Historia de dos SOC" además se relaciona con tEl SOC de cumplimiento versus el SOC de seguridad real.

"Mucho de esto tiene que ver con cuáles son los objetivos cuando la gerencia a financiar el SOC, ¿verdad? Quizás el SOC de cumplimiento versus el SOC que se centra en los resultados de seguridad en la defensa, ¿verdad?Allí están algunas organizaciones que están financiación para el cumplimiento básico", Dijo Chris. (Si el) law dice quetengo quehaz esto, lo estamos haciendo. Realmente no vamos a invertir en su formación y su comprensión y su comprensión. No vamos a contratarreally estupendoanalistas. WSolo vamos a comprar las herramientas que necesitamos comprar. Vamos a comprar a algunas personas para que miren los monitores y eso es el final."

Uno de los más fácil y narración métodos de evaluando donde un SOC se ve a sí mismo en este cuento es tener conversaciones con el personal. Chris recomienda preguntando al personal Si ellos sentir alineado con la gerencia y hacer se sienten empoderados?

“Si sientes que te están convirtiendo en un robot y eliges cosas de aquí y las dejas ahí, probablemente estés en un lugar donde la gerencia no te apoya realmente. Porque no están usando la capacidad del ser humano para sintetizar información y esa noción de generar consenso y hacer que las cosas funcionen ", dijo Chris. "Están buscando más personas que sean reemplazables para poner las brocas en el cubo y moverse".

Chris compartió otro encuesta comida para llevar incluso cómo los SOC medir su valor, métrica y herramientas.

SOC INDICADORES Y VALOR PERCIBIDO

La encuesta incluyó hipótesis diseñadas para medir cómo las organizaciones clasifican el valor de un SOC:

  • Presupuesto – La mayoría de rlos encuestados no lista presupuesto como una señal de cómo su organización los valora
  • Personal calificado METROalgún valorD la contratación de trabajadores calificados como una señal de apoyo por lair SOC.
  • Automatización y orquestación – Los equipos del SOC que creyeron en sus organizaciones ya soportado a través de La contratación de personal calificado informó que su mayor desafío fue implementar la automatización y la orquestación.

“Esto demostró que cuando los equipos de SOC enfrentaron el desafío de contar con personal calificado, pasaron a su siguiente orden de tareas: hagamos que las computadoras computen bien”, dijo Chris.

MÉTRICAS SOC

Ismael preguntó sobre la tendencia de algunos administradores de SOC a no informar ninguna métrica, y aquellos que simplemente informaron el número de incidentes que no informaron las métricas correctas. Chris informó que la mayoría de la gente dijo proporcionan métricas, pero una todavíasorprendente número de personas dijo que no proporcionan métricas en absoluto.

Aquí está el desglose de cómo respondieron los encuestados, "¿Proporciona métricas a su gestión?"

  • 69
  • No 24
  • No sabemosw – 6

Tsombrero raproximadamente un tercio de los encuestados o no informan métricas o no saben si informan métricas estaba diciéndole a el autor de la encuesta.

"En ese caso (métrica) obviamente, no tiene un lugar central de importancia para su SOC", Dijo Chris.

Con respecto a la métrica utilizada con más frecuencia, la cantidad de incidentes, Chris especuló que varios SOC que encuestó están intentando cumplir un objetivo de métrica de cero incidentes, incluso si eso significa que probablemente no estén obteniendo una lectura real de la efectividad de la seguridad cibernética.

"Se le permite tener cero incidentes en el medio ambiente. Y si lo cumple constantemente, entonces está haciendo un gran trabajo constantemente", Dijo Chris. "Lo que es una locura para mí, ¿verdad? Porque queremos tener el número adecuado de incidencias. Si ustedrealmente tengoun problema de seguridad cibernética … YDeberías querer saberlo, ¿de acuerdo?

Entre el grupo de encuestados que dijo que su métrica más común es informativa, la información deseada de sus métricas de "cero incidentes" en realidad no tiene mucho que ver con el desempeño o el valor de lo que está haciendo el SOC.

“Las métricas tienden a centrarse en lo que podemos mostrar fácilmente en contraposición a lo que realmente representa el valor que el SOC ha estado proporcionando a la organización.", Dijo Chris. "Y en ese momento, tiene algo que puede mostrar para obtener más fondos y más apoyo con el tiempo."

Chris sugiere que un mejor uso de las métricas puede representar verdaderamente el valor que el SOC está proporcionando a la organización y justificar el apoyo deseado que busca.

"Una que me gusta, que no es una métrica fácil de desarrollar, es en realidad la prevención de pérdidas. Si puedorealmente representarcuantitativamente, que no será preciso, habrá cierta especulación al respecto ”, dijo Chris."Pero si puedo describir cuantitativamente lo que hizo el SOC este mes, o el trimestre donde nuestros esfuerzosrealmente prevenidoo intervinimos en cosas que iban mal y detuvimos el daño que es prevención de pérdidas, ¿verdad? Para eso está el SOC, ¿verdad? Si solo informo, tuvimos 13 incidentes, no hay mucha demostración de valor en eso. Por lo tanto, las métricas siempre tienden a centrarse en lo que podemos mostrar fácilmente en contraposición a lo que realmente representa el valor que el SOC ha estado proporcionando a la organización."

SOC TOOLS

Miguel dirigido La discusión a la discusión de valor en torno a las métricas de incidentes y ellos una relación con SOC capacidad. ¿Cuántos incidentes puedes manejar? Lo es un problema de herramientas o un problema de personas o una combinación de ambos? Chris estudiar también revelado a subconjunto de herramientas que encuestados apalancado con más frecuencia y agregared valor a la entrega de mayor capacidad de cierre de incidentes.

Uno pregunta en la encuesta realizada, "Do lo usas?

"No wte guste o no, pero lo usas ¿Y lo usa de una manera en la que tiene cobertura total o cobertura parcial? Porque otra cosa sobre la tecnología, y este es un secreto sucio en las aplicaciones tecnológicas, es que mucha gente la compra. pero en realidad nunca consígalo desplegado completamente ”, dijo Chris.

H¿La encuesta permitió a los encuestados revelan sus más usados tecnologias y para calificar herramientas.

Las tecnologías utilizadas más comúnmente informadas en la encuesta fueron:

  1. SImiMETRO
  2. Sistemas de protección contra malware
  3. Cortafuegos de próxima generación
  4. VPN
  5. Gestión de registros

Recepción de herramientas lo mas A grados:

  • EDR
  • VPN
  • Protección contra malware basada en host
  • SIEM
  • Denegación de servicio distribuida en red

Herramientas que reciben la mayoría de las calificaciones F:

  • Aplicación Full Peak
  • Control de aplicaciones basado en red
  • Inteligencia artificial
  • Intercepción de TLS

Chris señaló que el razonamiento detrás de las calificaciones F puede ser menos un caso de reprobar y más un caso de no alcanzar su máximo potencial.

"SAlgunos de estos son más nuevos en este espacio y algunos de ellos simplemente sienten que son fracasos para las personas.—Dijo Chris. "Ahora bien, ya sea que se trate de fallas tecnológicas o no, esto es lo que la gente informa que no les gusta en términos de tecnología."

Para más hallazgos read o descargar Chris Crowley 2020 encuesta aquí.

Ver este completo episodio de SOCwise debajo.





Enlace a la noticia original