🔥 Рекомендую книгу MITRE “11 стратегий работы SOC мирового уровня" как вашего настольного гида для создания и развития центра кибербезопасности.
Это must-read для всех, кто имеет отношение к SOC: от начинающих аналитиков до руководителей, планирующих масштабирование и ответственных за зрелость процессов и команды. В MITRE систематизировали опыт лучших центров реагирования и предложили 11 практических стратегий, актуальных как для SOC из 2 человек, так и для гигантских международных центров.
Какие стратегии они предлагают:
1️⃣ Знай, что ты защищаешь и почему. Команда должна быть осведомлённа о своей миссии, законодательстве, критичных данных, поведении пользователей и угрозах.
2️⃣ Распредели в SOC полномочия для работы. Формализуй обязанности, цели и взаимодействия через утверждённую оргструктуру.
3️⃣ Строй структуру SOC под нужды организации.
Выбирай модель (централизованную, распределённую, 24/7 и т.д.) на основе задач и ресурсов.
4️⃣ Нанимай и выращивай классных людей.
Создавай атмосферу, в которой хотят работать. Развивай таланты и закладывай кадровый резерв.
5️⃣ Сделай инцидент-менеджмент приоритетом.
У тебя должна быть классификация инцидентов, процедуры, playbookи, приоритизация. Реагируй правильно и своевременно.
6️⃣ Используй киберразведку, чтобы видеть противника.
Собирай CTI, анализируй поведение злоумышленников и строй защиту осмысленно.
7️⃣ Собирай нужные данные, а не всё подряд.
Балансируй между недостатком и избытком данных. Выбирай метрики с умом.
8️⃣ Используй инструменты, которые помогают, а не мешают.
Интегрируй SIEM, UEBA, SOAR и другие решения, учитывая рабочие пространства и каналы между офисами.
9️⃣ Ставь четко задачи, сотрудничайте между отделами, делитесь щедро знаниями.
Налаживай связи внутри SOC, с бизнесом, партнёрами и киберсообществом.
🔟 Измеряй эффективность, чтобы её улучшать.
Определи KPI и метрики, строй отчётность и принимай решения на основе данных.
1️⃣1️⃣ Расширяй функциональность SOC, когда готов.
Включай threat hunting, red/purple teaming, обманные системы (deception), forensics и malware-анализ — для работы с продвинутыми угрозами.
📘 Это не просто методичка, а глубокий, и практический опыт. Сильный SOC — это про технологии, людей и процессы. И даже про осознанность.
📎 Ссылка на книгу (PDF, MITRE)
#SOC #Экспертам #Книга
Топ Кибербезопасности
Это must-read для всех, кто имеет отношение к SOC: от начинающих аналитиков до руководителей, планирующих масштабирование и ответственных за зрелость процессов и команды. В MITRE систематизировали опыт лучших центров реагирования и предложили 11 практических стратегий, актуальных как для SOC из 2 человек, так и для гигантских международных центров.
Какие стратегии они предлагают:
1️⃣ Знай, что ты защищаешь и почему. Команда должна быть осведомлённа о своей миссии, законодательстве, критичных данных, поведении пользователей и угрозах.
2️⃣ Распредели в SOC полномочия для работы. Формализуй обязанности, цели и взаимодействия через утверждённую оргструктуру.
3️⃣ Строй структуру SOC под нужды организации.
Выбирай модель (централизованную, распределённую, 24/7 и т.д.) на основе задач и ресурсов.
4️⃣ Нанимай и выращивай классных людей.
Создавай атмосферу, в которой хотят работать. Развивай таланты и закладывай кадровый резерв.
5️⃣ Сделай инцидент-менеджмент приоритетом.
У тебя должна быть классификация инцидентов, процедуры, playbookи, приоритизация. Реагируй правильно и своевременно.
6️⃣ Используй киберразведку, чтобы видеть противника.
Собирай CTI, анализируй поведение злоумышленников и строй защиту осмысленно.
7️⃣ Собирай нужные данные, а не всё подряд.
Балансируй между недостатком и избытком данных. Выбирай метрики с умом.
8️⃣ Используй инструменты, которые помогают, а не мешают.
Интегрируй SIEM, UEBA, SOAR и другие решения, учитывая рабочие пространства и каналы между офисами.
9️⃣ Ставь четко задачи, сотрудничайте между отделами, делитесь щедро знаниями.
Налаживай связи внутри SOC, с бизнесом, партнёрами и киберсообществом.
🔟 Измеряй эффективность, чтобы её улучшать.
Определи KPI и метрики, строй отчётность и принимай решения на основе данных.
1️⃣1️⃣ Расширяй функциональность SOC, когда готов.
Включай threat hunting, red/purple teaming, обманные системы (deception), forensics и malware-анализ — для работы с продвинутыми угрозами.
📘 Это не просто методичка, а глубокий, и практический опыт. Сильный SOC — это про технологии, людей и процессы. И даже про осознанность.
📎 Ссылка на книгу (PDF, MITRE)
#SOC #Экспертам #Книга
Топ Кибербезопасности
🔥9
Open Source SOC: реальность или утопия?
Иногда встречаю запросы на импортонезависимость в ИБ и желание заменить коммерческий SOC на open source решения. Сегодня слушал интересное выступление Ивана Дьячкова из Wildberries про построение SOC на Open Source.
🛠 Как SOC на Open Source выглядит на практике:
Замена платным SIEM: ElasticSearch/OpenSearch, ClickHouse, Hadoop, Tenzir, OpenObserve (хранение); Logstash, Vector, Kafka Streams, Apache Flink, NiFi (обработка); Kibana, ElastAlert, Flink, Custom Engine (корреляция/алерты).
Замена платным EDR: osquery, wazuh, Velociraptor, Elastic Agent.
Замена платным NDR/NTA: Arkime (Moloch), Zeek — выявление атак по сетевому трафику, Suricata — IDS/IPS, TheHive — обработка инцидентов.
Замена платным IRP / SOAR: TheHive, IRIS DFIR, Catalyst, Cortex, Shuffle, n8n, Airflow, Node-Red, Tracecat, NiFi, DIY-подход.
Threat Intelligence: MISP, YETI, OpenCTI, ELK (Enterprise).
Honeypot/Deception: Иван дал отличную ссылку на список Honeypot.
Плюсы:
— Импортонезависимость
— Экономия на лицензиях
— Гибкость и масштабируемость
— Можно подстраивать под свои задачи
Минусы:
— Нет единой консоли, всё разрозненно
— Все кейсы, корреляции, автоматизацию нужно разрабатывать самому
— Требуются сильные инженеры (DevOps/SOC/IR). Очень сильные. Экстремально сильные. И дорогие.
— Проблемы с аудитом, поддержкой, комплаенсом
— Риски “брошенных” проектов OSS, слабая поддержка
Резюмирую:
Да, Open Source SOC реален для тех, кто готов инвестировать в сборку и эксплуатацию собственной системы SOC/SIEM/EDR/NDR/IRP/TI на OSS. Отличный вариант для импортонезависимости и гибкости, но требует ресурсов, компетенций и времени на настройку, интеграцию и сопровождение. Не подходит для малого и среднего бизнеса.
А вы уже внедряли или пилотировали Open Source SOC? С какими затыками столкнулись?
Готов обсудить детали, поспорить по архитектуре и поделиться опытом!
#SOC #SIEM #OpenSource
👉 Канал Топ Кибербезопасности Батранкова
Иногда встречаю запросы на импортонезависимость в ИБ и желание заменить коммерческий SOC на open source решения. Сегодня слушал интересное выступление Ивана Дьячкова из Wildberries про построение SOC на Open Source.
🛠 Как SOC на Open Source выглядит на практике:
Замена платным SIEM: ElasticSearch/OpenSearch, ClickHouse, Hadoop, Tenzir, OpenObserve (хранение); Logstash, Vector, Kafka Streams, Apache Flink, NiFi (обработка); Kibana, ElastAlert, Flink, Custom Engine (корреляция/алерты).
Замена платным EDR: osquery, wazuh, Velociraptor, Elastic Agent.
Замена платным NDR/NTA: Arkime (Moloch), Zeek — выявление атак по сетевому трафику, Suricata — IDS/IPS, TheHive — обработка инцидентов.
Замена платным IRP / SOAR: TheHive, IRIS DFIR, Catalyst, Cortex, Shuffle, n8n, Airflow, Node-Red, Tracecat, NiFi, DIY-подход.
Threat Intelligence: MISP, YETI, OpenCTI, ELK (Enterprise).
Honeypot/Deception: Иван дал отличную ссылку на список Honeypot.
Плюсы:
— Импортонезависимость
— Экономия на лицензиях
— Гибкость и масштабируемость
— Можно подстраивать под свои задачи
Минусы:
— Нет единой консоли, всё разрозненно
— Все кейсы, корреляции, автоматизацию нужно разрабатывать самому
— Требуются сильные инженеры (DevOps/SOC/IR). Очень сильные. Экстремально сильные. И дорогие.
— Проблемы с аудитом, поддержкой, комплаенсом
— Риски “брошенных” проектов OSS, слабая поддержка
Резюмирую:
Да, Open Source SOC реален для тех, кто готов инвестировать в сборку и эксплуатацию собственной системы SOC/SIEM/EDR/NDR/IRP/TI на OSS. Отличный вариант для импортонезависимости и гибкости, но требует ресурсов, компетенций и времени на настройку, интеграцию и сопровождение. Не подходит для малого и среднего бизнеса.
А вы уже внедряли или пилотировали Open Source SOC? С какими затыками столкнулись?
Готов обсудить детали, поспорить по архитектуре и поделиться опытом!
#SOC #SIEM #OpenSource
👉 Канал Топ Кибербезопасности Батранкова
4👍12👏3
Работа всех сайтов в интернет завязана на работу сертификатов SSL. Без них интернет будет полностью недоверенным минным полем. 🔐 Поэтому есть множество технологий по защите компании от атак на SSL. И поэтому сейчас будет два сложных поста для экспертов, которые пользуются SSL/TLS сертификатами.
Разберем технологию, которая должна быть в арсенале вашей защиты — Certificate Transparency (CT).
🎯 Ключевые угрозы без CT-мониторинга:
🔐 Что такое CT?
CT — публичный журнал всех выпущенных SSL/TLS-сертификатов. Каждый сертификат любого CA попадает в логи в реальном времени. Да, все сертификаты видны публично.
🛠Практические инструменты:
Попробуйте прямо сегодня эти инструменты, чтобы лучше разобраться!
Алгоритм внедрения:
Настройте мониторинг не только основных доменов, но и wildcard-сертификатов — часто именно через них происходят атаки.
Следующий пост: CAA-записи как второй эшелон защиты
#CISO #Кибербезопасность #SSL #DNS #TDIR #SOC #Экспертам
Топ Кибербезопасности Батранкова
Please open Telegram to view this post
VIEW IN TELEGRAM
crt.sh
crt.sh | Certificate Search
Free CT Log Certificate Search Tool from Sectigo (formerly Comodo CA)
🔥4❤2
CAA (Certificate Authority Authorization) — это DNS-механизм, который позволяет владельцу домена явно указать, какие центры сертификации имеют право выдавать SSL/TLS-сертификаты для данного домена. По сути, это white-list разрешенных CA на уровне DNS.
Практический пример конфигурации:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"
example.com. CAA 0 iodef "mailto:[email protected]"
Третья запись (iodef) настраивает уведомления о попытках нарушения политики CAA.
Аудит и планирование
Начинать стоит с полной инвентаризации доменной инфраструктуры. Необходимо выявить все используемые домены, поддомены и текущие сертификаты. Особое внимание — wildcard-сертификатам и legacy-системам.
Конфигурация CAA-записей
Настройка DNS должна покрывать не только основные домены, но и все активные поддомены. Важно учесть специфику корпоративной инфраструктуры — разные подразделения могут использовать разных провайдеров сертификатов.
Добавляем мониторинг
Дальше подключаете мониторинг Certificate Transparency — об этом мы уже говорили в прошлый раз. Система должна отслеживать как успешные выдачи сертификатов (соответствующие политике), так и заблокированные попытки. Тут главное не забыть настроить алерты, а то толку мало.
Операционная интеграция
Уведомления о нарушениях CAA-политики необходимо интегрировать в существующие процессы SOC. Это включает настройку оповещений в SIEM и определение процедур эскалации. Ну то есть на алерты кто-то должен отреагировать, верно?
📈 Ключевые метрики эффективности
Основные показатели для оценки эффективности CAA-внедрения:
CAA-записи в сочетании с Certificate Transparency мониторингом формируют надежный периметр защиты от атак, связанных с компрометацией сертификатов и доменов. Эти технологии особенно критичны для организаций с большой публичной инфраструктурой и высокими требованиями к репутационной безопасности.
Эти две простые меры дают довольно серьезный результат. Attack surface сокращается, а время реакции на всякие неприятности с доменами — ускоряется в разы. Проверено на практике.
#CISO #Кибербезопасность #SSL #DNS #TDIR #SOC #Экспертам
Топ Кибербезопасности Батранкова
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤1