Модель зрелости SOC
Что такое Модель зрелости SOC?
Модель зрелости SOCФреймворк для оценки центра мониторинга безопасности по людям, процессам, технологиям и услугам, формирующий многолетнюю программу развития.
Модели зрелости SOC помогают сопоставить возможности обнаружения и реагирования с отраслевыми практиками. Наиболее распространены пятиуровневая модель Hewlett Packard Enterprise и открытая модель SOC-CMM Роба ван Оса. Обе оценивают домены: governance, threat intelligence, мониторинг и обнаружение, реагирование, threat hunting, автоматизацию и непрерывное улучшение. Каждый домен получает оценку 0–5 (Initial, Basic, Defined, Managed, Optimised) на основе интервью, анализа артефактов и самооценок. Итогом служит тепловая карта, выявляющая слабые места и обосновывающая инвестиции, наём и план развития инструментов. Зрелость не равна результативности, поэтому модели применяются совместно с метриками результатов: dwell time и покрытие обнаружения.
● Примеры
- 01
Оценка в стиле HPE определяет «Threat Hunting» на уровне 2 (Basic) с планом выхода на уровень 4.
- 02
Результаты SOC-CMM обосновывают наём двух threat hunters и внедрение SOAR.
● Частые вопросы
Что такое Модель зрелости SOC?
Фреймворк для оценки центра мониторинга безопасности по людям, процессам, технологиям и услугам, формирующий многолетнюю программу развития. Относится к категории Защита и операции в кибербезопасности.
Что означает Модель зрелости SOC?
Фреймворк для оценки центра мониторинга безопасности по людям, процессам, технологиям и услугам, формирующий многолетнюю программу развития.
Как работает Модель зрелости SOC?
Модели зрелости SOC помогают сопоставить возможности обнаружения и реагирования с отраслевыми практиками. Наиболее распространены пятиуровневая модель Hewlett Packard Enterprise и открытая модель SOC-CMM Роба ван Оса. Обе оценивают домены: governance, threat intelligence, мониторинг и обнаружение, реагирование, threat hunting, автоматизацию и непрерывное улучшение. Каждый домен получает оценку 0–5 (Initial, Basic, Defined, Managed, Optimised) на основе интервью, анализа артефактов и самооценок. Итогом служит тепловая карта, выявляющая слабые места и обосновывающая инвестиции, наём и план развития инструментов. Зрелость не равна результативности, поэтому модели применяются совместно с метриками результатов: dwell time и покрытие обнаружения.
Как защититься от Модель зрелости SOC?
Защита от Модель зрелости SOC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Модель зрелости SOC?
Распространённые альтернативные названия: SOC-CMM, Модель зрелости возможностей SOC.
● Связанные термины
- defense-ops№ 1040
Тюнинг правил SIEM
Постоянный процесс настройки правил обнаружения в SIEM для снижения ложных срабатываний, закрытия пробелов и согласования с моделью угроз организации.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 882
Purple Team
Совместный формат учений, в котором red и blue team открыто работают вместе, чтобы улучшать обнаружение и реагирование почти в реальном времени.