Продолжая тему Use cases

Продолжая тему Use cases
Считаю, что неправильно было бы остановиться на тематике Use cases только в рамках пилотирования решений класса Security Information and Event Management (SIEM), принимая во внимание, что она в этом году активно обсуждалась в первую очередь в разрезе Центров операционной безопасности (Security Operations Center, SOC), в том числе здесь у Алексея Викторовича.

На сколько мне известно, термин Use Cases пришел в область SIEM из разработки ПО и сейчас переродился в SOC-ах. Gartner даёт следующее определение этому понятию:

«Specific condition or event (usually related to a specific threat) to be detected or reported by the security tool».
 

Ведущими вендорами предлагаются целые наборы или библиотеки таких кейсов (Use Case Library). Примеры от McAfee и RSA приведены ниже.

1700bebb3f204f1f7649f609d6e8d78b.jpg

f82b55e3d7547b156a910b72ed095c39.jpg


На мой взгляд, за красивым названием прячется формализованное описание определённых сценариев, если позволите, то понятная нам всем модель угроз безопасности информации, а точнее каждая отдельная актуальная угроза безопасности информации.
Вот всё и вернулось на круги своя.
 
Здесь стоит отметить, что разработка Use Cases – это не просто разовая активность по мозговому штурму, а полноценный процесс (опять же сходится с моделированием угроз безопасности информации, которое должно быть периодическим, а в идеале непрерывным), который возможно определяет самый важный показатель работы SOC-а – его результативность.
Процитирую Anton Chuvakin:

«Use cases are in the core of security monitoring activities. A structured process to identify, prioritize, implement and maintain use cases allows organizations to align monitoring efforts to security strategy, choose the best solutions and maximize the value obtained from security monitoring tools».
 
В завершении отмечу, что термин Use Cases так же нашёл своё отражение в тематике Governance, Risk and Compliance (GRC), например, RSA
использует его для своего решения RSA Archer GRC.

Удачи при выборе Use Cases!

Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только