Вы Купили Siem И Уверены, Что Soc У Вас В Кармане, Верно?

Однажды, около месяца назад, меня пригласил мой старый друг, директор по информационной безопасности в довольно крупной компании, с целью, по его словам, «удивить меня».

Хочу отметить, что ранее мы обсуждали проблемы, с которыми столкнулись многие компании в сфере киберугроз и проблемы построения SOC (Security Operation Center).

Так начинается мой рассказ о построении SOC в компании.

С присущей моменту церемонией директор по информационной безопасности проводил меня на открытое пространство своего ИТ-отдела.

И там мне показали кучу коробок с дорогим железом, а также распечатку спецификаций.

Она указала на покупку лицензий у одного известного вендора, входящего в состав Квадрант для SIEM .

Неподдельная радость на его лице говорила о том, что озвученные проблемы из предыдущего разговора были решены в одночасье.

А позже он рассказал мне, что помимо этого «сокровища» были согласованы деньги на внедрение этой системы, и для этой деятельности планировалось нанять в штат трех специалистов.

При этом он сделал особый акцент на «трех специалистах», как бы давая понять, что досконально изучил вопрос и все просчитал.

Расчет действительно был относительно верным, но, к сожалению, не подтвержденным эмпирически.

Мы сели и обсудили как структуру проекта SOC, так и предлагаемую им бизнес-модель.

Мы постарались оценить выделенные ставки, роли и компетенции, необходимые для достижения необходимого уровня сервиса.

Изначально идея заключалась в том, чтобы делегировать поддержку оборудования ИТ-отделу, отправив их инженеров на специализированные курсы поставщиков.

Далее первая должность будет занята инженером по приложениям SIEM. Ожидалось, что этот друг после обучения сможет подключать источники событий, и «при необходимости желательно было бы написать коннекторы» (прямая цитата).

Также в остальное время участвуйте в разборе простых происшествий.

Вторая и третья ставки были запланированы для того, чтобы специалисты разобрались в инцидентах, сформулировали новые правила корреляции и развивали направление в целом.

Мы также учли тот факт, что инцидентов могло быть много, и в какой-то момент один из специалистов мог заболеть или уйти в отпуск.

На вопрос: «Каков был прогноз: по количеству источников, инцидентов, сложности событий и ожидаемому времени реагированияЭ», был получен весьма сумбурный ответ, а затем тишина и в заключении, с грустью в голосе.

голос: «Тогда что-нибудь придумаем!.

» Этот случай можно назвать вполне типичным для тех компаний, которые по каким-то причинам осознали необходимость внедрения SOC, но не смогли комплексно оценить «масштабы катастрофы».

Мы «созрели», нам нужна SOC

Этот уровень позволил нам ранее закрыть по пирамиде потребностей базовые вещи и осознать, что теперь для полной картины не хватает одной важной составляющей.

Ведь после того, как компания привела в порядок свою инфраструктуру (архитектуру сети, сегментацию, домены, процедуры обновления и другие полезные вещи), а также внедрила необходимый и достаточный набор инструментов информационной безопасности (уровни защиты, конечные точки и т. д.) , оно невольно задает вопрос: «Как я могу увидеть все свое хозяйство и как оценить то, что вижуЭ» На тот момент в компании предположительно уже были налажены процессы.

Многие из них построены в лучших традициях ITIL. Отдел ИТ-поддержки (в некоторых случаях ИБ) разделен на линии поддержки, и даже могут быть смены, работающие 24*7. Однако стоит отметить, что такие компании встречаются редко, и на моей памяти только 3 из 10, имеющих более 1000 рабочих станций, могут похвастаться всем этим списком достижений.

Но если взять в пример эти 30% счастливчиков, то перед ними стоит задача реализовать интеграционный проект, который должен переродиться в очень важную и критическую услугу.

В рамках проекта, описывая жирными штрихами, необходимо:

1. Внедрить и настроить SIEM-систему (интеграция с сервисдеском или аналогом; настройка и подключение источников событий; настройка и применение основных правил корреляции и т. д. и т. п.

   ).

2. Наймите и обучите персонал (специализированные курсы поставщиков по системе Siem, проведению расследований и т. д.).

3. Документировать и внедрять регламенты/инструкции по реагированию (включая альбомы происшествий с ранжированием по критичности/сложности и другой огромный набор документов, соизмеримый в печатном виде с результатами государственных контрактов).

4. Определите зоны ответственности между отделами, четко определите SLA и запустите сервис.

5. Откупорьте и попробуйте бутылку шипучего напитка, когда появятся первые инциденты и они будут четко обработаны.

   Этот пункт не является обязательным и зависит исключительно от внутренней культуры компании.

   Достаточно будет проверить, что сервис работает согласно указанному SLA.

Но дьявол кроется в деталях.

SOC — это используемые технологии, эксперты и налаженные процессы.

СОК-технологии – это инструменты, которые сервис использует для автоматизации сбора информации, корреляции и первичной аналитики.

Разумеется, инструменты определяются имеющимися возможностями и функционалом.

?Эксперты SOC – члены команды, обладающие компетенциями в следующих областях:

• администрирование ОС, СУБД, AD и сетевых компонентов;
• администрирование прикладных систем информационной безопасности;
• администрирование прикладных ИТ-систем;
• аналитика (мониторинг и 2-я линия для SOC);
• аналитик с соответствующим опытом и знаниями (3-я линия по SOC: от 3-х лет работы в специализированных компаниях, а также участие в расследованиях инцидентов).

• Поддержка инфраструктуры SOC (инфраструктурная поддержка);
• Мониторинг событий безопасности (мониторинг);
• Расследование инцидентов (расследование/реагирование на инциденты);
• Развитие сервиса.

При этом важнейшим требованием к этим процессам является их плавная интеграция в текущие бизнес-процессы организации.

Другими словами, процессы SOC не могут стоять отдельно «изолировано» и должны, во-первых, быть тщательно выстроены, а, во-вторых, эффективно выполнять свою задачу — приносить ожидаемую ценность.

Также отметим, что «филигрань» критического сервиса означает абсолютную четкость и последовательность действий сотрудников смежных подразделений, при которых простои и нарушение заданных параметров SLA не допускаются даже в случае форс-мажорных обстоятельств.

Не говоря уже о популярных: «сотрудник был на обеде» или «нам не удалось дозвониться».

Результат должен быть четким и в установленные сроки.

По этой причине модель работы ШОС аналогична военной службе, а принятые положения и инструкции аналогичны безусловно исполняемому уставу.

Как это ни парадоксально, многие считают, что основным компонентом SOC являются инструменты.

В данном случае уместно было бы привести следующий пример.

Представьте, вы собираетесь, не дай Бог, на операцию.

Новость не радует, и в клинике вас начинают подбадривать словами, что операцию будет делать какой-то хирург, но у него есть потрясающий скальпель одного из самых дорогих производителей.

Более того, вам несколько раз расскажут о «чудо-скальпеле», а может быть, даже покажут сертификат, подтверждающий его остроту и чистоту металла.

Предполагаю, что этот аргумент вас не особо успокоит и вам захочется навести справки о докторе, а также о его опыте выполнения подобных операций.

Конечно, выбор SIEM-системы крайне важен и ее функционал должен четко отражать потребности покупателя.

Однако всегда следует помнить о том, что SIEM — это всего лишь автоматизация, настройка которой требует глубоких компетенций и очень четкой логики работы.

?Эксперты и процессы являются краеугольным камнем создания SOC

Найти грамотных и «свободных» специалистов на рынке крайне сложно.

В первую очередь таким специалистам интересно работать над новыми интересными делами, которые позволяют им развиваться.

Нужен поток.

По этой причине они часто «оседают» в крупных поставщиках услуг и ротируются только между аналогичными структурами.

Стоит отметить уровень зарплат этих специалистов.

Ранее коллеги неоднократно приводили аналитика .

Информация вполне актуальна и по сей день, за исключением уровня зарплат - они стали выше, а по рынку в среднем на 15-20%.

Это означает, что компания, решившая нанять специалистов, должна выложить довольно большие деньги.

Насколько эти деньги соответствуют тем преимуществам, которые они приносят, учитывая, что лишь немногие компании (за исключением поставщиков услуг) могут использовать время такого эксперта хотя бы на 70%? Даже если такому специалисту предложат высокую зарплату, велика вероятность того, что он найдет более интересную работу.

Кроме того, есть статистика, что члены команды такого типа сервисных проектов полностью обновляются за 3-7 лет. Это реальность и ее необходимо учитывать.

Итак, компания купила замечательные инструменты, функциональную и эффективную SIEM-систему, наняла талантливого и опытного SOC-эксперта, который смог создать дружную и слаженную команду ответственных специалистов.

Далее эта команда должна взять систему на обслуживание, разработать необходимые процедуры и регламенты, внедрить их и начать над ними работать.

Стоит отметить, что даже после хорошей консультации со стороны интегратора, который помог оценить SOC (внедрил систему, провел аудит процессов, создал базовые правила и написал необходимые инструкции), команде SOC предстоит проделать огромный объем работы по оптимизации Центр реагирования, созданный с учетом реалий компании.

Процессы и схемы работы прочесываются в режиме «от случая к случаю».

Если консалтинга не было, и команда должна строить SOC самостоятельно, то история становится еще более интересной и затратной.

Это все равно что поставить аспиранта (даже с красным дипломом) в первые дни работы на производстве на самое ответственное направление и надеяться, что он «как-нибудь сориентируется».

Отсюда следует, что для того, чтобы доверить создание SOC создаваемой команде, нужно быть готовым к двум сценариям:

1. Набрать команду специалистов, уже создавших подобный сервис (либо в таком составе, либо каждого участника индивидуально согласно своей роли).

2. Набирайте специалистов из схожих областей с соответствующими знаниями и «забивайте» путь деньгами от ошибочных решений, недостатков и нескоординированных действий.

При этом в первом варианте спонсор сервисного проекта уже изначально понимает количество необходимых сотрудников и состав требуемых ролей (количество линий поддержки, включая режим работы 24*7 или 8*5; количество аналитиков с функционалом поддержка SIEM и компонентов и т. д.).

Во втором случае спонсор обычно рассуждает по следующим категориям: «У нас 5 универсальных единиц работы, каждый эксперт может выполнять одновременно 2 единицы работы, значит, мы берем двух экспертов и одного студента».

Как бы смешно это ни казалось, практика показывает, что в суете потока задач некоторые менеджеры автоматически принимают такие решения.

И в то же время мы уверены в результате под девизом: «лишь бы у нас были хорошие сотрудники, то мы придумаем, как их привлечь и загрузить».

Или, может быть, SOC как услуга лучше?

Крупные компании начинают предлагать платформы, с помощью которых можно собрать необходимое количество сервисов для поддержания и развития бизнеса любого размера.

Аутсорсинг бухгалтерского учета, юридические услуги, колл-центры, IT под ключ: это только начало глобальных изменений.

При этом виды услуг могут быть абсолютно любыми.

То, что еще вчера казалось невероятным и оригинальным, например, «аутсорсинг полиграфии», сегодня пользуется большим спросом.

Более того, мы видим тенденцию развития сервисно-ориентированной модели на западном рынке, который традиционно опережает РФ и СНГ.

Он огромен и охватывает все отрасли.

SOC как услуга (SOCaaS) не является исключением.

На рынке достаточно игроков, поставщиков услуг информационной безопасности (Managed Security Service Provider, MSSP), которые предлагают клиентам не «изобретать велосипед», а просто воспользоваться их знаниями и опытом в этой области.

Именно здесь, на «потоке», эксперты набираются опыта и приобретают огромный опыт, который позволяет им создавать понятные и эффективные процессы.

Они делают все возможное, чтобы проанализировать все возможные сценарии и предложить варианты, соответствующие потребностям клиентов.

Клиенту не нужно ничего придумывать, он просто примеряет предложенные варианты и выбирает нужные ему.

Самое приятное в этой истории то, что:

• за вполне разумные деньги клиент получает весь список дорогих специалистов в необходимом ему объеме;
• сервис качественно разработан, обучен и протестирован в других компаниях;
• сервисная компания несет финансовую ответственность за выполнение SLA и «человеческий фактор»;
• клиент получает услугу «под ключ».

  Это значит, что клиенту не нужно формировать предложения по развитию сервиса; поставщик услуг сам приедет с ними.

  И конечно, не стоит беспокоиться о мотивации команды SOC или «текучести» специалистов.

  Об этом позаботится сам выбранный партнер.

Каков конечный результат?

1. Получить дополнительный бюджет для компетентных специалистов, ранее построивших SOC, и расширить штат еще минимум на 4 человека (а в режиме 24*7 — на 7 специалистов), а затем завершить амбициозный внутренний проект.
2. Получите еще больший бюджет на строительство SOC под ключ, где подрядчиком будет квалифицированный и опытный поставщик услуг.

   Это целый роман стоимостью в десятки миллионов рублей (капзатрат), но с гарантированным результатом.

   Эксплуатационные расходы тогда также будут сопоставимы с пунктом 1, но необходимый уровень сервиса будет получен гораздо быстрее.

Это факт! Именно поэтому это направление сейчас так активно развивается и пользуется большим спросом среди заинтересованных компаний.

Однако надо признать, что даже самый лучший сервис не является универсальным решением всех проблем и болей клиента.

И все, как обычно, остается во власти конкретной задачи, размера кошелька и педантичности SOC-заказчика.

Денис Гущин, заместитель генерального директора «Инфосекьюрити».

Теги: #информационная безопасность #безопасность #безопасность #soc #siem #siem #SIEM #операционный центр безопасности

• Мандельштам Леонид Исаакович.

  19 Oct, 24

• Создание Компании Мечты: Основные Данные И Интеграция

  19 Oct, 24

• Разработка Unix-Подобной Ос - Многозадачность И Системные Вызовы (7)

  19 Oct, 24

• Самые Популярные Теории Заговора В России

  19 Oct, 24

• Microsoft Требует $43 Млн От Литовского Торрент-Трекера

  19 Oct, 24

• Эквивалент Ipad За 100 Долларов К Концу Года. Через Обещания!

  19 Oct, 24

• Как Стать Менеджером По Продукту. Часть 2

  19 Oct, 24

• Хех…

  19 Oct, 24

• Перевод Ответа Президента Macrovision Фреда Амороса На Открытое Письмо Стива Джоба Из Pr-Выступления На Простой Английский Язык

  19 Oct, 24

• Анализ Популярных Теорий Игровой Зависимости

  19 Oct, 24