Сегодня многие крупные компании всерьез рассматривают идею создания своего Security Operations Center (SOC). В этом действительно есть смысл: полный контроль за происходящими событиями силами своей службы ИБ, отсутствие вмешательства третьей стороны. Однако, когда доходит до создания SOC, большинство организаций ввиду недостаточного опыта начинают искать помощи у провайдеров и интеграторов. Обязательно всплывают вопросы, насколько это безопасно, эффективно и дорого. Разберем детально все за и против в данной ситуации.

кому подойдет in-house soc

Кому подойдет in-house SOC?

В пользу выбора in-house SOC говорят в первую очередь политика руководства компании и необходимость держать все нити управления безопасностью исключительно в одних руках. Среди основных причин в пользу выбора именно такого варианта – поддержание имиджа компании, закрытость рабочих процессов от посторонних, собственная стратегия развития. Аутсорсинг ИТ-процессов выявил множество проблем с безопасностью, связанных с подрядчиками, поэтому многие компании предпочитают не допускать сторонних специалистов в свои ряды и перестраховаться. Очевидно, что создание SOC своими силами далеко не по плечу большинству организаций. Для этого важно иметь соответствующий опыт и экспертизу, понимать бизнес-риски компании и методологию построения центра – в противном случае лучше не испытывать судьбу.

Бюджет in-house SOC

Нельзя назвать конкретную сумму расходов, но речь идет о категории «дорого». Понадобится разработка и проектирование центра, оснащение его техническими средствами, привлечение команды специалистов из разных областей, детальная разработка политик, правил, мер реагирования. Даже если организация возьмет на себя исполнение большинства этапов работ, доверив сторонней организации только проектирование и оснащение будущего центра кибербезопасности, бюджет это сильно не сократит. В него нужно закладывать расходы на тестирование работоспособности центра и детальную настройку процессов. Здесь с большой долей вероятности возникнут ошибки и недоработки, для исправления которых придется привлекать компании со стороны. Изначальная перспектива и очевидная экономия способны обернуться на финальном этапе незапланированными расходами, которые увеличат стартовый бюджет в два, а то и в три раза.

В чем заключается роль команды при создании SOC и его запуске?

Люди, работающие над созданием центра безопасности, его обслуживанием играют ключевую роль. Поэтому важно сразу набирать сильную команду и заниматься ее обучением. В процессе подбора стоит обратить внимание на вузы с профильными кафедрами ИБ и искать среди их студентов и выпускников сотрудников дежурной смены SOC. Также важно не откладывать поиск опытных аналитиков и архитекторов SOC.

Время на создание и запуск Security Operations Center

Построить центр безопасности невозможно за полгода и даже год. За такой период времени можно только провести подготовительные работы, внедрить технологии. Еще остаются наем обслуживающего персонала, тестирование рабочих процессов, доработка вскрывшихся проблем. По объективным оценкам на запуск in-house SOC требуется по меньшей мере 2 года. Конечно, можно сделать и быстрее, но результат и функционал явно пострадают, что в итоге приведет к дополнительным расходам и потребует времени на доработку.

Если бюджет, время и команда соответствуют описанным здесь критериям, то имеет смысл попробовать построить и запустить собственный центр кибербезопасности самостоятельно. Если есть сомнения насчет по крайней мере одной из составляющих – лучше сделать выбор в пользу проекта на аутсорсе. В этом случае первой станет задача по подбору сервис-провайдера, решить которую поможет «пилот».

С чего начать пилотный проект?

Предварительно разбираемся с потребностями, отбираем наибольшее число вариантов для выбора. Главными вопросами, на которые нужно получить ответ, являются:

  • Для каких целей создается центр кибербезопасности?

  • Как действуют киберпреступники, какой у них интерес к компании?

  • Какие планы по развитию Security Operations Center компания строит на ближайшие годы?

В начале пилотирования важно установить точные, выполнимые цели. Например, выявление APT в инфраструктуре в качестве цели не подойдет – ведь в период проведения пилота заказчика могут не атаковать. Более подходящие варианты – демонстрация работоспособности подготовленных сценариев обнаружения ИБ, соблюдение требуемых SLA.

Также нужно принимать во внимание ограничения, установленные сервис-провайдером для проведения пилота. Например, количество доступных для подключения площадок и сценариев, общий поток событий. Такие ограничения вполне нормальны и не влияют на демонстрацию возможностей компании – они связаны с тем, что начинать работу в центре кибербезопасности нужно с базовых моментов.

В последнюю очередь определяем формат пилотирования: поочередный или синхронный.

сервис-провайдеры

Синхронное пилотирование от нескольких сервис-провайдеров

Преимущества:

  • Можно сравнить работу группы сценариев по обнаружению инцидентов в одинаковых потоках данных.

  • Можно сопоставить, насколько глубоко и полно проводится расследование инцидентов.

  • Требуется меньше времени на пилотирование нескольких сервис-провайдеров.

Недостатки:

  • Усложнение запуска пилота и большие временные затраты ввиду индивидуальных настроек у каждого сервер-провайдера.

  • Недостаток времени для эффективного взаимодействия со всеми участниками пилотов.

  • Необходимость в один период времени изучить логику обнаружения инцидентов в отношении каждого сервис-провайдера.

Резюмируя, можно сказать, что синхронное пилотирование подходит для сравнения разных SOC в наиболее короткие сроки. Но при этом придется потратить много времени на настройки и запуск. Оценить объективно преимущества нескольких сервис-провайдеров с этой моделью пилотирования проблематично, так как каждый участник сможет найти причину, связанную с конкурентами, по которой не удалось выявить тот или иной инцидент.

Поочередное пилотирование от нескольких сервис-провайдеров

Преимущества:

  • Глубокое представление сервис-провайдером своих сильных сторон ввиду отсутствия столкновений при выборе источников событий ИБ.

  • Возможность детального изучения и погружения в работу отдельного сервис-провайдера.

  • Снижение количества необходимых ресурсов смежных департаментов.

Недостатки:

  • Придется разрабатывать единый сценарий для всех тестируемых сервис-провайдеров, чтобы результаты были объективными.

  • Увеличение сроков пилотирования (7–12 месяцев).

  • Риски искажения результатов из-за длительности теста и вероятности возникновения инцидентов разного уровня сложности.

Подводя итог, можно заметить, что поочередное пилотирование дает более объективные результаты. Однако здесь нужно учитывать большие временные и финансовые затраты.

Пилотирование

Процесс разделяется на два этапа: подготовительный и основной. Чтобы не допустить просчетов и подобрать оптимального для себя сервис-провайдера, придерживайтесь рекомендаций, представленных ниже:

  1. Изучите предоставленную сервис-провайдером команду под пилот. Она должна быть полно укомплектована, состоять из специалистов, которые занимаются конкретными задачами, а не всем подряд. В составе команды должны присутствовать аналитики, сервис-менеджеры.

  2. Запрашивайте содействие в настройке источников. Зачастую инструкции по настройке источников от сервис-провайдера не подходят источникам клиента по причинам расхождения версий или кастомизации. Серьезный сервис-провайдер предложит более подходящие клиенту варианты или переработает инструкцию под него.

  3. Убедитесь в стабильной эффективности реагирования и глубине расследований. Первоначально на старте пилота сервис-провайдеры готовы соблюдать жесткие требования и следовать им. Однако, чтобы быть уверенным, что так будет всегда, лучше проверить дважды. Оценка выполненной работы по отдельным инцидентам может наглядно демонстрировать подход сервис-провайдера к выполнению возложенных на него обязанностей и его уровень профессионализма. Здесь важны подходы и вовлеченность в процесс расследования. Если сервис-провайдер полностью автоматизировал соблюдение SLA, то качество реагирования и расследований в отдельных случаях будет сильно различаться. Инциденты требуют детального разбора и проработки отдельных моментов вручную.

При создании собственного центра безопасности или привлечения для этого сторонних компаний крайне важно понимать свои потребности и возможности. Запуск и настройка потребуют времени – не стоит торопиться с принятием решений. Изучите и проанализируйте максимум доступных вариантов – в том числе Solar JSOC. Этот центр противодействия кибератакам с 2012 года обеспечивает круглосуточную защиту крупных государственных и коммерческих организаций от угроз любого уровня сложности. А также использует свою экспертизу для оказания услуг по построению и модернизации корпоративных SOC.