Контакты
Подписка 2024

Практика работы SOC

Тимур Зиннятуллин, 17/08/21

Рынок информационной безопасности развивается, и компании часто оказываются перед выбором, построить свой SOC или воспользоваться услугами внешнего. Универсального ответа на этот вопрос нет, но в рамках настоящей статьи мы попробуем привести аргументы в пользу обоих решений, а также дополнить выбор новыми вариантами.

Автор: Тимур Зиннятуллин, директор Центра киберустойчивости ACRC

Необходимость создания такого технически и организационно достаточно сложного подразделения, как SOC, на практике обусловлена объективными факторами экономического характера, и не так важно, возникла ли такая надобность под влиянием требований регулятора или без них. Зачастую на выбор пути реализации SOC оказывает влияние общая структура расходов компании: у кого-то превалирует CAPEX, у кого-то OPEX, учитывается стоимость владения, увеличение фонда оплаты труда, затраты на обучение и повышение квалификации, стоимость сопутствующего оборудования и многое другое.

На основе всех перечисленных факторов принимается решение о том, какие функции Security Operations будут выполняться заказчиком самостоятельно, а какие будут отданы под ответственность внешнему партнеру.

Гибридные форм-факторы для SOC

На сегодняшний день четкость привычной дилеммы "свой SOC или внешний" оказывается размыта. Происходит это по причине растущей сложности архитектуры информационных систем, которые нас с вами сейчас окружают, и степени их проникновения в повседневную жизнь. При этом функции Security Operations разделяются между партнерами в определенной пропорции, и эта пропорция уникальна для каждой отдельной компании. Аналогичным образом разделяются архитектурные и операционные схемы их взаимодействия. Поэтому для формирования и тем более внедрения SOC нужен надежный партнер с большим накопленным опытом реализации центров реагирования как в формфакторе on-premise, то есть построение инфраструктуры в рамках классического интеграторского направления, так и в форм-факторе MSSP, то есть в виде сервисов и услуг. Помимо опыта внедрения и реализации SOC, сегодня явно видна необходимость опыта в обосновании всех своих предложений и проектов перед бизнесом. Мы в группе компаний Angara поняли это достаточно рано, нам удалось накопить такой опыт, и мы продолжаем его наращивать.

Влияние отраслевой специфики

Наша практика показывает, что на сегодняшний день услуги внешнего SOC пользуются популярностью у организаций, работающих в сфере финансов, – банков, страховых компаний, активно включается финтех. И для этого есть объективные причины: ведь процессы управления рисками в таких компаниях изначально находятся на более зрелом уровне по сравнению с предприятиями из других отраслей, а возможности снижения потенциального ущерба от реализации операционного риска начинают прорабатываться на более ранней стадии развития компаний. На ситуацию, конечно же, влияет свойственная финансовому сектору регуляторная специфика, начиная с российского ГОСТа и заканчивая зарубежным PCI DSS.

Расширение поля выбора

В настоящий момент точка равновесия между форм-факторами SOC уверенно движется в сторону гибридной модели. Например, последнее время наша экспертиза часто привлекается к работе с внедренными собственными средствами защиты информации заказчика, его процессами и сервисами, включая SOC как один из сервисов. В то же время нас продолжают привлекать с подключением исключительно нашего инструментария по причине отсутствия у компании необходимых средств, процессов и сервисов. Но возможно также использование только наших технологий Security Operations в формате SaaS c дополнительным консалтингом, при этом мы размещаем на своих производственных мощностях системы, которыми заказчик пользуется удаленно – просто потому, что он не хочет держать это железо у себя и следить за его доступностью самостоятельно.

По нашему прогнозу, экспертиза будет и далее привлекаться в различных гибридных форматах с целью полного или частичного замещения и дополнения любых функциональных и технологических потребностей Security Operations для бизнеса. В связи с этим на рынке будут востребованы профессиональные компании, которые готовы оказывать гибридные услуги и способны меняться вместе с запросами заказчиков, развиваться вместе с индустрией.

Центр киберустойчивости

Для того чтобы идти в ногу со временем, в группе компаний Angara был сформирован Центр киберустойчивости ACRC, объединивший в себе опыт и экспертизу двух отдельных направлений:

  • подразделения Angara Technologies Group, занимавшегося развитием и внедрением решений по направлению Security Operations в формате on-premise;
  • второго подразделения, Angara Professional Assistance, изначально оказывавшего услуги коммерческого SOC, то есть исключительно в качестве сервиса.

В результате произошедшего объединения мы смогли приступить к формированию той самой гибридной модели предоставления услуг, уже сейчас востребованной на рынке и популярность которой будет расти в ближайшей перспективе. Кроме того, Центр киберустойчивости ACRC изначально учитывал необходимость удовлетворения меняющихся запросов со стороны бизнеса, ведь по мере роста и усложнения информационных систем запросы в части обеспечения безопасности также будут меняться.

Проблема кадрового обеспечения SOC

Кадровая проблема носит общемировой характер и свойственна ИБ-сообществу в целом, но у нее есть и российская специфика. Мы как высокотехнологичная компания постоянно с ней сталкиваемся и нашли для себя несколько путей ее решения.

Во-первых, и это, пожалуй, основной элемент нашей кадровой стратегии, мы ведем свой авторский практический курс по Security Operations для студентов старших курсов в одном из технических вузов Российской Федерации. Это позволяет делиться с будущими специалистами своим практическим опытом, ведь, к сожалению, на сегодняшний день в системе образования столь важный компонент представлен недостаточно полно. Мы передаем знания об актуальных технологиях, методах и средствах, которые используют злоумышленники, а также путях защиты от них. Таким образом, мы обеспечиваем хороший кадровый резерв, в первую очередь для себя, но на самом деле для индустрии в целом, потому что наши выпускники работают и в других российских ИБ-компаниях.

Во-вторых, в группе компаний Angara реализуется ряд проектов, направленных на обучение, поддержку и формирование дополнительных возможностей для начинающих специалистов, и для студентов в том числе, включая организацию профильных состязаний с последующей возможностью стажировки с наставником, что, в нашем понимании, критически важно.

В-третьих, мы организуем выездные лектории, в рамках которых специалисты различного профиля рассказывают о безопасности прикладных систем, современных технологиях, облачных решениях и т.д.

Эти три основные, проверенные меры дают нам постоянную кадровую подпитку для Центра киберустойчивости ACRC и других профильных подразделений и, что не менее важно, позволяют самостоятельно отвечать за качество всех оказываемых нами услуг, не привлекать аутсорсинг на свои проекты и сервисы.

Обязательный редтиминг

Крайне важным элементом киберустойчивости нашего центра является регулярное проведение спринтов с нашим редтим. Мы проводим их в первую очередь на достаточно объемной инфраструктуре группы компаний Angara, но периодически подключаем к мероприятиям и инфраструктуру заказчиков, разумеется заранее заручившись их поддержкой и содействием.

Спринты мы проводим каждый квартал, и аналитики нашего SOC не предупреждаются о времени начала проведения учений. Это знаю только я и руководитель "красной команды". Мы не придерживаемся какой-то одной внешней методики, будь то европейский Тайбер или натовский Cyber Red Teaming, нами сформирована своя экосистема киберучений, и мы ее планомерно реализуем и развиваем.

Совершенствование метрик эффективности

На сегодняшний день формальные метрики эффективности реализуются в форме SLA, который указывается в соглашениях об оказании услуг и за которые партнеры несут финансовую ответственность.

Чтобы способствовать совершенствованию используемого набора метрик, в центре устойчивости уже не первый год функционирует и развивается направление Security Intelligence, в рамках которого наши эксперты разрабатывают решения для оценки эффективности средств защиты информации и различных процессов ИБ.

Это подразделение разрабатывает наиболее важные, с нашей точки зрения, показатели эффективности, которые помогают нам как представителям ИБ говорить с бизнесом о результатах нашей деятельности в терминах эффективности, а еще лучше – в финансовых терминах. По нашей практике, деньги и эффективность – одни из основных проблем, мешающих более активному распространению ИБ. Ведь если, например, целый год все системы работают хорошо, никакие контрактные обязательства не нарушаются, то в конце года возникает вопрос: а чем вообще служба информационной безопасности занималась? В ответ на этот вопрос мы готовим методики нашей собственной разработки, в создании которых нам помогает консалтинговое подразделение из Angara Technologies Group. С методиками можно ознакомиться, оставив запрос на демонстрацию через наш сайт.

Мы также используем ряд общедоступных метрик от ведущих профессиональных сообществ, в основном по методике SMART, которую мы просто реализуем для различных решений. Главное, чтобы метрики позволяли экспертам ИБ показать и доказать свою эффективность бизнесу даже в ситуациях, когда подразделения работали настолько хорошо, что их деятельность не была заметна.

Строим SOC

Классическое интеграторское направление, вошедшее в Центр киберустойчивости ACRC, – это сопровождение жизненного цикла систем и сервисов безопасности на всех этапах их развития. Речь идет об автоматизации процессов в части организации мониторинга, SIEM-менеджменте, обогащении процессов ИБ сторонней аналитикой, когда мы анализируем процессы и внедряем решения для использования фидов или TI, мониторинге управления инцидентами, внедрении решений класса IRP и SOAR, написании плейбуков под них и т.д. То есть все, что связано с документальным сопровождением процессов, визуально дополняет контроль метрик эффективности с подключением Security Intelligence. Самое тяжелое для организации, которая решила построить свой SOC, – в конце года объяснить, что это действительно того стоило, и доказать свою эффективность руководству.

Отмечу наше недавнее достижение – это автоматизированная атрибуция потенциальных угроз, тактик и техник злоумышленников, основанная на данных, полученных в ходе расследования реальных подтвержденных инцидентов по всему миру. Это наша собственная разработка, включающая возможность приведения результатов атрибуции к новой методике оценки угроз ФСТЭК и БДУ в целом.

Компетенции для корпоративных SOC

Центр киберустойчивости ACRC предоставляет экспертизу для замещения любых функциональных ролей внутри корпоративных SOC нашими специалистами по подписной модели или на проектной основе. У нас есть уникальный для рынка опыт, когда мы выполняем функции реагирования на подозрения на инциденты ИБ, причем не только в дистанционном режиме, но и с присутствием наших инженеров на площадке заказчика, обрабатывая уведомления, направляемые не нашим коммерческим SOC, а одним из наших конкурентов.

Можно привести и пример атрибуции потенциальных угроз. Для SOC, построенных не нами, мы можем составить различные карты покрытия тех или иных тактик и техник текущими процедурами и процессами и вместе спланировать реализацию сценария и соответствующего хардеринга на практически любых уже внедренных решениях. При этом результаты данных работ будут внесены в базу знаний самого заказчика, что очень важно, потому что очень часто при увольнении ключевых кадров часть экспертизы теряется.

Исходя из всего изложенного выше можно сказать, что Центр киберустойчивости ACRC предоставляет полный сервис или дополняет систему сервисов Security Operations на протяжении всего ее жизненного цикла и на всех этапах развития этого направления в организации.

Темы:SOCУправлениеЖурнал "Информационная безопасность" №3, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать