Привет, Хабр! На связи Анастасия Федорова. За моими плечами 15 лет в ИБ, из них последние два года я руковожу развитием SOC в К2 Кибербезопасность.

Недавно мы опросили 100+ ИТ- и ИБ-директоров среднего и крупного бизнеса и выяснили, что 1/3 компаний за последний год столкнулись сразу с несколькими видами угроз: DDoS-атаками, бот-трафиком, вредоносным ПО и т.д. Простого внедрения средств защиты уже недостаточно — атак все больше и они только усложняются. Рынок давно смотрит в сторону более комплексного подхода к мониторингу и обеспечению кибербезопасности активов. Почти половина (43%) опрошенных организаций сказали, что уже используют или планируют внедрить собственные или коммерческие SOC (Security Operations Center). При этом у каждого Центра мониторинга инцидентов есть свои особенности и их непонимание осложняет выбор модели под свои задачи и возможности. 

Под катом я собрала в одном месте всю нужную информацию. Что такое SOC? Из чего он состоит? Какие виды бывают? Как выбрать самую релевантную модель? 

Три кита SOC

Самая частая ошибка, с которой я сталкиваюсь в своей практике — приравнивание SIEM к SOC. Многие уверены, что если они установили «коробочное» SIEM-решение, значит у них есть рабочий «Центр мониторинга» и все в порядке. Однако SOC — это не просто технологии, это полноценная система, состоящая из трех равнозначно важных компонентов.

SOC базируется на трех составляющих: людях, технологиях и процессах.

Технологичные решения должен кто-то грамотно внедрять, затем ими управлять, настраивать, находить слабые места, проводить аудит работы и т.д. Даже лучшим специалистам с мощным обеспечением нужны грамотные правила и налаженные процессы взаимодействия. При этом мощности требуются как для основной работы, так и для тестирования. А процессы нельзя настроить раз и навсегда — их необходимо постоянно совершенствовать.

Три наши основы — люди, технологии и процессы — в свою очередь состоят из определенного набора элементов (решений, специалистов и т.д.). Универсального для каждой компании варианта не существует. Все зависит от размера и целей организации, модели выбранного SOC (об этом расскажу далее по тексту) и еще многих факторов. На картинке ниже я сделала схему одного из возможных составов эффективного Центра мониторинга инцидентов.

Рассмотрим подробнее функции и состав каждого из трех элементов SOC. 

Люди

В SOC команда специалистов контролирует поток событий и уведомлений, поступающих из систем ИБ-мониторинга. Эксперты отличают ложные срабатывания от реальных атак, связывают разрозненные события и принимают решение о начале реагирования.

На разных этапах этого процесса задействованы:

• Аналитики и эксперты разных уровней. Они разрабатывают и оптимизируют правила корреляции и нормализации, обрабатывают события и инциденты.

• Архитекторы и инженеры: настраивают системы, подключают источники событий, следят за их работой.

• Сервис-менеджеры, которые контролируют ведение проекта, обеспечивают для заказчика выполнение требований договора.

• Форензик-эксперты. Исследуют оставшиеся от инцидентов артефакты, атрибутируют вредоносы.

Технологии

В работе с киберинцидентами специалисты опираются на системы сбора и анализа данных. Чаще всего на следующие: 

• SIEM (Security Information and Event Management) — системы управления информацией о безопасности, которые автоматически собирают события и выявляют ИБ-инциденты.

• IRP (Incident Response Platform) — платформы реагирования на инциденты ИБ.

• SOAR (Security Orchestration, Automation and Response) — системы управления, автоматизации и реагирования на инциденты ИБ.

• Vulnerability Scanner — сканер уязвимости — класс решений для автоматического выявления известных уязвимостей в инфраструктуре.

• EDR\XDR (Endpoint Detection & Response\Extended Detection & Response) — решения по обнаружению и реагированию для конечной точки и инфраструктуры в целом. Позволяют выявить аномальную активность, сообщить о ней и в ручном и\или автоматическом режиме произвести реагирование согласно выбранному сценарию.

• NTA (Network Traffic Analysis) — система анализа сетевого трафика и выявления в нем аномалий и следов действий злоумышленника\вредоносного ПО. 

Стоит заметить, что SIEM — это единое окно и техническая база для SOC, но эффективность ее работы зависит от качества данных, полученных из подключенных источников. Такими источниками могут быть совместимые средства NTA, EDR, песочницы, а также AM- и VM-системы.

Процессы

Это совокупность организационных и технических процедур для поддержания эффективной работы SOC: поддержки инфраструктуры, мониторинга событий ИБ, работы с инцидентами и развития команды и многие другие.

Описанные и регламентированные процессы также помогают выбрать правильный алгоритм действий в общении с заказчиками или при взаимодействии с ИТ- и ИБ-командами. Или, например, определяют порядок действий в процессе реагирования. Чтобы обеспечить гибкость, приходится постоянно обновлять и совершенствовать эти правила.

Наш опрос показал, что только у 20% компаний налажены все три составляющие SOC. Чаще всего проблемы возникают с процессами (управление безопасностью, активами, ресурсами, инцидентами) и персоналом (нехватка квалифицированных сотрудников). Это опять же доказывает, что большинство делают ставку именно на технологии, что является большой ошибкой.

SOC вместо штрафов  

Из недавних приятных открытий: 91% российских компаний считает приоритетом реальную защиту от киберугроз и только 7% внедряют SOC для формального соответствия требованиям регулятора.

При этом мы, конечно же, не можем игнорировать регулярные нововведения и ужесточение требований законодательства в области кибербезопасности. При системном подходе SOC, как комплексный инструмент, позволяет снизить вероятность санкций, т.к. значительно усиливает управление событиями и инцидентами ИБ. В частности повышает уровень защиты персональных данных, реализует требования по реагированию на события и инциденты ИБ для субъектов КИИ и ГИС.

Типизация SOC

Еще одно заблуждение — все SOC одинаковы: предоставляют одни и те же услуги, используют одни и те же технологии и процессы. На самом деле есть несколько подходов к типизации. Некоторые из них представлены на картинке ниже.

Мы рассмотрим типы SOC с точки зрения распределения ответственности за основные компоненты: технологии, людей и процессы. Такой подход позволяет наглядно оценить, какая модель подойдет конкретно вам, т.к. учитывает самое важное: скорость получения услуги, объем бюджета, необходимые человеческие ресурсы для внедрения и поддержания технологического стека и ИТ-инфраструктуры, трудозатраты на поиск и прокачку сотрудников.

Модели SOC: кому и что подойдет

Собственный SOC

Инхаус формат в первую очередь подходит крупным компаниям с обширной сетью подразделений. Собственный SOC — это дорогостоящее решение, требующее постоянного внимания и развития. Его нельзя построить, просто единоразово внедрив технологические решения, например, SIEM и IRP. 

В основном только крупные компании обладают достаточными технологическими и кадровыми ресурсами для поддержания достаточного объема мощностей и множества процессов, необходимых для полноценного функционирования внутреннего SOC. Этот путь требует значительных и регулярных инвестиций не только в технологии, но и в людей.

Преимущества собственного SOC включают полный контроль над процессами и данными, возможность тонкой настройки под специфические потребности компании и высокую степень интеграции с существующей инфраструктурой. Однако эти преимущества сопряжены с существенными затратами на оборудование, программное обеспечение и высококвалифицированный персонал.

Перед запуском SOC необходимо найти и обучить персонал, выстроить рабочие процессы и внедрить информационные системы. Особое внимание стоит уделить SIEM-системе, которая требует мощных вычислительных ресурсов и больших объемов хранилища данных.

Задачу создания SOC можно делегировать интегратору, однако даже после успешного внедрения спроектированных систем компании часто сталкиваются с проблемами:

• Кадровый голод. Для эффективной работы SOC требуется постоянная команда минимум из семи человек. При этом специалисты часто не задерживаются в инхаус SOC из-за отсутствия профессиональных вызовов и однообразия задач.

• Процессы нуждаются в постоянном совершенствовании. Изменения в команде, технологиях, организационной структуре и инфраструктуре требуют регулярной адаптации процессов, включая обновление дашбордов и подходов к работе.

• Технологическая база. Правила корреляции и нормализации в SIEM-системе требуют постоянного развития. Дополнительно внедряются сканеры уязвимостей. Со временем возникает необходимость в SOAR и TI-платформах.

Неожиданной проблемой может стать сопротивление со стороны администраторов и архитекторов ИТ-систем на начальных этапах внедрения SOC. Это связано с дополнительным контролем и нагрузкой, которые привносит новая система.

Внешний SOC как услуга (MSSP)

SOC по модели Managed Security Service Provider (MSSP) подходит компаниям, стремящимся найти готовое решение с предсказуемым бюджетом. Это могут быть как крупные организации, желающие получить сервис «под ключ»‎, так и небольшие предприятия, не имеющие собственной команды или достаточных ресурсов.

За последний год наблюдается рост спроса на услуги MSSP на 20%. Ключевой фактор выбора этого типа услуги — возможность делегировать поддержку программного обеспечения и оборудования. Компании также привлекает снижение капитальных затрат и легкость масштабирования внешних центров мониторинга и реагирования.

У такой модели есть существенные преимущества: 

• клиент получает гарантированный уровень обслуживания (SLA);

• риски, связанные с управлением оборудованием, делегируются провайдеру;

• заказчик освобождается от необходимости управлять командой специалистов;

• эта модель обеспечивает оптимальные операционные расходы (OPEX).

К недостаткам SOC как услуги можно отнести то, что управление инцидентами информационной безопасности выходит за периметр организации. Ошибка в выборе провайдера грозит в дальнейшем его недостаточной погруженностью в процессы вашей компании.

Поэтому здесь на первый план выходит правильный выбор подрядчика. Надежные провайдеры SOC обычно помогают клиентам сформировать подходящий пакет услуг, исходя из потребностей бизнеса. Они объясняют, как каждая функция решает конкретные задачи. Помимо стандартных пакетов, многие из них предлагают выбор услуг в зависимости от конкретных параметров или формируют индивидуальные решения.

При выборе внешнего SOC стоит обратить внимание на объем ресурсов и SIEM-систему, которую использует провайдер. Существенным фактором является готовность провайдера помочь заказчику выстроить внутренние процессы, а также наличие сертификатов  соответствия требованиям ГОСТ Р 27001, ГОСТ Р 20000, ГОСТ Р 9001, подтверждающих качество функционирующих в SOC систем управления ИБ и ИТ-сервисами.

Гибридная модель SOC

Это набирающий популярность формат, в котором заказчик с провайдером разделяют зоны ответственности между собой. Такой подход часто выбирают в ситуациях, когда внутренних ресурсов компании недостаточно для полноценного функционирования SOC, но есть желание сохранить определенный уровень контроля.

Кроме того, этот формат актуален, когда уже внедренная SIEM-система не справляется с задачами компании. «Коробочное»‎ решение может требовать тонкой настройки в соответствии со специфическими процессами и задачами бизнеса. В таких случаях экспертиза внешнего провайдера может помочь повысить эффективность SIEM.

Основные плюсы гибридного SOC включают гарантированный уровень обслуживания (SLA), возможность делегировать управление командой ИБ-специалистов и относительную быстроту внедрения. В этом случае SIEM обычно становится заботой заказчика, а за IRP и большую часть экспертизы отвечает провайдер.

Однако важно учитывать, что в этой модели управление мощностями и инцидентами информационной безопасности, а также закупка лицензий выходят за периметр организации. Эти аспекты разделяются между заказчиком и провайдером. SIEM остается на заказчике, IRP — на провайдере. Компания должна быть готова к инвестициям в инфраструктуру, которые могут быть значительными. В итоге такой SOC может оказаться даже дороже внутреннего. 

Учитывая эти факторы, выбор гибридной модели требует от бизнеса осознанного и взвешенного подхода. Компании необходимо тщательно оценить свои потребности, ресурсы и риски. Крайне важно установить открытый диалог с провайдером услуг. Это поможет четко определить границы ответственности, согласовать процессы взаимодействия и обеспечить прозрачность в управлении безопасностью.

Вывод

В современных условиях, характеризующихся ростом числа и сложностью кибератак, мы видим тенденцию к повышению осознанности в вопросах информационной безопасности. Компании все больше стремятся соблюдать не только формальные «бумажные» требования, а обращают внимание на реальное состояние ИБ и практическую безопасность. По результатам нашего опроса, 43% организаций малого и среднего бизнеса уже перешли на комплексный мониторинг кибербезопасности, внедрив собственные или коммерческие SOC. Однако создание собственного SOC — процесс длительный. 71% респондентов оценили сроки его создания в 2–4 года.

В то время как количество инцидентов растет, а требования законодательства ужесточаются, это слишком долго. Поэтому 58% опрошенных либо уже используют, либо планируют выбрать внешний SOC по модели MSSP, который можно развернуть в срок от одного месяца. Однако, выбирая внешний центр мониторинга информационной безопасности, важно учитывать ключевые компоненты: технологии, процессы и людей. 

В итоге выбор модели SOC, подбор команды и запуск центра мониторинга — стратегические решения, которые должны учитывать не только текущие потребности в безопасности, но и перспективы развития бизнеса. Важно помнить, что эффективная защита от киберугроз — это не разовое мероприятие, а непрерывный процесс, требующий постоянного внимания и адаптации к меняющимся условиям.