Всем привет! Меня зовут Анастасия Федорова. Уже более 15 лет я работаю в сфере ИБ, последние два года — директором по развитию Центра мониторинга инцидентов в К2 Кибербезопасность.

Этим летом мы провели опрос 100+ средних и крупных компаний и узнали, что почти половине (43%) из них уже недостаточно простого внедрения технологических решений для обеспечения кибербезопасности активов. Они смотрят в сторону более комплексного подхода к мониторингу инцидентов — SOC. При этом 71% оценили сроки создания собственного Центра мониторинга в 2-4 года. Поэтому большинство (58%) ответили, что отдают предпочтение внешнему SOC по модели MSSP (Managed Security Service Provider), который можно внедрить в среднем в срок от одного месяца. 

По следам нашего опроса я решила собрать в одном месте все, что нужно знать про внешний SOC. Под катом я расскажу, что же такое центр мониторинга кибербезопасности, из чего он состоит, как подготовиться к внедрению и подключить SOC по MSSP-модели.

Из чего состоит SOC

Центр мониторинга информационной безопасности (Security Operations Center, SOC) — это целая система для оперативного и эффективного мониторинга, анализа и реагирования на киберинциденты. На картинке ниже я собрала важные элементы каждого из этих блоков. В первом — перечислены возможные источники для мониторинга. Во втором и третьем — виды работ по анализу и реагированию на инциденты.

В ИБ-индустрии уже приняли за аксиому, что комплексная защита основывается не только на технологиях, но и на людях, а также правильно настроенных процессах. 

Эти три элемента — технологии, люди и процессы — являются фундаментальными составляющими Центров мониторинга кибербезопасности.

На схеме выше я представила один из вариантов набора эффективного SOC. Конечно для каждой компании он может отличаться. Тут все зависит и от целей бизнеса, и от его размеров. И, конечно же, от выбранной модели SOC. Он может быть собственным (при наличии нужных специалистов и других ресурсов), внешним (модель MSPP) или гибридным (ответственность распределяется между командами самой компании и поставщика услуг). О видах SOC и кому какой подходит я подробно рассказывала в этой статье. 

Почему именно внешний SOC?

По данным Anti-Malware, бизнес интересуется моделью MSSP из-за:

• дефицита кадров (в 34% случаев);

• отсутствия собственной экспертизы (в 28% случаев);

• роста числа кибератак на компанию (в 14% случаев);

• ужесточения законодательства (в 5% случаев);

• требований корпоративных политик ИБ (в 2% случаев);

• 17% случаев приходится на иные причины.

У внешнего SOC есть существенные преимущества: 

• клиент получает гарантированный уровень обслуживания (SLA);

• риски, связанные с управлением оборудованием и дополнительными мощностями (в т.ч. системами хранения данных), делегируются провайдеру;

• заказчик освобождается от необходимости управлять большой командой специалистов;

• эта модель обеспечивает оптимальные операционные расходы (OPEX);

• создание собственного SOC может занять годы, внешний можно подключить в срок от 1 месяца.

К чему готовиться, разбираем по пунктам

SOC = люди, технологии и процессы. Поэтому при подготовке к его подключению необходимо учитывать каждую из этих составляющих.

Люди 

Даже если вы выберете SOC по модели MSSP, на стороне вашей внутренней команды специалистов все равно останется определенный ряд работ — от внедрения и поддержки СЗИ до коммуникации с внешней командой и выполнения ее рекомендаций. На картинке ниже описаны эти зоны ответственности.    

Как правило, со стороны компании требуются:

• Один-два сотрудника, отвечающих за информационную безопасность.

• Обученная ИТ-служба, включающая специалистов по сетевой части, рабочим станциям и средствам защиты информации.

Поэтом первый шаг — определить внутреннюю команду. Эти специалисты будут анализировать рекомендации провайдера услуги SOC и при необходимости вносить изменения в структуру. Квалифицированный провайдер помогает выделить эти зоны ответственности и налаживает связи с сотрудниками.

Еще до подключения нужно задуматься над усилением ваших специалистов — кибертренинграми, повышением квалификации или наймом новых сотрудников. Поскольку рынок испытывает острый кадровый голод, часто проще подготовить специалистов SOC с нуля. Например, инвестировать в дополнительное обучение своих ИБ-специалистов, уже знакомых с процессами компании, или растить кадры из студентов. Этот подход сейчас активно используют ведущие ИТ-компании и банки страны.

Если в компании нет отдела информационной безопасности, а его функцию номинально выполняет ИТ-отдел, необходимо обсудить это с провайдером заранее. Возможно, он выделит дополнительных специалистов или поможет подготовить вашу команду.

Технологии

Набор технологий и инструментов зависит от инфраструктуры, уровня и целей компании. Иногда нужно выстроить все с нуля, но чаще встречаются гибридные варианты, когда у компании уже есть некоторые элементы, но требуется дополнительная экспертиза.

Чаще всего основной технологический компонент любого центра мониторинга безопасности — SIEM (Security Information and Event Management) — программные продукты, предназначенные для сбора и анализа информации о событиях безопасности. Это, например, Kaspersky KUMA или MaxPatrol SIEM.

SIEM собирает и систематизирует данные из разных источников: журналы сообщений, логи операционных систем, конечных устройств, файерволов и IDS. Затем SIEM агрегирует события информационной безопасности и проводит корреляции для выявления и анализа инцидентов.

SIEM — важная часть технологического стека, но эксперты и процессы не менее важны. Также нужна инфраструктура и подсистемы безопасности для поддержки SIEM. Стандартный стек технологий включает: SIEM + IRP/SOAR, EDR, XDR, сканер уязвимостей, TI-платформу, песочницы (Sandbox) и личный кабинет клиента. А инфраструктура SOC в свою очередь состоит из серверов, СХД, систем доставки событий и подсистем безопасности.

Перед внедрением SOC обратите внимание на:

• Готовность инфраструктуры. Ее модернизация для будущего внедрения и эффективной работы SOC требует времени — от проектирования до закупки и внедрения может пройти несколько месяцев.

• Состояние сетевой инфраструктуры. Старые сети могут нуждаться в обновлении.

• Актуальность и современность оборудования и программного обеспечения — это особенно важно для предприятий. Например, для редкого ПО потребуется разработка дополнительных правил.

• Приоритетность подключения не только средств защиты, но и в целом всех элементов инфраструктуры в зависимости от степени их значимости.

• Возможности импортозамещения. Проанализируйте рынок с помощью провайдера, чтобы быть готовыми к замене элементов вашего стека на новые российские аналоги.

Процессы

Перед внедрением SOC важно выделить необходимые ресурсы и наладить контролируемую работу процессов. Это обеспечит стабильное и качественное функционирование центра мониторинга.

Ключевые моменты включают в себя управление: 

• безопасностью;

• активами;

• ресурсами;

• инцидентами;

• уязвимостями;

• бюджетом;

• мощностями;

• релизами.

Если вы выбрали качественного поставщика SOC, он наверняка поможет с настройкой этих процессов и даже возьмет часть на себя.

Что заказчики обычно требуют от SOC

Чаще всего компании хотят классические услуги: мониторинг и рекомендации по реагированию, стандартизированный SLA. Услуга реагирования составляет до 40% новых запросов от заказчиков (сейчас её используют 20%, пару лет назад было 10%).

Также в число регулярных запросов входят:

• единое окно;

• быстрое подключение;

• гигиенические требования: наличие личного кабинета, TI;

• понятное/прозрачное ценообразование;

• понимание стандартных/нестандартных источников и сроков их подключения (к нестандартным подключение дольше);

• возможность доработки правил корреляции/нормализации.

Выбор интегратора SOC

При выборе провайдера SOC заказчики обычно обращают внимание на специалистов в команде, скорость масштабирования ресурсов и стоимость подключения и поддержки. Однако этого недостаточно для полноценной оценки. 

Важно также учитывать объем доступных ресурсов и тип используемой SIEM-системы. Немаловажным фактором является наличие у провайдера сертификатов соответствия стандартам ГОСТ Р 27001, ГОСТ Р 20000 и ГОСТ Р 9001, подтверждающих функционирование систем управления информационной безопасностью, а также систем качества и управления ИТ-сервисами.

Обратите внимание на готовность провайдера помочь в выстраивании ваших внутренних процессов. Кроме того, критически важно наличие опытных экспертов, способных быстро реагировать на угрозы в первые минуты их обнаружения, не давая злоумышленникам закрепиться в системе.

Оценка квалификации и опыта команды провайдера SOC

При выборе провайдера SOC важно быстро оценить квалификацию его команды. На стадии обсуждения договора обратите внимание на следующие аспекты:

• Структура команды должна быть многоуровневой, включая сервис-менеджеров и лидов.

• Специалисты должны иметь высшее образование в сфере информационной безопасности и опыт работы над похожими проектами.

• Провайдер должен обладать сертификатами от ключевых производителей.

Вывод

SOC — сложная, комплексная система. Даже ее подключение — квест требующий времени, подготовки и значительных инвестиций.

Причем он не исчерпывается подготовительными работами и внедрением. Далее следуют: мониторинг и анализ инцидентов, внедрение новых правил, подключение новых источников событий. Работа с SOC — это непрерывный процесс, который будет продолжаться на протяжении всего существования предприятия.

Поэтому стоит подойти к выбору провайдера SOC с максимальной серьезностью и посвятить этому по меньшей мере недели. Тогда результаты сотрудничества оправдают затраченные усилия.

При правильной организации процессов SOC обеспечивает надежную защиту даже от целенаправленных и сложных атак. На российском рынке представлено достаточное количество квалифицированных провайдеров, способных обеспечить уровень защиты, соответствующий актуальным угрозам.