SOC (Security Operation Center) – разговор с экспертами
Сiso Club поинтересовался у Алексея Юдина, директора центра мониторинга Infosecurity, и других специалистов, для чего нужен SOC, какую модель развертывания SOС надо предлагать заказчикам, из чего состоит современный SOC, какие специалисты должны входить в SOC-команду со стороны исполнителя и заказчика. Также эксперты рассказали нам об оценке эффективности SOC, актуальных лицензиях и сертификатах для SOC, разнице между отечественным и иностранным подходом, и, конечно, о том, почему необходимо посетить предстоящий SOC-Форум.
Для чего нужен SOC? Какие потребности CEO, CFO, CIO, CISO закрывают с помощью SOC?
Алексей Юдин, директор центра мониторинга Infosecurity: «Однозначно ответить на этот вопрос невозможно – выбор модели SOC зависит исключительно от потребностей и финансовых возможностей заказчика. Если мы говорим про собственный SOC (On Premise), то он находится полностью в собственности заказчика с точки зрения владения оборудованием и найма специалистов. Это самый дорогой и длительный по времени вариант реализации центра мониторинга – его построение может занять годы и не всегда гарантирует результат. В случае облачной модели SOC центр мониторинга находится полностью на стороне сервис-провайдера. В этом случае заказчику не нужно нанимать и содержать персонал, разрабатывать регламенты и т.д. Облачный вариант позволяет заказчику оптимизировать затраты на информационную безопасность и сосредоточить внимание на своих основных бизнес-процессах».
Как правильно выстроить процесс управления жизненным циклом инцидента?
«Самое главное в процессе управления инцидентами – это качественное отсеивание ложных срабатываний и быстрое реагирование всеми ответственными лицами в случае реальных инцидентов. В процесс расследования и реагирования на инциденты должны быть вовлечены сотрудники SOC, специалисты ИТ-подразделения и владельцы бизнес-систем для оперативного принятия решений. Таким образом, для оптимального выстраивания процесса необходимо, чтобы все заинтересованные подразделения могли вовремя вносить корректировки в работу и оптимизировать процессы под задачи бизнеса».
Из каких специалистов состоит SOC-команда со стороны исполнителя, а также заказчика?
«В идеале, наиболее эффективно разделить специалистов SOC на две линии. Группа 1-й линии обеспечивает оперативный разбор входящей информации и выделение в общем потоке данных угроз безопасности. Если инцидент оказывается среднего или высокого уровня критичности, то он передается специалистам 2-й линии SOC. Сотрудники 2-й линии должны обладать более глубокими экспертными компетенциями: они могут расследовать инцидент от нескольких минут до недель, собирая детальные данные, привлекая экспертов, восстанавливая последовательность действий и т.д. Помимо сотрудников 1 и 2 линии в команде могут быть эксперты по цифровой криминалистике и аналитики вредоносного ПО, специалисты по анализу угроз, эксперты по разработке контента для SIEM и IRP систем и руководитель, который отвечает за координацию всего центра мониторинга и смежных подразделений. Если мы говорим про модель On Premise, то организация-заказчик должна самостоятельно «вырастить» или нанять специалистов, способных обеспечить мониторинг и разбор инцидентов ИБ, а если про облачную модель – то тогда сервис и специалисты находятся в ведении сервис-провайдера, то есть исполнителя».
Какой KPI у SOC? Как оценить эффективность современного SOC?
«Помимо количества и скорости выявления и реагирования на инциденты немаловажным является и процент ложных срабатываний: чем он ниже, тем более качественно работает SOC и более плотно выстроено взаимодействие со службами эксплуатации средств защиты и информационных систем. Также важной характеристикой является покрытие инфраструктуры, как по объему инфраструктуры, так и по набору сценариев реагирования. Хорошей практикой является проведение тестов на проникновение (Redteaming) для проверки эффективности и выявления «белых пятен» в зоне ответственности специалистов SOC».
Какие лицензии и сертификаты должен иметь современный SOC? Какие требования регуляторов необходимо соблюдать?
«Как правило, обязательной для всех компаний, оказывающих услуги SOC, является лицензия ФСТЭК на техническую защиту конфиденциальной информации. Для финансовой отрасли необходимо выполнять требования ГОСТ 57580.1 и обеспечить взаимодействие с ФинЦЕРТ в части обмена данными об угрозах и критичных инцидентах. Для компаний, в которых присутствуют объекты критической инфраструктуры, необходимо выполнять перечень требований ФСБ и ФСТЭК по защите данных объектов, а также организовать передачу инцидентов и информации об уязвимостях объектов КИИ в НКЦКИ».