Краткий конспект мастер-класса с закрытого выступления Романа Жукова на интенсиве для CISO Код ИБ Профи
Роман Жуков
Член экспертных и рабочих групп при Минкомсвязи и ЦБ РФ, спикер профильных конференций по информационной безопасности, автор статей для отраслевых СМИ.
Опыт работы в сфере информационной безопасности – более 10 лет. Свою карьеру начинал на стороне заказчика. Реализовал несколько крупных проектов по ИБ, работая в региональном интеграторе, прошел путь от инженера до начальника подразделения. Руководил коммерческим ИБ-направлением в телеком-операторе, решал задачи по развитию бизнеса в 13 регионах, выводил на рынок новые продукты.
В данный момент руководит центром компетенций в отечественной компании – производителе средств защиты информации, участвует в формировании глобальной стратегии развития компании, оказывает экспертную поддержку ключевым клиентам на территории России и за рубежом.
Компетенции:
Построение процессов информационной безопасности в организациях, проектирование и внедрение систем защиты персональных данных и государственных информационных систем, экспертное сопровождение ИБ-проектов и поддержка выстраивания стратегии кибербезопасности в крупных компаниях, комплексное управление внутренними потоками данных, поведенческая аналитика (UEBA), защита хранилищ данных, защита от DDOS-атак, безопасная разработка программного обеспечения (Security Development Lifecycle), соответствие российскому и международному законодательству в области обеспечения информационной безопасности.
Итак, 10 ключевых стратегий первоклассного SOC выглядят так:
Объединить функции мониторинга, выявления, реагирования, координации работы с инцидентами ИБ, а также работу с техническими инструментами защиты, оперативную работу и тех. поддержку на базе одного подразделения (SOC или CSOC)
Достичь баланса между размером, прозрачностью процессов и гибкостью управления с целью эффективного выполнения миссии SOC
Получить достаточно реальных полномочий (власти), чтобы выполнять свою работу эффективно в рамках общепринятой орг. структуры и в соответствии с формальными бизнес-процессами, политиками, процедурами
Определить скоуп и сфокусироваться на тех задачах, которые SOC выполняет (должен выполнять) лучше всего и «отрезать» лишнее
При найме в SOC отдавать приоритет качеству персонала, а не количеству, особое внимание уделять «любви» к профессии, соблюдать правильный баланс hard и soft skills, предоставлять возможности для роста
Выжимать максимум потенциала из каждой используемой технологии («настройка уже средств защиты»), обучать инженеров работе с ними
Уделять особое внимание расстановке сенсоров и сбору данных в целом, чтобы максимизировать качество «сигналов» и минимизировать «шум»
Следовать принципу «мой SOC – моя крепость и ответственность», но при этом создать прозрачную систему обмена сведениями с внешними (по отн. к SOC) системами, людьми
Наладить двусторонний обмен данными (threat intel, incident tips, reports, signatures, etc.) с другими SOC
Создать стратегию и подробный план реагирования на инциденты, четко следовать ему и не допускать паник
А роли и организационные модели (внутреннего) SOC могут быть такими:
1. Security team
Нет определенных обязанностей, формализованных процедур. В случае инцидента – «тушим пожары», результат – всегда разный. Обычно, не более 1 000 АРМ.
2. Распределенный (разрозненный) SOC
Само понятие SOC определено, но ключевые лидеры и маленькие команды – в разных подразделениях (IT и т.п.), их обязанности – не всегда работать с инцидентами. Такие небольшие группы способны действовать в рамках базовых процессов SOC, но сложные комплексные задачи отдаются другим подразделениям. Обычно, размер от 500 до 5 000 АРМ.
3. Централизованный SOC
Выделенная команда из аналитиков и инженеров по ИБ, сфокусированных на задачах по защите и работе с инцидентами. Возглавляется менеджером SOC, который доносит стратегию и тактику по реагированию до других подразделений. Обычно, размер от 5 000 до 100 000 АРМ.
4. Комбинированный SOC (из п.2 и п.3)
Позволяет соблюдать баланс и привлекать необходимые компетенции из других подразделений по необходимости. Обычно, размер от 25 000 до 500 000 АРМ.
Для начала определите для себя ответ на ключевой вопрос – сформируйте цели и ожидания. Затем составьте список вопросов к поставщику SOC:
• Какие конкретно сервисы SOC вам нужны в первую очередь
• Каковы ваши ожидания от услуги в целом с учетом вашей инфраструктуры и состава средств защиты, достаточно ли их для полноценного сервиса
• Какие из процессов (например, детектирование, реагирование, расследование) вы действительно готовы отдать на аутсорсинг, и какова ответственность
• Насколько вы готовы предоставлять доступ к собственной инфраструктуре (а он точно понадобится в том или ином виде)
• Исходя из чего вы будете оценивать экономическую эффективность с учетом предложенных тарифов,
Аналитик SOC просто обязан:
• Определять реальную атаку по 1 сработке IDS и 1 логу
• Автоматизировать любую ручную операцию
• Строить временную шкалу событий, желательно в голове
• Определять важные сегменты трафика с помощью Open Source инструментов на всех 7 уровнях OSI
• Чувствовать приближение вредоносного ПО, сразу понять, как оно работает, и какой ущерб нанесет
• Определять ошибки конфигураций всего парка систем и сразу их исправлять
• Общаться внутри и вне команды на технические темы, с ТОП-менеджментов – на бизнесовые
• Уметь поставить себя на место злоумышленника и полностью воспроизвести все возможные варианты атаки
Что важно при найме в SOC?
• Внимательно смотреть как на образование, на опыт работы и на наличие сертификатов (что-то одно – уже хорошо)
• Базовые знания сетей, ОС, ИТ-инфраструктуры – без них совсем никуда
• Смотрите смежные области: разработчики, тестеры, администраторы
• Проверяйте способность мыслить нестандартно
• Рассказывайте про широту задач и потенциал роста
• Приводите примеры уже успешных сотрудников смежного возраста/ВУЗа
• Обязательно расскажите про программу обучения
• Софт-скилы – практически обязательное требование
Таким образом, вы сможете избежать грабель, если:
• Начнёте с процессов
• Не будете торопиться с технологиями
• Будете помнить, что в SOC очень важна команда и soft-skills
Если эта тема Вам интересна, есть возможность ознакомиться с полной версией выступления здесь:
Как не наступить на грабли при построении собственного SOC?
Материал от Романа Жукова, эксперта интенсива Код ИБ Профи