Как не наступить на грабли при построении собственного SOC?

Материал от Романа Жукова, эксперта интенсива Код ИБ Профи

Код ИБ

Краткий конспект мастер-класса с закрытого выступления Романа Жукова на интенсиве для CISO Код ИБ Профи


Роман Жуков

Член экспертных и рабочих групп при Минкомсвязи и ЦБ РФ, спикер профильных конференций по информационной безопасности, автор статей для отраслевых СМИ.

Опыт работы в сфере информационной безопасности – более 10 лет. Свою карьеру начинал на стороне заказчика. Реализовал несколько крупных проектов по ИБ, работая в региональном интеграторе, прошел путь от инженера до начальника подразделения. Руководил коммерческим ИБ-направлением в телеком-операторе, решал задачи по развитию бизнеса в 13 регионах, выводил на рынок новые продукты.

В данный момент руководит центром компетенций в отечественной компании – производителе средств защиты информации, участвует в формировании глобальной стратегии развития компании, оказывает экспертную поддержку ключевым клиентам на территории России и за рубежом.

Компетенции:

Построение процессов информационной безопасности в организациях, проектирование и внедрение систем защиты персональных данных и государственных информационных систем, экспертное сопровождение ИБ-проектов и поддержка выстраивания стратегии кибербезопасности в крупных компаниях, комплексное управление внутренними потоками данных, поведенческая аналитика (UEBA), защита хранилищ данных, защита от DDOS-атак, безопасная разработка программного обеспечения (Security Development Lifecycle), соответствие российскому и международному законодательству в области обеспечения информационной безопасности.

Итак, 10 ключевых стратегий первоклассного SOC выглядят так:


Company team

 

Объединить функции мониторинга, выявления, реагирования, координации работы с инцидентами ИБ, а также работу с техническими инструментами защиты, оперативную работу и тех. поддержку на базе одного подразделения (SOC или CSOC)

Company team

 


Достичь баланса между размером, прозрачностью процессов и гибкостью управления с целью эффективного выполнения миссии SOC 

Company team

 

Получить достаточно реальных полномочий (власти), чтобы выполнять свою работу эффективно в рамках общепринятой орг. структуры и в соответствии с формальными бизнес-процессами, политиками, процедурами 

Company team

 

Определить скоуп и сфокусироваться на тех задачах, которые SOC выполняет (должен выполнять) лучше всего и «отрезать» лишнее 

Company team

 

При найме в SOC отдавать приоритет качеству персонала, а не количеству, особое внимание уделять «любви» к профессии, соблюдать правильный баланс hard и soft skills, предоставлять возможности для роста 

Company team

 

Выжимать максимум потенциала из каждой используемой технологии («настройка уже средств защиты»), обучать инженеров работе с ними 

Company team

 


Уделять особое внимание расстановке сенсоров и сбору данных в целом, чтобы максимизировать качество «сигналов» и минимизировать «шум» 

Company team

 

Следовать принципу «мой SOC – моя крепость и ответственность», но при этом создать прозрачную систему обмена сведениями с внешними (по отн. к SOC) системами, людьми 

Company team

 


Наладить двусторонний обмен данными (threat intel, incident tips, reports, signatures, etc.) с другими SOC 

Company team

 


Создать стратегию и подробный план реагирования на инциденты, четко следовать ему и не допускать паник

А роли и организационные модели (внутреннего) SOC могут быть такими:

1. Security team
Нет определенных обязанностей, формализованных процедур. В случае инцидента – «тушим пожары», результат – всегда разный. Обычно, не более 1 000 АРМ.

2. Распределенный (разрозненный) SOC
Само понятие SOC определено, но ключевые лидеры и маленькие команды – в разных подразделениях (IT и т.п.), их обязанности – не всегда работать с инцидентами. Такие небольшие группы способны действовать в рамках базовых процессов SOC, но сложные комплексные задачи отдаются другим подразделениям. Обычно, размер от 500 до 5 000 АРМ.

3. Централизованный SOC
Выделенная команда из аналитиков и инженеров по ИБ, сфокусированных на задачах по защите и работе с инцидентами. Возглавляется менеджером SOC, который доносит стратегию и тактику по реагированию до других подразделений. Обычно, размер от 5 000 до 100 000 АРМ. 

4. Комбинированный SOC (из п.2 и п.3)
Позволяет соблюдать баланс и привлекать необходимые компетенции из других подразделений по необходимости. Обычно, размер от 25 000 до 500 000 АРМ.

Что же в таком случае можно отдавать на аутсорс?

Для начала определите для себя ответ на ключевой вопрос – сформируйте цели и ожидания. Затем составьте список вопросов к поставщику SOC:

• Какие конкретно сервисы SOC вам нужны в первую очередь
• Каковы ваши ожидания от услуги в целом с учетом вашей инфраструктуры и состава средств защиты, достаточно ли их для полноценного сервиса
• Какие из процессов (например, детектирование, реагирование, расследование) вы действительно готовы отдать на аутсорсинг, и какова ответственность
• Насколько вы готовы предоставлять доступ к собственной инфраструктуре (а он точно понадобится в том или ином виде)
• Исходя из чего вы будете оценивать экономическую эффективность с учетом предложенных тарифов,

Аналитик SOC просто обязан:

• Определять реальную атаку по 1 сработке IDS и 1 логу
• Автоматизировать любую ручную операцию
• Строить временную шкалу событий, желательно в голове
• Определять важные сегменты трафика с помощью Open Source инструментов на всех 7 уровнях OSI
• Чувствовать приближение вредоносного ПО, сразу понять, как оно работает, и какой ущерб нанесет
• Определять ошибки конфигураций всего парка систем и сразу их исправлять
• Общаться внутри и вне команды на технические темы, с ТОП-менеджментов – на бизнесовые
• Уметь поставить себя на место злоумышленника и полностью воспроизвести все возможные варианты атаки

Что важно при найме в SOC?

• Внимательно смотреть как на образование, на опыт работы и на наличие сертификатов (что-то одно – уже хорошо)
• Базовые знания сетей, ОС, ИТ-инфраструктуры – без них совсем никуда
• Смотрите смежные области: разработчики, тестеры, администраторы
• Проверяйте способность мыслить нестандартно
• Рассказывайте про широту задач и потенциал роста
• Приводите примеры уже успешных сотрудников смежного возраста/ВУЗа
• Обязательно расскажите про программу обучения
• Софт-скилы – практически обязательное требование

Odoo • Image and Text


Таким образом, вы сможете избежать грабель, если:

• Оцените необходимость SOC (in-house, outsource)
• Оцените текущий уровень зрелости
• Начнёте с процессов
• Не будете торопиться с технологиями
• Будете помнить, что в SOC очень важна команда и soft-skills

Полезные TIPS: с чего начать SOC
 
• Убедитесь, что цели создания и ожидания от SOC четко определены, прописаны простым языком и понятны руководству
• Определите ограниченный скоуп задач, в которых задействованы компетенции команды SOC, остальные смежные задачи оставьте другим отделам/компаниям
• Используйте чужой опыт, заделы и готовые технологии: интегрируйте существующую команду из ИТ, используйте существующие инструменты и бюджеты, но всегда планируйте развитие
• Фокусируйтесь на технологиях для эффективной борьбы с угрозами, не позволяйте внедрять «красивый продукт ради продукта», выжимайте максимум из них
• Маркетинг SOC - немаловажная задача, подайте «красиво» процессы, оформление документов, помещений, ведь SOC – предмет для гордости всей компании
• Выделяйте «рок-звезд» и позволяйте им широко творить, автоматизировать деятельность
• Определите правила работы, прав на ошибки (в т.ч. SLA) и четко следуйте им, ведь «детские» ошибки могут дорого обойтись имиджу SOC
• Определите цели и стройте работу (в том числе реагирование на инциденты) в соответствии с миссией и бизнес-процессами компании
• Каждый элемент SOC важен, уделяйте им должное внимание (даже L1), набирайте и удерживайте лучших людей


Если эта тема Вам интересна, есть возможность ознакомиться с полной версией выступления здесь:


Посмотреть мастер-класс целиком