Готов ли ваш SOC обеспечивать безопасность в цифровой эре?
Мой новый знакомый Cloud DevOps Василий каждый день до обеда готовит Cloud Formation скрипт, который после обеда сам создаёт в AWS десятки, а иногда и сотни серверов. Василий делает это не первый год, что наводит на мысль: кажется, мы не заметили революции, которая давно и как-то незаметно свершилась.
Мы привыкли мыслить скоростью изменений порядка 5–10 новых активов в сети в день, а их сегодня – десятки, сотни, а иногда и тысячи. Мы едва успели понять, что такое Cloud и DevOps по отдельности, а уже появились Cloud DevOps (Infrastructure as a Code),и теперь большинство традиционных SOC-практик резко устарели.
Но не так уж всё и плохо. Именно в России изменения ещё не очень заметны, поэтому вполне есть несколько лет, чтобы подготовиться. Например, для начала оценить готовность своего SOC к новой цифровой эре. Для этого автор подготовил чек-лист, использующий наиболее популярные среди крупных мировых компаний практики и технологии (рис. 1).
Баллы начисляются следующим образом. За каждый ответ 1 баллы не набавляем (0 баллов), за ответ 2 – 2 балла, ответ 3 – 3 балла, ответ 4 – 4 балла, за ответ 5 – тоже 4 балла. После сложения полученных баллов ваш SOCможно отнести к одной из следующих категорий.
36–48 баллов – уровень Альфа – идёт в ногу со временем, иногда опережает. Автор подозревает, что это SOC Yandex или крупной мировой ИТ-компании.
25–35 баллов – уровень Бета – хороший задел, если год-два продолжать в том же темпе, то SOC будет готов к новым вызовам.
13–24 балла – уровень Гамма – классический on-premise SOC. Пора подумать о модернизации: поговорить с коллегами, куда будет двигаться компания, прикинуть, где брать людей, оценить готовность ранее приобретённых технологий к новой реальности.
До 12 баллов – уровень Дельта – поставленный в 2007 году под PCIDSSSIEM сложно назвать SOC. Может, пока использовать услуги внешнего SOC? Самостоятельный путь может занять 5–7 лет.
Что дальше? Допустим, решение о модернизации SOC принято. Вот что может сделать для повышения зрелости своего SOC представитель каждого из уровней.
Уровень Альфа. Вступить в клуб по интересам, обмениваться лучшими практиками. Например, вступить в telegram-группу cloudrobotsoc, подписаться на awssecurityblog.
Уровень Бета. Убедитесь, что у вас есть доступ к экспертизе Cloud DevOps, что ваш SOC в состоянии поспевать за auto-scaling-алгоритмами, что SOCплотно интегрирован соstaging-средой и готовится к cloud remediation.
Уровень Гамма. Нужно выровнять стратегию развития SOC с планами как самой стратегии, так и конкретных заинтересованных сторон. Желательно выделить инновационную «песочницу» и начать отрабатывать в ней современные подходы к контролю цифровой среды и обнаружению атак.
Уровень Дельта. Выберите сервис-провайдера, который станет вашим гидом в мире CLOUD-ROBOT SOC, определите «низко висящие фрукты» с точки зрения их реализации и ценности для организации и последовательно меняйте способности своего SOC в лучшую сторону.
Путешествие в цифровую страну закончится хорошо не для всех. Тот, кто будет пассажиром, может оказаться высаженным по дороге, кто станет паровозом – получит много новых возможностей для познания, совершенствования и карьеры.
