В августе 2018 институт SANS опубликовал исследование The definition of SOC-cess? SANS 2018 Security Operations Center Survey. Его цель – выяснить, что же из себя представляют SOC в разных странах, каков их размер, набор инструментов, какие функции они выполняют сами, а какие отдают на аутсорсинг, и, в конечном счете, выявить критерии успешных SOC. Публикуем некоторые выдержки из исследования.
Введение
Скорость, с которой появляются новые уязвимости, угрозы и технологии для бизнеса, гораздо выше, чем скорость, с которой организации могут под них подстроиться. Однако опыт показывает, что сочетание выверенных процессов SOC, грамотного персонала и эффективных средств защиты отличает компании, которые практически не испытывают или сводят к минимуму ущерб от кибератак, от тех, которые несут существенные потери.
Результаты исследования SANS демонстрируют, что текущая удовлетворенность от продуктивности SOC весьма ограничена и нет единого мнения, что же такое успешный SOC и как к нему прийти. Согласно мнению большинства опрошенных в 2018 году, большинство SOC не соответствуют возложенным на них ожиданиям, хотя есть понимание, какие ключевые возможности должны быть представлены в SOC. Также можно отметить совпадение в оценке набора функций, которые должны осуществляться внутри SOC, а какие отдавать на аутсорс.
3 ключевых препятствия к повышению производительности и эффективности SOC, отмеченные респондентами:
- Отсутствие высококлассных специалистов — отметили 62% респондентов.
- Отсутствие метрик. Лишь 54% респондентов собирают метрики, при этом большинство метрик количественные, не имеющие прямого отношения к эффективности бизнеса. С непонятными (или отсутствующими) метриками сложнее убедить руководство, почему необходимо продолжать финансировать SOC и тратить бюджет на персонал и повышение его квалификации.
- Отсутствие инструментов автоматизации/оркестрации, интеграции средств и процессов/сценариев отмечают 53% опрошенных.
Другие три вывода касаются областей, где требуется улучшение процессов и инструментов SOC:
- Удовлетворенность от инструментов для обнаружения активов и инвентаризации самая низкая из всех используемых технологий в SOC. Невозможно защищать то, о чем неизвестно. Актуальное и точное выявление ПО и оборудования критически важно для комплексной задачи SOC по защите, обнаружению, защите и восстановлению.
- Несмотря на внедрение SIEM и продуктов по обработке big data, в большинстве случаев корреляция событий выполняется вручную.
- Низкая эффективность интеграции SOC/NOC. Многие организации создавали и поддерживали штат NOC в течение нескольких лет, и функции SOC и NOC частично дублируются или пересекаются. Более эффективная интеграция между ними могла бы помочь преодолеть нехватку ресурсов.
Согласно результатам опроса, SOC в большинстве случаев выступает как единый центр, предоставляющий услуги по обеспечению безопасности. Не смотря на то, что SOC централизованны, у них небольшой размер: типичный SOC (31%) состоит из 2-5 человек. 48% отмечает, что их SOC включает внутренних специалистов по реагированию.
Для повышения эффективности работы SOC следует сфокусироваться на следующих моментах: более качественный подбор и внутреннее развитие персонала; более подходящие метрики, демонстрирующие ценность SOC для организации; более полное понимание защищаемой инфраструктуры; более четкая согласованность как с NOC, так и внутри SOC с использованием инструментов оркестрации для обеспечения последовательности.
Согласно исследованию EY, около 48% из 1200 опрошенных не имеет своего SOC (опрос проходил среди крупных и средних компаний). Эти данные согласуются с опытом работы SANS с крупными компаниями. Если предположить, что в мире около 10 тыс. крупнейших компаний и SOC есть у 52% из них, то в мире насчитывается примерно 5,2 тыс. SOC. В данном исследовании SANS участвовали только представители компаний, имеющих свой SOC.
Возможности SOC
Что отдать на аутсорс, а что оставить себе?
Обычно возможность аутсорсинга рассматривается, когда не хватает персонала или он обладает недостаточной квалификацией. Передача на аутсорс функций SOC, которые требуют глубокого погружения во внутренние бизнес-процессы или приводят к изменению во внутренних системах, редко заканчивается успехом. По этой причине функции по управлению и планированию системы ИБ, а также устранение последствий атак остаются прерогативой внутренних служб.
Пентесты, red team и исследование угроз – функции, которые чаще всего частично или полностью передаются внешним провайдерам. Стоит отметить, что многие SOC в некоторой форме самостоятельно занимаются исследованием угроз (87%) и многие из них также в какой-то степени осуществляют пентесты (86%).
Использование фиолетовых команд (purple teams) упоминается реже всего, но все-таки встречается среди ответов. Фиолетовые – это комбинация пентестеров (red team) и защитников (blue team) с целью проверки уровня реагирования и оперативной готовности, а также выявления наиболее эффективных методов обнаружения в арсенале защитников.
Практически каждый SOC занимается реагированием (87%) и мониторингом (87%), а также проектированием и разработкой безопасности своих собственных систем (93%). Многие занимаются также проектированием и разработкой решений по безопасности систем в окружении (90%).
Размер SOC имеет значение
«Сколько нужно людей для SOC?» — один из очень частых вопросов. Подбор квалифицированных сотрудников – это непростая и дорогая задача. Руководство большинства компаний нацелено на сокращение собственных расходов на персонал и переход на покупку услуг.
По аналогии с подходом, который давно практикуется в IT для обоснования количества персонала, можно использовать соотношение количества узлов/систем или пользователей сети и количества сотрудников, необходимых для функционирования SOC. Однако при расчете штата SOC, следует учитывать еще несколько моментов:
- Угрозы в отношении компании или специфичные для сегмента рынка вследствие политических или локальных причин;
- Степень зрелости IT и общий уровень цифровой гигиены в компании;
- Чувствительность компании к воздействию на конфиденциальность, целостность и доступность;
- Требования к обработке и защите информации со стороны законодательства, отраслевых стандартов, третьих лиц;
- Ожидания от руководства и организации в целом в отношении скорости и возможностей SOC;
- Требования по оказанию услуг другим организациям;
- Частота внесения изменений в операционные системы и приложения;
- Доступный бюджет.
Эти факторы объясняют различия, почему у компаний схожего размера наблюдаются разные показатели. Например, компания, чье руководство фокусируется на минимизации рисков, будет вкладываться в совершенствование навыков персонала SOC и средств, а IT-служба будет минимизировать количество открытых уязвимостей. И это потребует большего числа сотрудников, занятых на полную ставку. Другая компания сопоставимого размера, чье руководство не придает большого значения безопасности, будет нанимать меньше сотрудников в штат. Как следствие, SOC у компании во втором примере вряд ли будет соответствовать критериям успешного и вести необходимые метрики, чтобы можно было бы оценить степень такого соответствия.
Согласно результатам исследования, типичный штат SOC составляет 2-5 человек.
Помимо размера самой компании, на численность персонала в SOС также влияет сфера ее деятельности. Если рассматривать различные сферы деятельности компании, то тут нет четкой корреляции между спецификой бизнеса и размером SOC.
Услуги
В современных условиях бизнеса внутренние услуги зачастую конкурируют с услугами от внешних поставщиков. Бизнес стремится ограничить размер штата, сохраняя собственный персонал только на ключевых бизнес-направлениях, поэтому IT и информационная безопасность все чаще становятся потребляемой услугой. Поэтому руководителям по ИБ нужно решить, как организовать и спроектировать SOC с учетом этого.
Большинство (54% респондентов) считают свой SOC внутренним поставщиком услуг для своей компании. 53% из 102 респондентов ответили, что использование внутреннего SOC является обязательным, а 29% заявили, что могут использовать услуги внешнего SOC.
Архитектура SOC
С организационной точки зрения SOC может быть полностью централизованным, полностью распределенным, и возможны любые промежуточные варианты. Выбор архитектуры должен определяться тем, как в компании выстроен процесс оказания и управления IT и бизнес-услугами. Самый худший вариант, когда отсутствует какая-либо структура, и почти 30% респондентов ответили, что в их компаниях работает неформальный SOC без определенной архитектуры.
Из тех респондентов, у которых есть определенная архитектура SOC, 39% заявили, что у них один централизованный SOC, 13% имеют как централизованный, так и распределенный SOC. Эти показатели близки к результатам исследования 2017 года.
7% планируют использовать услуги облачного SOC в ближайшие 12 месяцев. 47% планируют внедрять единый централизованный SOC, 7% полагают, что их SOC будет неформальным без четкой архитектуры.
Если ориентироваться на планы респондентов на ближайший год, то неформальных спонтанных SOC будет становится меньше, а пользователей облачных услуг SOC — все больше, на смену единым централизованным SOC придут территориально-распределенные.
Измерение эффективности SOC
Всего 54% респондентов ответили, что они собирают метрики, которые можно использовать в отчетах для отражения текущего статуса и эффективности деятельности SOC.
В то время как безопасники сетуют на то, что руководство не выделяет ресурсы на ИБ, CEO и CIO жалуются на то, что безопасники требуют увеличения финансирования, будучи не в состоянии аргументированно обосновать, сколько денег необходимо и насколько эффективны с точки зрения бизнеса были последние инвестиции в безопасность.
SOC собирают достаточно много цифровых данных по количеству уязвимостей, событий, инцидентов, атак, закрытых кейсов и т.д. Однако эти цифры имеют мало отношения к бизнесу, пока не будет прослеживаться четкая связь с предотвращением или сведением к минимуму ущерба для компании.
Те, кто измеряет эффективность деятельности SOC, отметили три ключевые метрики: количество обработанных инцидентов, среднее время от обнаружения до локализации и устранения, и количество инцидентов, закрытых за одну смену. Как раз вторая метрика – время от обнаружения до локализации, устранения, восстановления – могла бы быть очень полезной, если отслеживать ее динамику во времени и в привязке к сокращению периода простоя или другому воздействию на бизнес.
Технологии SOC
В SOC используется целый комплекс решений и инструментов, причем у каждого SOC этот набор свой. Многие SOC разрабатывают свои собственные инструменты, другие используют стандартные средства, которые кастомизируются и подгоняются под себя.
Исследование показало, что степень удовлетворенности респондентов многими средствами защиты довольно низкая. В целом, большинство опрошенных удовлетворены тем, как работают инструменты для предотвращения, выявления и реагирования. NGFW и веб-прокси получили максимальную оценку от респондентов по степени удовлетворенности. При этом инструменты для обнаружения активов и инвентаризации получили самую низкую оценку от 59% ответивших. Такой результат демонстрирует серьезную проблему с имеющимися продуктами в этой области.
Среди других популярных технологий, получивших низкие оценки, также отмечаются инструменты для предотвращения утечки данных, ИИ/машинное обучение и технологии deception. Хайп вокруг них привел к завышенным ожиданиям, которые на практике не оправдались.
Обозримость и осведомленность
Знание своей сети и инфраструктуры – важный приоритет информационной безопасности, дающий четкое понимание границ защиты. Учет активов позволяет SOC подсчитать ресурсы и разработать стратегии и процедуры по обнаружению инцидентов и реагированию, а также отслеживанию нормального и аномального поведения.
Респондентам предлагалось оценить, насколько полной информацией об активах они обладают. Большинство оценивает свою осведомленность на уровне 76-99%.
Однако в подавляющем большинстве случаев такой уровень достигается за счет ручных методов корреляции активов и их владельцев (проверка IP адресов, просмотр логов и т.д.). Это очень трудоемкий и длительный процесс, который не позволяет успевать за скоростью изменений ПО и оборудования в типичной сети. Только у 20 респондентов реализована полная интеграция между системами физической маркировки, аутентификации и SIEM.
Реагирование в SOC
Сигналом для начала реагирования чаще всего служат действия на хосте, а также активность в сети. Четверть респондентов считает, что сообщений только от средства защиты на конечных точках недостаточно для начала реагирования. Скорее всего, это связано с большим доверием к SIEM, так как конечные средства защиты генерируют много ложноположительных срабатываний.
Для корреляции и анализа событий, индикаторов компрометации и других данных, относящихся к угрозам безопасности, в подавляющем большинстве случаев респонденты полагаются на SIEM.
Согласно результатам исследования, реагирование является у подавляющего большинства неотъемлемой функцией SOC.
Слабые стороны современных SOC
Отсутствие квалифицированного персонала — наиболее частая причина, которая сдерживает возможности SOC. Почему же так сложно найти компетентного и квалифицированного сотрудника? По мнению авторов исследования, сложность заключается в том, что аналитик SOC должен иметь обширные знания и необходимый опыт, чтобы правильно интерпретировать данные, получаемые от SIEM и других средств защиты, а также понимать поведение и разбираться в бизнес-контексте, чтобы точно установить, что происходит нечто несанкционированное.
Среди других областей SOC, где требуется улучшение, отмечены: отсутствие инструментов автоматизации и оркестрации, отсутствие интеграции между различными средствами, отсутствие процессов и сценариев, а также обозримости в масштабах всей организации.
.jpg)
