Построение SOC в компании, как правило, требует больших затрат. И далеко не всегда есть нужный объём финансов, чтобы выстроить систему сразу на высоком уровне со всем необходимым оборудованием и технологиями. Однако сэкономить всё же можно. На чём именно можно сэкономить и как, порассуждали эксперты из «Ростелеком-Солар», Газпромбанка и МТС во время онлайн питч-сессии v. 2.0 «Опыт ошибок SOC: срывая покрывала».
«Это классическая шутка, что бесплатно можно, только будет дороже», — ответил на вопрос о возможности бесплатного построения SOC директор Solar JSOC «Ростелеком-Солар» Владимир Дрюков.
Затем он уже серьёзно добавил, что сейчас бы вообще не стал экономить на SOC и безопасности. Из-за перехода на удалёнку открылось много дыр в системах и безопасности. Например, использование личных устройств для подключения к корпоративным сетям показало, как много дыр может быть в инфраструктуре российских и мировых организаций, что во многих устройствах есть уязвимости BlueKeep, отсутствие второго фактора. «Часть даже АСУ ТП технологий и часть АСУ ТП процессов выносится на удалёнку. Мы очень открытые, в плохом смысле, для той стороны, тёмной части сообщества. И поэтому экономить на ИТ и безопасности сейчас себе в ущерб», — пояснил Владимир Дрюков.
Если же говорить, на чём точно не стоит экономить, то на экспертизе и людях. По словам эксперта, если взять к себе одного очень крутого аналитика, он может сделать работу полуавтоматизировнную, полуаналитическую, которая будет гораздо эффективнее, чем посадить 5 джуниоров в дежурную смену. «Не будет такой скорости реакции, возможно, но я знаю команды, которые делают большой кусов автоматизации вокруг процессов SOC, привлекают в работу SOC ИТ. Поэтому экономить на больших мозгах точно нельзя», о — сказал Владимир Дрюков.
В то же время можно немного сэкономить на технологиях, точнее аккуратно их выбирать. Потому что нет сейчас такой ключевой задачи собирать в себя все технологии и знания, которые есть на рынке. Надо на себя смотреть. Например, если в вашей компании основные риски связаны с рабочими станциями, то наверно, у вас нет задачи покупать сегодня NTA. Или если у вас весь веб-сервис, без личного кабинета, без всего прочего, его можно изолировать подальше от всех или визитку вообще в чужой ЦОД унесите и не заниматься защитой веба. «В каждом случае надо понять, чего ты боишься и какие риски ты защищаешь. И дальше ответ экономии придёт сам по себе», — заключил Владимир Дрюков.
С мнением, что на людях экономить не стоит и можно сэкономить на технологиях, согласился и начальник управления обеспечения информационной безопасности МТС Андрей Дугин. По его словам, если посмотреть, как развивается SOC, то первая стадия формирования — это сбор логов. Даже если у компании есть колоссальный бюджет на все новейшие технологии для построения SOC, без сбора всех необходимых логов внедрять какие-то новые технологии бессмысленно. «Если посмотреть те же современные технологии Big Data, ИИ и так далее, то самая большая ценность этих технологий, естественно, в алгоритмах. Но алгоритмы обязательно должны обрабатывать данные, поэтому какие бы ни были совершенные алгоритмы, если мы логи нормально не собираем, либо мы собираем их не везде, либо лог идёт неполный и идут пробои, то в этом случае может быть стоит направить финансирование в сторону качественного сбора той информации, которая нам нужна. А уже потом, следующим этапом через год-два, на технологии, которые обрабатывают эти данные», — высказал своё мнение Андрей Дугин.
Примерно этой же точки зрения придерживается и третий эксперт — заместитель начальника департамента Газпромбанка Евгейний Горбачёв. Однако он отметил, что тут всё зависит от целей компании и того, что она хочет. Например, если компания в первую очередь хочет выявлять какие-то сетевые аномалии и «пылесосить» весь Netflow, то вряд ли можно сэкономить на сборщике Netflow.
Конечно, есть вариант взять хорошего программиста, который сам всё напишет, засунет какое-нибудь open source решение, и, наверно, это тоже может сработать. Но за этот вариант никто поручиться не может.
«Все зависит от компании, от целей, от того, что мы в первую очередь хотим. А вообще лучше экономить аккуратно, и просто это делать постепенно, ставить себе планы, достигать их и переходить к следующим этапам. В итоге получится неплохое комплексное решение», — подытожил Евгений Горбачёв.
