SOC-Форум Live – о практике SOCостроения
На первом «канале» SOC-Форума Live вторая половина дня была отведена представлению т.н. «Клиентского опыта построения и эксплуатации SOC’ов» и мероприятию, классифицированному как «питч-сессия», с названием, которое вполне объясняло отнесение контента мероприятия к категории 18+ – «Опыт ошибок SOC: срывая покровы».
Представленный «клиентский опыт» не мог направить мысль потенциальных SOCостроителей в русло иное, нежели аутсорсинг услуг SOC, полный или частичный (т.н. гибридный SOC). В пользу плодотворности такого пути говорили все без исключения доклады «клиентского» трека.
Государственной транспортной лизинговой компании, которая в 2019 году задумалась о необходимости SOC’а, аутсорсинг позволил уже через год сообщить о реализации в целом своих желаний. При этом компании удалось оставить на «боевом дежурстве» в составе SOC’а ранее внедрённую у себя SIEM, что было обязательным условием для сторонних киберзащитников.
О создании ситуационного Центра кибербезопасности на основе гибридного SOC’а рассказал начальник управления средств защиты ИТ-инфраструктуры Трубной металлургической компании. В качестве одной из важных задач, ещё не получившей своего окончательного решения, докладчик назвал создание метрик эффективности работы SOC’а. По его словам процесс тормозится появлением «нового уровня абстракций» при переходе на использование гибридного SOC’а, отсутствием общепринятых метрик измерения эффективности, а те, что предлагаются его подразделением не вполне удовлетворяют руководство, мыслящее бизнес-категориями.
Банк «Санкт-Петербург» поведал о том, как аутсорсинг помогает организовывать эффективные киберучения, о положительном опыте SOC-аутсорсинга было рассказано и в докладах представителей Леруа Мерлен Восток и ДИТ Москвы, но также общим для всех докладов было и то, что все выступившие организации не отказываются полностью от развития собственных ИБ-компетенций, как не происходит полной передачи ими данных, относящихся к сфере ИБ, «на сторону».
На питч-сессии была сделана попытка представить оборотную сторону опыта аутсорсинга услуг SOC’а, ведомую владельцам SOC-инфраструктур и SOC-персонала, предлагаемым в качестве аутсорсингового инструментария.
Если ранжировать опыт представителей МТС, ГК Innostage, компании Ангара и Solar JSOC, то в тех или иных выражениях в комментариях всех участников упоминалась важность выстраивания взаимоотношений со всеми заинтересованными сторонами, что лишний раз доказывает справедливость тезиса «базовые процессы надо сделать!», прозвучавшего из уст CISO Тинькофф Банка на «АнтиПленарке» 2.0.
Характерно, что выступавшие практически не затрагивали тему эффективности или неэффективности того или иного инструментария SOC.
Этот вопрос был лишь косвенно затронут в выступлении Владимира Дмитриева, руководителя направления киберзащиты CyberART ГК Innostage. Он рекомендовал не заниматься сдачей внаём своего персонала для обслуживания инфраструктуры закзачика, а заниматься полноценным аутсорсингом с использованием собственного инструментария.
А вот ещё одной темой, прозвучавшей столь же отчётливо, как и важность выстраивания взаимоотношений со структурами заказчика, оказалась тема заботы о персонале.
«Кадры решают всё!»
Этот тезис в виде рекомендации не экономить на персонале первым озвучил на питч-сессии Андрей Дугин, начальник отдела обеспечения ИБ МТС, и далее этого вопроса касались и Антон Юдаков из Solar JSOC, и Тимур Зиннятуллин из компании Ангара.
Персонал SOC’а должен работать в комфортном офисе, на больших дисплеях, с возможностью живого общения друг с другом, а не в условиях квартирной «удалёнки», когда в качестве рабочего места – ноутбук, а чат заменяет живое общение.
(1).png)