BIS Journal №4(39)/2020

11 декабря, 2020

Почему вам нужен внешний SOC? Набор аргументов от «Информзащиты»

В нашем технологически ориентированном мире каждый бизнес, независимо от его размера, прилагает особые усилия для защиты своих конфиденциальных данных. Эти данные могут касаться персонала, клиентов, деловых партнеров, внутренних операций и многого другого. Но с ростом числа изощренных и целенаправленных кибератак стало сложно обеспечить безопасность инфраструктуры. Даже вероятность стать жертвой нападения возросла за последние несколько лет.

 

СОГЛАСНО СТАТИСТИКЕ

Согласно статистике нашего Центра мониторинга и реагирования на киберугрозы IZ:SOC, количество регистрируемых инцидентов возросло на 36% по отношению к началу 2020 года. Современным компаниям постоянно приходится работать над поиском надежных защитных стратегий от кибератак. Некоторые полагаются на себя и внедренные продукты, в то время как другие передают услуги по кибербезопасности на аутсорсинг в коммерческие SOCи.

 

БУДНИ

Типичные будни коммерческого Центра мониторинга и реагирования на киберугрозы (SOC) выглядят примерно так: часов в десять вечера, в бесконечном потоке легитимных DNS запросов движок TI отлавливает обращение на C&C сервер какого-нибудь очередного клона WannaCry. Аналитик, сделав дежурную проверку на false/positive и увидев некоторые странности в логах, эскалирует инцидент на уровень выше. Аналитик второй линии подтверждает высокую вероятность угрозы и сообщает об инциденте заказчику. Заказчик не реагирует. Во-первых, потому что в десять вечера у него просто некому реагировать. Во-вторых, потому что WannaCry – это что-то из аналитических обзоров и презентаций и никак не может случится в реальной жизни.

В лучшем случае, утром следующего дня команда внешнего SOCа получит от клиента сообщение, что подозрительный компьютер выключен и отправлен на переустановку. Только профессионализм и настойчивость специалистов центра реагирования, подключивших все возможные ресурсы, от сервис-менеджера до руководителя, не позволит спустить историю на тормозах. Заказчик, пройдя через стадию отрицания и сомнения до принятия факта и уровня опасности, согласится на предложенный план реагирования и проведет необходимые действия, чтобы предотвратить эпидемию в самом начале, еще до закрепления вредоносных программ в инфраструктуре компании.

 

SOC НУЖЕН

Возможен ли такой сценарий со своим SOCом? Конечно, если вы большая богатая компания. Таких компаний, где масштаб проблемы соотносится с возможностями их решения, не так много.

Я как директор Центра мониторинга и реагирования на киберугрозы IZ:SOC общаюсь с большим количеством представителей служб информационной безопасности компаний разного размера и разных секторов экономики. Существенная часть из них (согласно нашему исследованию 43%) считает, что SOC должен быть своим. 23% рассматривают вариант с внешним SOCом, и у 14% он уже есть. То есть, больше 80% компаний к настоящему времени не сомневаются в том, что SOC нужен.

Разногласия начинаются в вопросах: «зачем?» и «какой?».

 

РАЗ, ДВА, ТРИ

Во-первых, сейчас мы наблюдаем результаты волны маркетинговой популярности SIEM – систем сбора, обработки и хранения событий информационной безопасности. В свое время считалось, что SIEM чуть ли не серебряная пуля, обладать которой должна любая уважающая себя служба ИБ, после установки которой все хакеры разбегаются, только услышав название того или иного именитого вендора. Это не соответствует действительности. После полутора – двух лет эксплуатации приходит понимание, что SIEM всего лишь инструмент, причем крайне сложный и затратный в содержании и использовании.

Во-вторых, многие заказчики, которые находятся на начальной стадии строительства своих центров мониторинга, недооценивают сложность, бюджет и сроки, необходимые для достижения такого уровня зрелости ИБ, при котором сценарий реагирования внешнего SOCа, описанный в начале статьи, будет будничной рутиной внутреннего центра.

В-третьих, нет,к сожалению, четкого универсального определения, что, собственно говоря, есть SOC, какой функционал он может и что от него ожидать.

 

БАЛАНС

На самом деле, и поставщики услуг, и заказчики прекрасно понимают, что нужно делать для выявления и предотвращения атак и киберинцидентов. Вопрос заключается в балансе между реализацией функционала своими и внешними силами и финансовыми затратами на поддержания этого баланса. При этом, хочу отметить, что точка нахождения этого баланса не обязательно должна быть фиксирована. Скорее наоборот: с ростом зрелости информационной безопасности компании силы могут плавно смещаться в то или иную сторону. Например, выбирая стратегическое направление на строительство своего внутреннего SOCа и трезво отдавая себе отчет, что срок реализации такого проекта может доходить до двух лет, можно на это время часть функций отдать внешнему поставщику услуг, договорившись постепенно переводить функционал в службу ИБ компании, не теряя уровня сервиса.

 

ПРИДЕТСЯ ПЛАТИТЬ

Так, начав с полноценного внешнего SOCа, который реализует всё, начиная с мониторинга событий безопасности первой линией и заканчивая проведением расследований киберинцидентов третьей линией, вы можете по мере готовности переводить обработку инцидентов на вашу SOAR/IRPсистему, забирать на себя часть функционала 1-2-3 линий аналитиков, постепенно внедрять свой конвейер сбора, обработки и хранения логов. Нельзя забывать и о том, что внешний MSSPSOC, придя к вам в инфраструктуру, автоматом принесет с собой политики настройки источников событий и аудита, рекомендации по составу источников данных, методы по централизованному сбору событий и огромный пул сценариев и правил корреляции. За все это вы будете вынуждены платить ресурсами или деньгами во время строительства внутреннего SOCа, а оценить качество и эффективность получится только через 2-3 года после начала эксплуатации.

 

ПОХОЖЕ НА ТЕСТ-ДРАЙВ

На рынке информационной безопасности присутствует множество поставщиков MSSP-услуг, и вы, как при покупке автомобиля, можете попробовать разные машины, причем в режиме не часового тест-драйва, а реальной эксплуатации перед тем, как купите свою. Возможно, что в процессе вы поймете, что в условиях современного мира внешний сервис сравним по затратам и существенно эффективнее по качеству, чем свое собственное решение.

 

***

Итак, строите ли вы свой SOC, являетесь ли сторонником внешних сервисов или гибридной модели – взаимодействие с внешним центром мониторинга и реагирования на киберугрозы будет для вас полезным. Даже простое пилотирование одного или двух внешних SOCов уже даст понимание не только в различиях подходов, но и в том, что, собственно, вы хотите получить. Даже бесплатные пилоты SOCа длительностью не больше месяца могут вскрыть огромный пласт задач и проблем в части реализации функций ИБ, взаимодействия с ИТ и внешними подрядчиками, а также открыть ландшафт угроз и рисков в новой перспективе. Всё это само по себе дает отличный толчок к развитию информационной безопасности в компании на много лет вперед.

Смотрите также