Специфика сервисных проектов SOC

Специфика сервисных проектов SOC

В современных реалиях большому количеству компаний становится слишком накладно содержать свой собственный центр мониторинга и реагирования на кибератаки (SOC), поэтому все большую популярность набирает модель SOC как услуги.

С точки зрения проектного управления, такие проекты требуют комбинированного подхода, так как к ним в полной мере не подходит ни классическая проектная методология, ни сервисная модель управления. На этапе формирования бюджета и внедрения SIEM-системы, с помощью которой будет оказываться услуга по мониторингу событий ИБ, и далее для выявления бизнес-потребностей и формирования перечня сценариев выявления угроз можно использовать классические методологии. После отладки услуги наиболее подходящей оказывается сервисная модель ITIL/ITSM. Но не все так просто, как кажется, проекты SOC вобрали в себя и объединили специфику всех возможных ИТ-проектов.

Давайте разберемся, в чем особенности проектов SOC.

Перед специалистами SOC стоит целый ряд задач:

• Постоянный мониторинг и анализ угроз.
• Предоставление рекомендаций по проактивному предотвращению угроз.
• Анализ инцидентов информационной безопасности.
• Фильтрация ложноположительных срабатываний и быстрая реакция на подтвержденные инциденты.
• Подготовка отчетов об актуальном состоянии ИТ-инфраструктуры.

Эффективность выполнения этих задач подразумевает под собой глубокое понимание бизнес-процессов клиента, поэтому за каждым клиентом должен быть закреплен аналитик, который постоянно держит руку на пульсе изменений клиентской ИТ-среды.

Следующий нюанс вытекает из предыдущего – услуга предполагает постоянную актуализацию. Изменение состава критичных средств защиты информации, политики безопасности клиента, изменение территориального распределения – все это требует пересмотра состава услуги. Компании, которые отдают столь чувствительный процесс на аутсорс, хотят, чтобы они получали то же качество и скорость услуги, как если они оказывали ее сами для себя, а значит, любые изменения должны быть зафиксированы и внедрены в максимально короткие сроки. Все запросы на изменения должны проходить через сервис-менеджера, как через службу единого окна, в свою очередь, со стороны сервис-менеджера необходимо регулярно устраивать синхронизацию с клиентом для обсуждения и контроля доработок.

Разнообразный состав средств защиты информации, подлежащий мониторингу специалистами SOC, требует от поставщика услуг широких технических компетенций по решениям различных классов. Для подключения средств защиты информации к SIEM-платформе, на которой оказывается услуга, и дальнейшего контроля стабильности работы их интеграции в связке с сервис-менеджером и аналитиком должен выступать инженер, технически ответственный за площадку клиента, для которого необходимо обеспечить ресурсную возможность привлекать для консультаций или нетиповых работ экспертов по СЗИ.

Нехватка комплексных ИБ-компетенций или наличие ложных убеждений со стороны клиента подразумевают под собой поиск баланса между не всегда обоснованными пожеланиями клиента и реальной пользой того или иного действия.Тут на помощь приходит проактивный подход – в виде предложений по контролю защищенности того или иного сегмента клиента со стороны поставщика. Таким способом можно поддерживать высокий уровень защищённости клиента и снизить издержки со стороны поставщика. Индивидуальный подход к клиенту – это неотъемлемая часть оказании сервиса.Как правило, компании, предоставляющие услуги SOC, являются крупными интеграторами в сфере информационной безопасности и могут предоставить клиенту дополнительные консалтинговые услуги по необходимой области. Что, в свою очередь, позволяет клиенту и команде SOC говорить на одном языке. «Побочным» эффектом проактивного подхода является неотвратимое повышение уровня ИБ-зрелости клиента, что не может не радовать.

Еще одним моментом, на который стоит обратить внимание, является длительность проектов SOC. Если клиента устраивает качество, проект может не иметь точки завершения, потому что смена поставщика услуг очень трудозатратный процесс, а с точки зрения информационной безопасности, есть вероятность на момент перехода оставить инфраструктуру незащищенной.

Проще говоря, если компания решилась на подобные услуги, то они должны оказываться непрерывно, а смена поставщика услуг влечет за собой определённые риски информационной безопасности.

При таком длительном и постоянном взаимодействии коммуникация становится менее формальной. Чтобы избежать конфликтных ситуаций, как уже было сказано выше, все запросы должны транслироваться через единую точку входа, которой выступает сервис-менеджер услуги, даже при условии высокой лояльности между клиентом и командой.

Все эти особенности требуют от всех членов команды не только высокого уровня экспертности, но и обязательного наличия soft skills. Одних технических навыков для оказания услуги SOC недостаточно. Поставщик выступает в роли надежного лечащего врача всей ИБ-среды клиента, такое интенсивное взаимодействие предполагает наличие навыков фасилитации, проактивности и слаженного взаимодействия. Так как на рынке существует дефицит высоко квалифицированных специалистов в области мониторинга и реагирования на кибератаки, то при подборе всегда приоритетными будут hard skills (технические компетенции). В таком случае дополнительное регулярное проведение бизнес-тренингов для развития коммуникационных навыков членов команды SOC является обязательным условием для поддержания высокого качества услуги.