Насколько технологии SOC доступны каждой организации?
На площадке AM Live состоялся прямой эфир «Как построить корпоративный SOC (Security Operation Center)», на котором эксперты обсудили различные аспекты создания собственного центра мониторинга информационной безопасности. Создание своего центра мониторинга позволяет взять под контроль процессы и накапливать собственную экспертизу, но и требует вложений. Приглашенные спикеры привели свои аргументы за и против строительства собственного SOC, а также рассказали об инструментах SOC и дали советы, как избежать типичных ошибок и сэкономить на EPS, лицензиях и аппаратном обеспечении.
В самом начале мероприятия развернулась дискуссия вокруг вопроса, следует ли малым компаниям выстраивать свои небольшие SOC или же это привилегия только для организаций с разветвленной инфраструктурой? Мнения экспертов здесь разошлись. Генеральный директор АО «Эшелон Технологии» Александр Дорофеев привел в пример данные из отчета SANS 2023 SOC Survey, указывающие на то, что половина корпоративных SOC обладает командой, насчитывающей от 2 до 10 человек. Однако руководитель SOC Консалтинг «Лаборатории Касперского» Роман Назаров выразил опасения, что в этом случае поток событий из небольшой инфраструктуры будет слишком маленьким, и у руководства может сложиться впечатление, что специалисты не загружены, следовательно, их отвлекут на другие задачи. Потенциально такая ситуация может привести к тому, что важное событие ИБ будет пропущено. Получается, что размер инфраструктуры имеет решающее значение для построения зрелого SOC. Тем не менее, как бы фантастически не звучала идея SOC из двух человек, она вполне может работать, считает руководитель центра сервисов информационной безопасности МТС RED Андрей Дугин. По его мнению, если выстроить сценарии реагирования таким образом, что инцидент при возникновении сразу же попадает в соответствующую команду, то система работала бы эффективно.
Некоторые спикеры, представляющие крупные коммерческие центры мониторинга информационной безопасности, озвучили такой аргумент против SOC из двух человек: «в этом случае невозможно вести мониторинг событий ИБ в режиме 24/7». На это Александр Дорофеев парировал тем, что любая кибератака – процесс не моментальный, и важно остановить ее не на первом шаге реализации, а до того, как будет принесен значительный ущерб. Круглосуточно же отслеживаются инциденты SIEM-системой, а людям необязательно присутствовать в офисе и смотреть в монитор, так в нерабочее время специалисты смогут подключиться удаленно.
Подвел черту под спором руководитель группы архитектуры SOLAR JSOC ГК «СОЛАР» Александр Кузнецов, заметив, что эффективность маленького и не круглосуточного SOC зависит от отрасли, в которой работает компания. Если речь не идет о публичных сервисах, которые доступны круглосуточно, то SOC не обязательно должен работать 24/7.
Как показал опрос AM Live, российские организации больше всего привлекает идея строительства собственного SOC в связи с желанием увеличить собственные компетенции (36%), иметь больше контроля (17%), выполнить требования регулятора (12%). Любопытно, что 17% респондентов считают строительство корпоративного SOC иррациональным желанием. Согласно второму опросу, для выстраивания зрелого SOC более чем половине компаний не хватает бюджета, трети – квалифицированных специалистов, еще 20% посетовали на недостаточную экспертизу по лучшим практикам построения SOC.
На онлайн-конференции прозвучали и лайфхаки, как удешевить построение собственного SOC. В первую очередь, необходимо проанализировать свои активы и смоделировать реалистичные сценарии атак, что позволит грамотно настроить SIEM, значительно сократить EPS, получая только релевантные события, и соответственно уменьшить затраты на лицензию. Не лишним будет и своевременно задать вопросы вендору о том, что «под капотом», чтобы понять нет ли там устаревших технологий или чрезвычайно требовательных к ресурсам opensource-решений.
Полная запись эфира доступна по ссылке.