Бесплатно Экспресс-аудит сайта:

09.06.2020

Как обойти «подводные камни» при выборе SOC

Роберт Низамеев

Цифровая трансформация, переход в «облако», перевод непрофильных процессов на аутсорсинг стали трендами сегодняшнего ит-рынка. Поставщики уже предлагают платформы, с помощью которых можно набрать необходимое количество сервисов для поддержания и развития бизнеса любого размера.

Рынок услуг кибербезопасности - не исключение. Его основным направлением стало развитие сервисной модели SOC (SOC as a Service ), по которой заказчику предоставляются сервисы мониторинга и реагирования на компьютерные инциденты, анализа защищенности и управления уязвимостями, кибер-разведки, предоставления и эксплуатации средств защиты и мониторинга и прочее.

Несмотря на тренд «аутсорсинговых услуг», выбирая поставщика сервисов SOC, компании важно понимать, для решения каких задач он нужен - от этого будет зависеть не только результативность аутсорсера, но и безопасность компании, ради которой и обращаются.

Предлагаем порассуждать о «подводных камнях» в вопросе выбора SOC. В статье рассматриваются вопросы, на которые стоит обратить внимание, если вы задумались о привлечении сервис-провайдера и хотите организовать эффективную работу с ним.

Полностью довериться аутсорсеру и «брать оптом» всё, что он предложит

Иметь все сервисы — это, наверное, хорошо. Однако кто же будет отслеживать их работоспособность, контроль качества сервисов и уровень SLA? Зачастую у компании нет достаточного количества персонала, чтобы посадить за каждый сервис по человеку, который будет следить за поддержанием нужного качества сервиса и отрабатывать входящие заявки от аутсорсера, подтверждая легитимность события.

Лучше начать с малого и «есть слона по частям». Не получится сразу охватить всю инфраструктуру без риска повлиять на ее работоспособность (например, «положить» какой-нибудь бизнес-сервис) и вероятнее всего придется долго и упорно решать с внутренней ИТ-службой вопросы доступа к информационным системам.

Полностью отказываться от аутсорсинга сервисов тоже не стоит. Замыкая вопросы информационной безопасности только на внутренних ресурсах, вы рискуете столкнуться с такими проблемами, как:

  • Высокая зависимость от текучки квалифицированного персонала;

  • Сложность с регулярным обновлением средств защиты и внедрением новых направлений. Непрофильные активы и капитальные расходы на них тяжело согласовываются ТОП-менеджментом;

Выбирать сервисы без проверки на собственной инфраструктуре

Каждый сервис так или иначе надо отрабатывать на «пилоте», чтобы не было сильных расхождений в SLA и реальной работе. Опыт реализации пилотных проектов показывает, что с их помощью можно заранее обнаружить в организационных процессах и инфраструктуре компании некоторые проблемы, касающиеся применения сервисов по кибербезопасности:

  • Затяжное согласование с ИТ-службой задач, связанных с открытием доступа в необходимые информационные системы;

  • Наличие в компании нерегламентированных вопросов, например, использование RAT, которые можно вовремя исправить;

  • Сервисы, негативно влияющие на различные системы. Например, сканирование сети, способное «положить» устаревший web-сервис и т.д;

  • Недостаточный уровень зрелости компании в вопросах наличия необходимых средств защиты информации.

Проведение пилота позволит опробовать сервисы на собственной инфраструктуре, наладить процессы внутренних согласований, среди которых открытие доступа к целевым информационным системам, разработка и внедрение согласованной политики ИБ в отношении применения потенциально уязвимых программных решений, а также оценить эффективность сервиса на бизнес –процессах.

Выбирать сервисы только под узкие задачи и сегменты

Распространенная ситуация — воспользоваться сервисом только под выполнение одной контентной задачи, например, соблюдение требований регулятора. Однако комплексную безопасность компании это не обеспечит. В итоге сервисы киберзащиты станут не единой паутиной, покрывающей каждый сегмент сети в полном объеме. Они будут закрывать только часть ее. При этом в инфраструктуре широковещательно будут фиксироваться «аномалии» и странности во всех остальных сегментах.

При таких ограничениях стоит очень внимательно изучать фактическую область работы магического Kill Chain: может оказаться, что, если злоумышленник успешно реализует «убийственную цепочку», система, которую он атакует, в зоне вашего контроля просто не окажется. Защита не сработает по объективным причинам.

Сервис по мониторингу, но не реагированию

Многие провайдеры сервисов киберзащиты ограничивают свой функционал только мониторингом, подготовкой аналитической записки и корректировкой текущих сценариев детектирования. Для конечного пользователя сервисов SOC данная модель уже не актуальна. Недостаточно получить от внешнего или внутреннего центра мониторинга аналитическую записку с фактом «инцидента» и возможными рекомендациями. Компании требуются сервисы для «глубокого» анализа событий, обнаружения инцидентов, атак и реагирования на них.

Появляется необходимость дополнительных сервисов, например:

  • Use Case Management — управление сценариями мониторинга;

  • Threat Intelligence — мониторинг угроз во внешней среде;

  • Threat Hunting — поиск ранее неизвестных угроз;

  • Threat Knowledge Management and Dissemination управление уже собранной информацией об угрозах;

  • Vulnerability Analysis — анализ уязвимостей на применимость к инфраструктуре организации.

  • Orchestration and Automated Response — оркестрация событий безопасности и автоматическое реагирование;

Список можно продолжать – специализация сервис провайдеров и дифференциация услуг растёт.

Сервис-провайдер обещает «фантастические» сроки реагирования

Контроль выполнения SLA — первостепенная задача ИБ-службы заказчика. Сроки реагирования на компьютерный инцидент в «10 минут» – это утопия. Оценивайте, как скорость работы поставщика, так и скорость подтверждения инцидента со стороны своей службы ИБ/ИТ.

Зрелость SOС оценивается с помощью методики SOMM (Security Operations Maturity Model), одним из показателей которой является чётко регламентируемый и исполняемый SLA. Это принципиальный вопрос с точки зрения дисциплины внутри подразделения, который касается прежде всего ответственности людей за свою работу. SLA полностью определяет услуги и условия их предоставления.

Нет контроля эффективности сервиса по «Plan-Do-Check-Act»

Концепция PDCA в рамках сервисов киберзащиты ориентирована на дополнительные улучшения уже существующих процессов, а не на перестройку всего процесса защиты или построение его с нуля. Оценка эффективности сервиса позволяет выстроить процессы, уменьшая ложные срабатывания, отлаживая процедуру реагирования, как со стороны провайдера, так и со стороны заказчика.

Отказаться от стратегии и не учитывать реалии бизнес-процессов

Управление рисками при проектировании мер ИБ – обязательный атрибут для обоснования бюджета. Если вы не можете объяснить, что защищать и от чего защищать, то средства на это получить будет крайне сложно.

Помимо этого, в новых реалиях служба кибербезопасности должна стать основой цифровой бизнес-стратегии компании. Она должна заранее идентифицировать и минимизировать риски ИБ, применять комплексный подход к защите от увеличивающегося количества сложных угроз и таргетированных атак, учитывать рост ИТ-инфраструктуры, чтобы уменьшить вероятность негативного влияния на критически важные данные компании и непрерывность бизнес-процессов. Своевременная идентификация, локализация и ликвидация киберугроз SOC-центром — залог непрерывности бизнеса компании.

Перегружать «capex» или «opex»

ТОП-менеджмент очень неохотно начал смотреть в сторону перегрузки капитальных расходов для непрофильных направлений. Если вы сервисная компания по ИБ, то «capex» объясним. Сложнее здесь финансовыми организациями – бизнес привык считать или прибыль, или снижение убытков.

Поэтому, одним из направлений, которое должно понравится бизнесу, может быть эффективное использование модели SecAAS, HAAS — аренда средств защиты, как по подписке on-premise, так и в облаке.

С «орех» обратная ситуация – взяв всё по подписке вы рискуете остаться ни с чем в случае, если вам резко придётся «расстаться» с текущим аутсорсером.

Вместо вывода

Для работы с SOC действительно важно оценить свои проблемы, возможности и выбрать необходимые сервисы. Если вы не можете оценить ситуацию на 360 градусов, то привлекайте специалистов от сервис-провайдера. Эксперты именно здесь, на «потоке», набивают руку и получают огромный опыт, который позволяет им составлять четкие и эффективные процессы.

Рекомендуется, чтобы первым при выборе сервисов стал сервис анализа защищенности, потому что без текущей оценки ситуации в инфраструктуре тяжело выбрать эффективный подход к киберзащите. Второй и основной сервис мониторинг и реагирование на компьютерные инциденты, который станет основой для локализации и ликвидации компьютерных атак. Далее по модели зрелости Gartner – управление событиями безопасности, анализ сетевого трафика, обнаружение сложных угроз на конечных устройствах, поведенческий анализ пользователей и оркестрация событий и автоматическое реагирование.

Основной болевой точкой многих заказчиков остается вопрос доступа. Часто сервис- провайдерам достается только функция мониторинга и оповещения об инцидентах. Данная модель не совсем актуальна для конечного пользователя сервисов. Лучше использовать построение сквозных сценариев реагирования в процессах компании. Это позволит создать единые плейбуки и полное управление инцидентами со стороны компании. Процессы плейбука будут формироваться как SOC-ом, так и заказчиком, что позволит реализовать оркестрацию и автоматизацию.

Эффективность работы с аусторсинговым SOC можно оценивать, как в снижении капитальных расходов, так и снижении затрат на содержание персонала. Создание собственного SOC требует значительных финансовых и человеческих ресурсов, что не очень укладывается в бизнес-модель многих организаций, которые небезосновательно считают информационную безопасность непрофильной деятельностью.

В рамках цифровой трансформации многие компании уходят от стандартного «ресурсного» подхода в ИТ в сторону сервисной модели, когда непрофильные активы выводятся в отдельные сервисные-подразделения, которые становятся отдельной бизнес-единицей со своей бизнес-моделью. Кибербезопасность не является исключением. На базе существующих инфраструктурных и человеческих ресурсов создаются сервис-провайдеры, которые оказывают услуги по кибербезопасности как для внутренних заказчиков, так и для внешних потребителей. Бизнес-подразделение из разряда убыточного переходит в разряд зарабатывающего, в чём заинтересован и сам бизнес.

Но это уже другая история. Первым шагом должен стать выбор надёжного сервис-провайдера с прозрачной ценовой политикой и эффективной оценкой ваших текущих рисков.