Сколько стоит SOC?

Автор: Екатерина Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет»

С каждым годом всё больше компаний задумывается о построении Центра управления инцидентами ИБ (SOC, Security Operation Center), и сегодня на фоне громких массовых атак и новых требований со стороны регуляторов по мониторингу ИБ и подключению к ГосСОПКА, можно говорить о пике интереса. Не зависимо от того собираетесь вы строить SOC для управления инцидентами собственной компании или планируете оказывать услуги на коммерческой основе в целом структура затрат будет одинаковой. Основные составляющие – это техническое оснащение, в основе которого SIEM-система, необходимая для сбора и корреляции событий ИБ, работы по внедрению, настройке, процессному обеспечению и штат квалифицированных специалистов, необходимый для мониторинга и выявления инцидентов ИБ, а также расследования и своевременного противодействия.

Для примера возьмем организацию со средней инфраструктурой, скоуп подключаемых к SIEM источников на данном этапе – не более 50, основные типы источников: AD, серверы DHCP и DNS, ОС, сетевое оборудование, AV, FW, IDS. Чтобы очертить границы работ, на первом этапе будем ориентироваться на настройку 30-ти базовых сценариев выявления инцидентов, считаем, что SOC должен функционировать в круглосуточном режиме. Посмотрим, во сколько обойдется SOC для такой компании с учетом капитальных ( CAPEX ) и операционных расходов ( OPEX ). Приведенная методика оценки затрат может помочь при бюджетировании темы SOC и при расчете целесообразности использования услуг аутсорсинга.

Капитальные затраты

Самая дорогая составляющая капитальных затрат – это лицензии SIEM. Схема лицензирования основных производителей SIEM определяется потоком EPS (количество событий в секунду, которое поступает в SIEM от информационных систем и средств защиты), который в свою очередь зависит от количества и типов подключаемых источников. В целом связь простая: чем больше и разнообразнее инфраструктура, в рамках которой планируется выявлять инциденты безопасности, тем выше затраты – дороже лицензии, больше объем работ. Мы рассматриваем SOC в самом узком понимании и не учитываем весь возможный скоуп технических средств для обнаружения атак и угроз, такие как IPS, сканер уязвимостей, UEBA, honeypot и пр.

Основные статьи капитальных затрат для нашего примера приведены в таблице Табл.1., нужно обратить внимание, что помимо закупки техсредств, для организации SOC требуется серьезный объем работ, про который нужно помнить и учитывать в оценке.

Табл.1. CAPEX

Итоговое значение CAPEX даже для нашего примера может варьироваться от 10 млн. рублей условно до бесконечности. Такой разброс цен связан с тем, что стоимость SIEM платформы разных производителей отличается в разы, отличается трудоемкость работ по их настройке, плюс ко всему часть работ компания может выполнить собственными силами. Для дальнейших расчетов предположим, что наши капитальные затраты получились равными 30 млн.руб.

Операционные расходы

Основные расходы и организационные сложности, как правило, приходятся именно на операционную часть ( OPEX ). В первую очередь это кадровая проблема, т.к. для выполнения всех функций SOC нужна команда узкопрофильных квалифицированных специалистов: группа мониторинга, группа реагирования на инциденты, аналитики ИБ, администраторы SIEM и т.д. В основном, это дорогостоящие эксперты, которых сложно найти на рынке. Необходимый штат SOC зависит от масштаба подключаемой инфраструктуры и объема работ. При оценке необходимого количества специалистов, занимающихся непосредственно операционной деятельностью по обработке событий ИБ, нужно ориентироваться на расчетную плановую нагрузку. Например, для оценки численности группы мониторинга берется ожидаемый поток событий ИБ ( N_i ) и среднее время обработки 1 события ИБ (), далее рассчитывается общая плановая трудоемкость группы в человеко-днях ( T ):

и уже исходя из этого необходимое количество специалистов. Под событием ИБ понимается срабатывание корреляционных правил SIEM, не путать с EPS. Значения берутся с некоторым запасом, чтобы заложить возможность обработки пиковых нагрузок на SOC. Иначе SOC будет нормально работать только в спокойный период, а во время кризиса, когда он больше всего нужен, просто захлебнется.

Количество специалистов ( С ) определяется, как

где 250 – это количество рабочих дней в году 1 специалиста;

0,7 – коэффициент учитывающий 70% продуктивную загрузку специалистов (отпуска, болезни, время на самообразования и пр.).

Например, если плановая трудоемкость в год получилась равной 1000 человеко-дней, для организации группы мониторинга потребуется минимум 6 операторов:

В нашем случае, на первом этапе предлагается объединить роли специалиста мониторинга и реагирования в одну группу и определить ее общую численность. Ожидаемый поток событий ИБ для нашего количества источников  = 1500-3000 событий в год, среднее время обработки 1 события ИБ возьмем равным  = 30 мин=0,0625 человеко-дня, получаем максимальную плановую трудоемкость группы:

Необходимое количество специалистов:

Для режима 5х8 двух специалиста было бы вполне достаточно. Но мы говорили, что SOC должен функционировать в круглосуточном режиме, и здесь, к сожалению, двумя специалистами не обойтись. Для составления графика сменности с учетом требований Трудового кодекса о нормативах рабочего времени специалистов мониторинга и реагирования придется нанимать в количестве не менее 5. Помимо прочего, смены длиннее 8 часов негативно сказываются на внимательности операторов SOC.

Количество прочих специалистов SOC, таких как руководитель SOC, аналитик, технический эксперт, определяется индивидуально исходя из планируемой архитектуры и места команды SOC в организационно-штатной структуре компании.

Для нашего примера получаем следующий состав штата SOC:

• руководитель SOC - 1 специалист;
• аналитики SOC - 1 специалист;
• технические эксперты -1 специалист;
• администраторы SIEM -1 специалист;
• группа мониторинга и реагирования 24х7 - 5 специалистов.

Лучшей практикой является резервирование уникальных компетенций. Если какая-либо компетенция/роль закрывается одним специалистом, необходимо предусмотреть вариант подмены на время отпусков, болезней, увольнения. В нашем случае с целью оптимизации затрат ограничимся минимальным штатом. В ночное время будут организованы дежурства технических специалистов, и предусмотрена оплата возможных переработок.

Определив итоговое количество специалистов SOC, переходим к оценке их стоимости для компании. Пример детальной оценки стоимости одного сотрудника для компании с учетом всех составляющих, налогов, социального пакета и пр. приведен в Табл. 2. Расчет сделан для специалиста группы мониторинга и реагирования с заработной платой 75 000 р. в месяц.

Табл. 2. Стоимость сотрудника для компании

Грубую оценку можно получить умножением заработной платы сотрудника на коэффициент 2-2,5.

По аналогии оцениваем стоимость остальных сотрудников SOC. Помимо штата, операционные расходы включают затраты на продление вендорской поддержки оборудования и ПО и поддержку интегратора (если она приобретается). Итоговая оценка операционных затрат (OPEX) для нашего примера приведена в Табл.3.

Табл.3. OPEX

Но т.к. операционные расходы рассчитываются в настоящий момент времени на долгосрочную перспективу, необходимо учитывать будущие денежные потоки по отношению к текущей стоимости денег. Чтобы учесть изменение стоимости денег во времени хотя бы из-за инфляции, применяется понижающий коэффициент с учетом ставки дисконтирования. Операционные расходы с учетом снижения стоимости денег в будущем определяются как:

где Х – срок планирования, годы;

d – ставка дисконтирования в год, , которая учитывает изменение стоимости денег во времени, уровень инфляции, норму доходности инвестора.

В нашем расчете при оценке OPEX ставку дисконтирования можно применить к стоимости продления лицензий на последующие годы и стоимости поддержки ИТ-интегратора. Это имеет смысл делать в том случае, если эти суммы существенны и фиксируется на весь срок планирования.

При оценке операционных затрат на штат ставку дисконтирования учитывать не нужно, так как заработная плата персонала, как правило, подлежит ежегодной индексации и коррелирует с инфляцией.

Совокупная стоимость владения, сравнение с аутсорсингом

Получив и капитальные (CAPEX) и операционные расходы (OPEX), можем определить совокупную стоимость владения SOC ( ТСО ), например, в расчете на 3 года:

где Х – срок планирования, в нашем случае 3 года;

Совокупная стоимость владения SOC для нашего примера на 3 года получается равной:

Теперь, когда у нас есть понимание всех затрат на SOC, можно сопоставить их со стоимостью аутсорсинга. Как правило, в первый год, стоимость аутсорсинга выглядит очень привлекательно, т.к. собственные капитальные затраты слишком велики. TCO на 3 года позволит сравнить затраты в долгосрочной перспективе и принять взвешенное решение.

Для небольших компаний имеет смысл присмотреться к полному аутсорсингу, когда услуги SOC предоставляются в виде облачного сервиса. Это позволит обеспечить быстрый старт, полностью избавиться от CAPEX и получить предсказуемое качество услуг. Но в этом варианте, есть немало рисков и о них нужно помнить, т.к. зависимость от поставщика услуг - 100 %. В первую очередь необходимо заранее проработать «пути отхода», если вдруг возникнет необходимость смены провайдера, например, по причине низкого качества или высокой стоимости. Необходимо сформировать список резервных компаний, чтобы максимально сократить время на поиск нового аутсорсера, четко сформулировать требования к срокам передачи и полноте документации и т.д.

Менее рискованный подход – построить всю инфраструктуру у себя и только некоторые функции передать на аутсорсинг. Такой вариант подходит не только маленьким компаниям, но и большим организациям в начале пути построения SOC. Во-первых, это в большинстве случаев позволит сократить расходы, особенно, если требуется режим работы 24х7. Во-вторых, это позволит набраться опыта у поставщика услуг, проанализировать процессы, сделать выводы и, в последствие, когда SOC вырастет и свой штат станет целесообразным, применить весь полученный опыт и не допустить «ошибок новичка».

Формирование тарифов на услуги аутсорсинга SOC

Если вы планируете строить SOC не только под свои задачи, но и собираетесь оказывать услуги дочерним предприятиям или клиентам, встает вопрос окупаемости затрат и формирования тарифов на услуги.

Этот вопрос может быть актуален для крупных холдингов, где наблюдается тенденция создания корпоративных центров компетенций для решения узкопрофильных задач, в том числе и для решения задач по мониторингу и реагированию на инциденты ИБ. На базе центра компетенций строится полноценный SOC, к которому по аутсорсинговой модели подключаются другие бизнес-единицы компании. Также это может быть актуально для компаний, которые планируют строить коммерческие корпоративные центры ГосСОПКА и оказывать услуги по мониторингу и обнаружению атак на договорной основе.

Для оценки ТСО таких SOC можно использовать описанную выше методику, с учетом объема инфраструктуры потенциальных «клиентов». При определении совокупных затрат нужно ориентироваться на срок инвестирования не менее 3-5 лет. Желание вернуть инвестиции быстрее приведет к формированию завышенных тарифов и потере конкурентоспособности. Для оптимизации разовых затрат целесообразно рассмотреть MSSP-схему закупки лицензий, когда оплата за лицензии производится на ежемесячной/ежеквартальной основе из расчета фактического потребления (Pay as You Grow). Такой вариант сейчас есть у многих производители SIEM-систем.

Для монетизации SOC необходимо сформировать тарифы на услуги таким образом, чтобы при подключении целевого количества клиентов все затраты окупились в течении срока инвестирования. При этом нужно учесть и ежегодное дисконтирование денежных потоков. Дисконтированный доход на X лет определяется как:

где d – ставка дисконтирования в год, %;

–доход через t лет, руб,

т.е. с каждым годом доход по отношению к сегодняшней стоимости денег из-за инфляции будет уменьшаться. Чтобы учесть этот эффект в расчетах при формировании тарифов нужно применять повышающий коэффициент ( K ). Допускается упрощенный его расчет по следующей формуле:

Посмотрим, как это выглядит на практике. Возьмем за основу услугу мониторинга и выявления инцидентов ИБ. Данная услуга заключается в подключении клиентов к SOC, обработке получаемых событий ИБ, их анализе и информировании клиентов в случае обнаружения инцидента. Стоимость услуги мониторинга удобно формировать в зависимости от типов и количества подключаемых источников, т.к. это влияет на стоимость платформы SIEM и трудоемкость работ. А если точнее, в зависимости от потока EPS, который соответствует каждому типу источника. За основу тарификации предлагается взять базовую стоимость услуги для 1 EPS (Z eps ), и далее, зная перечень источников клиента и соответствующее ему количество EPS, формировать итоговую стоимость услуги.

Стоимость услуги для 1 EPS ( Z eps ) можно получить, разделив все затраты ТСО с учетом повышающего коэффициента на расчетное количество EPS ( V eps ), которое закладывалось в спецификации SIEM. Таким образом,

где Х - срок окупаемости (в годах). Дополнительно учитывается норма прибыли, установленная в компании и повышающие коэффициенты для высоких параметров SLA.

Оценка стоимости услуги для конкретного клиента может выглядеть следующим образом:

Приведен самый простой подход c допущениями, что ТСО SOC считается сразу под весь объем клиентов, и, что предоставляется только услуга мониторинга. На практике же построение SOC и подключение клиентов происходит постепенно и вариативность услуг на базе SOC, как правило, достаточно большая, поэтому финансовая модель должна учитывать этапность и возможное распределение костов между различными услугами.