16 Октября, 2013

Сколько людей надо для собственного SOC и CSIRT?

Алексей Лукацкий
Тема реагирования на инциденты сегодня является не просто модной, и не только описанной в нормативных актах, но и важной с практической точки зрения. Несмотря на внедряемые меры защиты и непрекращающуюся гонку вооружений, число инцидентов не снижается, а растет. Вдаваться в причины этого явления я не буду, я думаю стоит поговорить о другом - что делать, если инцидент произошел? Реагировать! Именно этому посвящен мой курс  и выложенная презентация . В них приводится немало полезной и практической информации о том, как выстраивать процесс управления инцидентами. И одним из безусловно важных вопросов этого процесса является: "Сколько человек необходимо иметь в корпоративном SOC/CSIRT?"

Если посмотреть на презентацию курса, то в ней есть следующие цифры:
  • 1 полностью загруженный «технический» сотрудник CSIRT может отработать 1 новый «усредненный» инцидент в день и 20 открытых и уже расследуемых инцидентов. Учитывайте, что это именно аналитик, который занимается обработкой инцидентов в течение 8-мичасового рабочего дня. Если аналитики должны работать в режиме 24х7, то вам понадобится не менее 3-х человек (без резерва на время болезни).
  • При реализации всего двух сервисов CSIRT (уведомления об инцидентах и обработка инцидентов) требуется задействовать 4-х человек.
  • При реализации полного спектра активностей только в рабочее время понадобится уже 6-8 человек, а в режиме 24х7 - уже 12 полностью загруженных сотрудников.
Не стоит думать, что CSIRT завалена огромным количеством инцидентов. Я не буду вдаваться в терминологические споры о том, что такое "инцидент", но по статистике CERT/CC 38% существующих CSIRT обрабатывают 1-3 новых инцидента ИБ в день. Еще 18% управляют 4-8-мью инцидентами в день. 18% готовы отработать более 15 инцидентов в день, а оставшиеся 10% - не более одного инцидента в неделю.

Немало людей. Вряд ли кто-то способен содержать такие службы у себя в штате. Но... есть и положительный момент. SOC и CSIRT - это не одно и тоже. SOC - это по сути витрина CSIRT, которая позволяет собирать и визуализировать данные от разнородных средств защиты и сетевого оборудования. От эффективности работы SOC зависит, сколько инцидентов будет спущено на CSIRT и насколько загружены будут аналитики группы реагирования на инциденты.

В более менее крупной организации с разветвленной ИТ-инфраструктурой в день от различных источников может поступать миллионы и даже миллиарды событий. Представьте, что у вас всего 100 ПК (я даже не говорю о сетевом оборудовании). Каждый ПК генерит одно событие в секунду (не важно какое). В день набегает 8 640 000 событий. А если приплюсовать маршрутизаторы, коммутаторы и точки доступа? "Сырых данных" действительно будет очень много. Отсечь просто события от событий ИБ должны помочь технологии SIEM или Threat Defense. Они же могут помочь скоррелировать события из разных источников и показать нарушения политики ИБ, разведку перед атакой, уязвимости и т.п. Таких событий должно быть уже несколько сотен тысяч в месяц. Добавляя контекстную информацию и собственноручно написанные правила можно сократить число нарушений до нескольких тысяч в месяц. И наконец оператор SOC должен иметь дело с десятком-других событий в месяц, которые являются подтвержденными инцидентами, требующими дальнейшего расследования и передачи в CSIRT. При хорошо настроенной системе сбора, анализа, корреляции и отсеивания информации для эффективного управления SOC достаточно одного квалифицированного человека. Не забыв про 8-мичасовую рабочую смену окажется, что SOC, контролирующий из центра всю корпоративную инфраструктуру, может быть обслужен от 1-го до 3-х человек.

Поэтому SOC - это вполне подъемная задача для многих компаний. Но если вы не готовы строить такую систему, то что делать? События ИБ надо же как-то собирать, анализировать и принимать решения. Можно поручить эту работу "SOC'у на доверии", т.е. отдать эту функцию на аутсорсинг. Не могу сказать, что в России эта услуга популярна, но и предложения не единичны. В частности я знаю о двух таких услугах от Инфосистемы Джет  и Step Logic . C реагированием ситуация похуже. Остается либо выстраивать процесс самостоятельно, либо привлекать внешние силы. Из небольшого множества CERTов в России, коммерческие услуги предлагает, пожалуй, что только CERT-GIB от Group-IB. Возможно в России в ближайшее время появится еще парочку CERTов. А пока решать вопрос реагирования на инциденты приходится самостоятельно...

ЗЫ. Кстати, посмотрите на результаты  опроса на тему "Что бывает после инцидента ИБ?"
или введите имя

CAPTCHA
17 Октября, 2013
Я к вам пишу - чего же боле? ... Дрозду расскажите о чем)))
В связи со служебной необходимостью, я читаю на этом сайте блоги уважаемых товарищей, посвященные вопросам ИБ. Не скажу, что всегда и во всем с Вами согласен, но фраза "об уровне культуры информационной безопасности в нашей стране", господина Дрозда, меню задела, возмутила и даже насмешила. Извините, Алексей Викторович, что пишу Вам. Вы выглядите тут главным... в шляпе, с бородой, явно, что Вы не рядовой блогер и надеюсь, доведете информацию до товарищей по перу. Господин Дрозд, о чем Вы говорите?! Откройте глаза, посмотрите вокруг! Полагаю, что Вы не попали под "чары" Руслана Гаттарова и прочих молодых людей, пиарищих себя на вопросах, от которых они так же далеки, как декабристы от народа. Говорить об уровне культуры ИБ в России, все равно, что говорить о гигиене общественного туалета на Киевском вокзале. Простите, что приходится Вам это разъяснять, но КУЛЬТУРА информационной безопасности должно базироваться на элементарной компьютерной грамотности населения. Хотя, на все "население" я слишком рьяно замахнулся... Мне порой кажется, что пора, как в 20 годы прошлого века, бороться с неграмотностью, но в сфере IT. Недавно, нам рассказали, как гуманитарии пытаются вставить свое веское слово в ИБ, но это только цветочки. Если раньше все в стране знали, как надо лечить и учить, то теперь все знают как нам "предохраняться" и сфере ИБ. Господин Дрозд, вы о чем? О какой культуре? Соберитесь честной компанией блогеров этого сайта, да купите школьный учебник по информатике, вот они корни КУЛЬТУРЫ. Что там пишут!! Страшно за детей и стыдно за учителей. «Уж коли зло пресечь, забрать все книги бы да сжечь.» - это именно про наши учебники. "... мы с этой проблемой по возможности боремся и написанием статей, и проведением бесплатных семинаров в десятках городов" - Вам, господа-товарищи, самим не смешно? Просветители Вы наши дорогие! А давайте пари? Спор "на щелбан", как у нас говорили, кто найдет больше ошибок в школьном учебнике информатике. Культура, культура... Ваши бы слова да, сами знаете кому, в уши. В Совет Федерации вы уже сходили, уровень культуры-мультуры подняли, ждем рассказов о том, чем Вас там "кормили". Мужики, а если серьезно, очень не хочется, чтобы опять весь пар не ушел в свисток. Давайте, пожалуйста, что то делать!! Уже пора!! Если Вас приглашают обсуждать проект приказа ФСБ, следовательно, с Вами считаются. Следовательно, Вы в авторитете у "большого брата". Или Вы такие же как Гаттаров? Не хочу в это верить. Должны же быть люди, адекватно оценивающие весь абсурд происходящего. За культуру! Поехали! … и не закусывать после первой!
0 |
  • Поделиться
  • Ссылка