29 Мая, 2017

Нужен ли вам SOC?

Angara Technologies Group
                                                            «Каждый мужчина должен посадить дерево, построить дом, вырастить сына.
                                                            Каждый ИБ-профессионал – посадить преступника, построить SOC, вырастить
                                                            подразделение ИБ». :)
           На прошлой неделе состоялся Международный форум по практической безопасности Positive Hack Days VII (PHDays) – одно из самых заметных событий в области информационной безопасности России. Наша компания с года основания выступает спонсором Форума, в этот раз на PHDays мы решили отразить свое отношение к SOC (Security Operations Centers — Центрам оперативного управления ИБ), выступив с докладом в секции «Эволюция SOC — 2017: план развития».  В секции выступали с докладами представители компаний, имеющих реальный опыт в построении и эксплуатации центров оперативного управления ИБ — как внутренних, так и созданных для заказчиков.
           Дмитрий Пудов (технический директор компании Angara Technologies Group) в своей презентации «Нужен ли Вам SOC?» постарался ответить на интересующий собравшуюся аудиторию вопрос о необходимости запуска проекта по созданию SOC и рассмотрел алгоритм осознанного принятия решения о запуске проекта.

7570755c6f8a40e7aace52ebc5b7d7b8.gif

        На наш взгляд, с точки зрения бизнеса существуют следующие предпосылки для создания Центра оперативного управления ИБ:
•                 Компании требуется повышение устойчивости бизнес-процессов и бизнес-инфраструктуры.
Ключевой тезис для бизнеса. Владельцы бизнес-процессов и бизнес-инфраструктуры, должны быть информированы об операционных рисках, связанных с угрозами ИБ, и их влиянии на бизнес. Если руководство компании обращает внимание на необходимость повышения устойчивости бизнес-процессов и бизнес-инфраструктуры, то стоит рассмотреть создание SOC в качестве ответа на существующие вызовы ИБ.
•                 Компания обладает развитым ландшафтом ИБ.
Существенные капитальные затраты в ИБ приводят к тому, что бизнес требует обоснования инвестиций и повышения эффективности как самих подсистем, так и процессов сопровождения.
•    Процессы ИБ формализованы, требуется их унификация и оптимизация, необходимо внедрение новых сложных процессов (например, threat hunting).
Рост операционных затрат также может указывать и подталкивать компанию к решению о создании SOC. В рамках проекта по его созданию обычно производится реинжиниринг процессов и их оптимизация, что может «перезагрузить» существующие процессы и операции и повысить их эффективность.
•                 Вам требуется унификация процессов с ИТ.
Еще один немаловажный аспект, который может заставить вас задуматься о необходимости запуска проекта. Унификация и SOC могут позволить компании выстроить совместные процессы с ИТ.
          Проект по реализации SOC имеет горизонт планирования, сопоставимый с реализацией стратегических целей компании, поэтому вам необходимо не просто заручиться поддержкой руководства, а получить одобрение на долгосрочный проект. При принятии решения о старте проекта необходимо ответить на следующие вопросы:
•    ИБ является стратегически важным направлением для компании?
•    Достаточно ли у компании ресурсов?
•    Компания зрелая с точки зрения процессного подхода?
        Если вы ответили отрицательно хотя бы на один из этих вопросов, то риски реализации проекта под большой угрозой. Ваше желание реализовать этот проект не должно превалировать над объективной оценкой возможности довести проект до стадии, когда он будет демонстрировать понятные бизнесу результаты. Признание вопросов ИБ стратегически важными для компании позволит вам повысить приоритет проекта и задач, связанных с его реализацией, а также получить необходимые ресурсы. Очень важно адекватно оценивать ваши бюджетные возможности при планировании SOC. При реализации проекта могут потребоваться существенные инвестиции в персонал, технологии и работы, связанные с выстраиванием необходимых компании процессов. И здесь кроется очередная ловушка – реализация SOC в незрелой с точки зрения процессного подхода компании могут превратить этот проект в нереализуемый на практике.
             При реализации SOC вы можете рассматривать различные модели (представлены на схеме).
cc0adc33840df0238590efff7f079497.png


    По нашему мнению, крупные компании, столкнувшиеся с киберугрозами, наиболее четко понимают необходимость SOC и предъявляют наиболее широкие требования к реализуемым им функциям. Центр оперативного управления ИБ в крупных компаниях, как правило, включает в себя разнообразные технологические решения, проработанные процессы и высококвалифицированную команду. Для этих компаний более целесообразным представляется развитие собственного SOC (SOC on-premise). На ранних этапах компании могут рассматривать быстрый запуск SOC в виде услуги (SOC as a Service), с последующим переносом функционала к себе на площадку, так как провайдеры не смогут предоставить необходимую гибкость процессов и их унификацию с процессами компании. Достаточно распространённой мировой практикой является передача части функций SOC провайдерам услуги, это может быть связанно с отсутствием в компании редкой экспертизы или с получением более выгодной услуги от провайдера для выполнения рутинных операций. В таком случае компания использует более гибкую гибридную модель SOC.
            Компании средних размеров, как правило, осознают необходимость SOC, но для них основные задачи SOC – это выявление инцидентов и реагирование на них, а также контроль за выполнением требований ИБ (внутренних и требований регуляторов). SOC представлен всем набором компонентов – технологии, процессы, выделенный персонал. Для принятия решения относительно необходимости развёртывания SOC или использования услуг SOC необходима детальная оценка требований и ожиданий компании от SOC. В зависимости от задач, для некоторых может оказаться выгоднее использование собственного SOC (скорее гибридного SOC), для других – использование SOC как услуги.
    И напоследок ещё раз хочется напомнить, что SOC – это не вся информационная безопасность! Ваш профессионализм заключается не в количестве построенных за вашу карьеру SOC, а в том, насколько успешно и эффективно вы боретесь с угрозами ИБ.
comments powered by Disqus