Уберизация SOCов

Уберизация SOCов
Несмотря на то, что Uber появился относительно недавно, бизнес-модель этой компании заслужила отдельного названия, "уберизация", о которой я и хотел сегодня поговорить применительно к SOCам. Но будем патриотами, и заменим в рамках обсуждения Uber на более привычный многим Яндекс (на суть это не влияет).

Итак, представим, что нам нужно добраться из точки А в точку Б на автомобиле. У нас есть три возможности:

  • Собственный автомобиль. Удобный и полностью контролируемый способ передвижения. Но и самый дорогой из всех.
  • Аренда автомобиля, например, через Яндекс.Драйв. Этот вариант дешевле собственного авто, но бензин вы оплачиваете сами и водить вы будете самостоятельно (или надо нанимать водителя). Яндекс.Драйв предоставляет. вам только средство передвижения, не более того. Все остальное - ваша прерогатива.
  • Услуга такси, например, через Яндекс.Такси. Вы просто заказываете такси, которое приезжает и отвозит вас, куда скажете. Вам ничего не надо делать, только сделать заказ и оплатить его.
Если посмотреть на российский рынок центров мониторинга ИБ, то у вас только две альтернативы, - построить SOC самостоятельно или заказать услугу в аутсорсинговом SOCе. В мире же рынок SOCов выглядит немного иначе - помимо указанных двух вариантов предоставляется еще и третий, аналогичный Яндекс.Драйву. Вы обращаетесь к компании, которая сдает вам платформу для управления SOCами в аренду. То есть вам не надо покупать SIEM, IRP/SOAR, TIP и другой инструментарий SOC, но при этом аналитики должны быть ваши, как и выстроенные процессы, playbook, runbook и т.п.

Интересно, что у третьего варианта есть очень неплохие перспективы в России, учитывая то, количество SIEMов, которые у нас разработаны. При этом далеко не все организации готовы к их внедрению в свои инфраструктуры и не все готовы отдаться целиком в руки аутсорсера. Промежуточная модель, "каршеринг SOCа", имеет достаточно большие перспективы и кто первым сможет перенести свою SOC-платформу в облако, тот и снимет все сливки. Понятно, что крупные организации врядли заинтересуются этим вариантом, но для среднего размера компаний это вполне себе интересный вариант.

Если возвращаться ко всем трем вариантам, то у каждого из них есть свои преимущества и свои недостатки. Но в вариантах "Яндекс.Драйва" и "Яндекс.Такси" важно понимать, что услуга может быть оказана по-разному. Вспомним,  что у Яндекса есть несколько пакетов оказания услуги - Эконом, Комфорт, Комфорт+, Бизнес, Премиум. Многие берут первое из-за экономии. Но тогда без претензий по качеству. “Дорогу покажешь, дарагой” - такого уже почти нет (благодаря Яндекс.Картам), но слушать радио “Восток” всю дорогу и смотреть как водила чатится с кем-то, попутно еще и руля, стремно. Стоит ли экономия таких рисков?

Вот и с арендой платформы SOC или взятием SOCа в аутсорсинг та же ситуация. Вы действительно думаете, что выбирая аутсорсинг SOCа или платформы для него подешевле, вы что-то выигрываете? Вы думаете, что платя около сотни долларов в месяц за мониторинг одного устройства, вы получаете адекватную защиту вашего бизнеса, который стоит сотни миллионов? Что вам важнее - эффективность мониторинга ИБ или экономия? Вы действительно думаете, что за сотню долларов на одно устройство можете рассчитывать на качественный мониторинг квалифицированным персоналом и оперативного реагирование на инциденты? Вы когда-нибудь задавались вопросом, кто работает в аутсорсинговых SOCах на первой линии? Вот, например, вакансия на SOC-инженера в одной из московских компаний:


Опыт работы не требуется! И вот такие люди будут заниматься мониторингом вашей ИБ. А вы ведь ждете от них квалификации, многолетнего опыта, выдачи вам рекомендаций, а не тупого следования вашим просьбам и распоряжениям (это, кстати, касается и проектировщиков SOC). Когда происходит инцидент ваш аутсорсер будет ждать, когда произойдет компрометация и тогда будет реагировать, или он обладает offensive-навыками и может предсказать, что будет делать хакер дальше, и сможет вовремя остановить его? За что вы в итоге платите - за профессиональный центр по ИБ или за дорогую справочную службу? 

Аутсорсинговый SOC обещает вам защиту от угроз, но может ли он ее обеспечить? Вам продают реальную ИБ или модные слова, которые вы хотите услышать? Вы получаете защиту ваших активов или ложное чувство защищенности? Вы купите медицинскую страховку за тысячу рублей в год для своей семьи? Ведь это откровенный развод. Наверное, вы зададите кучу вопросов и попробую выяснить, что же реально вам предлагают за эти деньги? Но почему вы тогда готовы купить аутсорсинг SOCа за несколько сотен долларов в месяц и не задавать серьезных вопросов и не проводить адекватной проверки (это значит не верить на слово)? Вы думаете за эти деньги можно получить действительно серьезную услугу SOC?

Может тогда стоит посмотреть в сторону Яндекс.Драйва облачной платформы SOC или построения собственного SOC? Я ни в коем случае не призываю отказываться от аутсорсинга SOC и не говорю, что это все профанация (тем более, что Cisco сама оказывает такие услуги, но не в России). Просто стоит все очень серьезно взвесить, задумывась о передаче SOC в чужие руки (не забыв задать и ранее мной описанные вопросы). И только потом принимать взвешенное решение.
Alt text