В отличие от пленарной части, которую я вел, и на которой я осознанно отказался от того, чтобы дисскутировать на тему «Что такое SOC?», в секции про эффективность все-таки надо было определиться с терминологией, с чего и начал Дима, который является одним из немногих людей, которые публично отстаивает позицию, что ИБ не только измерима, но и измерима в деньгах. В этот раз Дмитрий специально не стал начинать с полемической темы измерения SOC рублем, так как это очевидно бы вызвало шквал вопросов и мы бы не уложились в отведенное время. Поэтому Дмитрий просто ввел определение эффективности (но не результативности, что часто путают):
определение SOC в контексте нашей секции:
и привязал это к обязательному отталкиванию от целей, достижение которых мы хотим измерить. Вот это, пожалуй, самое главное в любом измерении — определить цель, для чего нам нужно то или иное решение, SOC, SIEM или что-то еще? Для чего может быть разным — для безопасности, для бизнеса, ради самого измерения… От определенной цели будет танцевать и измерение, и выбираемые метрики.
Продолжил тему Андрей Тамойкин из «Информзащиты», которого, похоже, бросили на амбразуру, предварительно оснастив связкой гранат, с которыми он на практике дело не имел 🙂 Иначе я не могу объяснить достаточно сумбурный доклад, из которого было сложно понять, Андрей описывает методику оценки эффективности (а на самом деле зрелости, которую докладчик смело приравнял к эффективности) аутсорсингового SOC Информзащиты или методику, которая явилась результатом труда аналитиков Информзащиты и она предоставляется всем желающим для измерения эффективности своих SOCов. Признав, что за основу была взята модель оценки зрелости SOMM компании HPE (успешно продавшей свой бизнес SIEM ArcSight), дальше последовал рассказ о модификации этой модели и попытке применить ее куда-то и зачем-то. Вот куда и зачем понятно не было. Андрея регулярно спасал Женя Климов из той же Информзащиты, который «подсказывал» с места правильные ответы 🙂 Но на прозвучавший от меня вопрос, а на какой уровень оценивает себя по данной методике сам SOC Информзащиты ответа я так и не получил (напомню, что по исследованию HP 87-ми SOCов в 18 странах мира на двух континентах среднее медианное значение уровня зрелости составляет 1,55 при желаемых трех).
После Информзащиты слово было предоставлено генеральному директору Андрею Безверхому из SOC Prime, у которого, что мне показалось забавным, 170+ лет кумулятивного опыта (так было заявлено в презентации 🙂 Вот тут я, честно говоря, спасовал. Я вообще не понял, о чем рассказывал Андрей. Тут, на мой взгляд, и с дикцией были сложности, и со скоростью представления материала (быстровато, что, возможно, влияло на дикцию), и с идеей всей презентации. По истечении 20-ти минут, выделенных на доклад, я так и не понял, о чем он и причем тут эффективность SOC, у которого, по версии SOC Prime, всего 4 возможных метрики и определяющих его эффективность.
Как обычно спас ситуацию Женя Климов, который по прошлому опыту тестировал SOC Prime и который в паре предложений рассказал, что из себя представляет подход и решение докладчика. Речь идет о системе мониторинга SIEM (или SOC, что, как и в прошлом году, часто путали между собой) с точки зрения работоспособности, безопасности, производительности, качества данных и возможности собирать сами данные. По сути это такая система проактивного мониторинга состояния, позволяющая прогнозировать сбои в работе SIEM, которые можно предотвратить (память на пределе, ЦПУ загружен по максимуму, места в БД не хватает, полоса исчерпана и т.п.). Важная тема, о которой часто забывают.
Завершал первую часть секции Александр Кузнецов из НТЦ Вулкан. Он представил очень непростую, но очень интересную и важную тему представления результатов работы SOC/SIEM (скорее даже SIEM) в виде отчетов. Чем мне нравится SOC Forum, так это своей сфокусированностью на одной теме, которую можно обсасывать с разных сторон. Обычно до таких глубоких и конкретных тем на типовых мероприятиях не доходят — не хватае времени и формат не тот. А тут все было «в кассу».
Александр в первое половине своего рассказа коснулся проблем, связанных с отчетностью, и способов их решения, а вот вторая часть подкачала — началась реклама разработанного в НТЦ Вулкан модуля, позволяющего улучшить встроенную систему отчетности большинства SIEM. Допускаю, что аудитории, уже использующей SIEM, эта тема была интересна, но мне не хватило практических примеров и лучших практик по подготовке отчетов, например, для разных целевых аудиторий.
После перерыва вступил в игру я и рассказал о примерах различных метрик, которые можно использовать (и которые используют) при оценке различных аспектов эффективности SOC. Учитывая, что и термин «SOC», и термин «эффективность», и целеполагание в ИБ понимаются всеми по-разному, то и метрик может быть бесконечное множество — каталоги их могут насчитывать сотни и тысячи примеров. Я же сконцентрировался только на некоторых из них, чтобы показать в каком направлении можно эту тему «копать».
Завершали секцию два потребителя SOC — внешнего и внутреннего. Это были банки «Санкт-Петербург» и Газпромбанк. От первого выступал Анатолий Скородумов, который рассказал о своем опыте построения системы мониторинга в банке и о том, как они пытались найти адекватную услугу аутсорсингового SOC в России. Лучше всего доклад Анатолия иллюстрирует его слайд, говорящий, что в России нет адекватных внешних SOCов. При этом на вопрос, а как же тогда банк «Санкт-Петербург» пользуется аутсорсингом SOCа, Аналотий ответил, что альтернатив-то и нет. Это наименьшее зло, так как ресурсов на построение своего SOC просто не хватает.
На этом наша секция подошла к концу и я могу подвести ее некоторые итоги. Сегодня, в условиях, когда у каждого специалиста свое понимание SOC, эффективности и ИБ, говорить о каких-то лучших практиках оценки эффективности сложно. Как и о тиражируемости удачного опыта коллег. Всему свое время и место. Но надеюсь, что участники нашей сессии смогли подчерпнуть немало полезных идей для выстраивания своего процесса эффективности SOC.
Мастер-класс по работе модератора. Респект, мэтр!
Спасибо. Но основную работу взял на себя Дима 🙂
Алексей, благодарю за комментарий и здоровую критику! Пожалуй, это было первое мое выступление на столь целевом не моно-вендорном мероприятии. Немного деталей к тому о чем мы друг-друга не совсем поняли:
-170+ лет конечно же не мой опыт, а то так вот неплохо сохранился для 170 летнего родственника мастера Йоды 🙂 Кумулятивный опыт компании в ИБ (нас 18 человек на фултайм + эдвайзори, опыт каждого специалиста от 3 до 25 лет, мой личный 10 лет).
Тема метрик и методологий имхо слишком обширная для 20-минутного доклада, тут не сравнишь и CKC, ATT&CK, DREAD, HPE SOMM, Activate.. потому первую попытку это уровнять я вынес в подкаст по методологиям внедрения SIEM & SOC. Это лекция на 1,5 часа доступная в RISSPA (ссылку в докладе где-то приводил).
Исследование на которых базируется платформа SOC Prime это конкретно "data-driven" подход, и к ключевым технологиям ИБ в SOC (SIEM, Vulnerability Management, Integrity Monitoring) и к фреймворкам и к метрикам, и к кейсам и фидам.
Алексей, может сделаем на эту тему мини-подкаст вдвоём? Пока запасусь правильным оборудованием и сбавлю темп подачи материала 🙂 Модератором можем пригласить Евгения Климова. Как такая идея?
p.s. Очень высокий уровень мероприятия, очень рад что мы смогли принять участие и внести свою лепту.
Андрей, да я же без претензий 🙂 Просто высказал мнение о секции. Мне было не очень понятно о чем вообще речь, пока Женя не пояснил суть. Надо было начать с постановки задачи, а потом уже перейти к самой презентации. А сама платформа, конечно, интересная