На днях попал мне в руки проект по SOC, который делался для одной из российских компаний. И напомнил он мне слайд, который был опубликован в Твиттере одним из участников недавно прошедшего в США Gartner Security & Risk Management Summit. Я не буду приводить не очень качественную фотографию — покажу таблицу, которую я сделал на основе этой фотографии, переведя ее на русский язык. Это упрощенная модель зрелости центров мониторинга безопасности по версии Gartner. Я знаю как многие мои коллеги относятся к Gartner, но в данном случае это и не так важно.
Таблица показывает отличия SOCов разных уровней зрелости по пяти ключевым параметрам — инструментарий, функции, Threat Intelligence, метрики и персонал. И, в целом, они отражают ключевые элементы, по которым можно оценивать «на глазок», насколько серьезно построен/спроектирован SOC. В этом преимущество это простой таблички — по ней можно быстро оценить как уже построенный SOC (и куда ему стремиться), так и проект по SOC, который сделан каким-то из консультантов/интеграторов.
Почему я вспомнил про эту картинку? Все просто. Почему-то до сих создаваемые или развивающиеся SOC строятся вокруг SIEM и все. Хотя наиболее прогрессивным сегодня считается использование так называемой «ядерной триады». Этот термин используется в международной политики и означает вооруженные силы государства, оснащенные ядерным оружием, которое размещается «на земле» (межконтинентальные баллистические ракеты), «на воде» (атомные подводные ракетоносцы) и «в воздухе» (стратегическая авиация). В области SOC эта триада состоит из следующих компонентов:
- мониторинг логов с помощью SIEM
- мониторинг сетевого трафика с помощью NTA
- мониторинг хостов с помощью EDR.
Но многие SOCи упорно строятся только на базе SIEM, упуская из виду события, происходящие на уровне сети или на уровне оконечных устройств. Без этих двух компонентов многие события ИБ остаются незамеченными и злоумышленники месяцами орудуют внутри «защищенной» инфраструктуры не будучи обнаруженными. К ним еще нередко добавляют UEBA для расширенной аналитики поведения пользователей (если use case по скомпрометированным сотрудникам или хакерам, маскирующимся под сотрудников, является актуальными для вас) и CASB для мониторинга облачных платформ. Я могу понять, когда SOC строился на базе только SIEM несколько лет назад. Но сейчас, когда и ландшафт угроз поменялся, и технологии новые появились? Почему сразу не закладывать в проект по SOC мониторинг сети и хостов? Или почему не включить их в план развития SOC на 1, 3, 5 лет (кстати, с ним тоже проблемы — такие планы мало кто готовит, почему-то считая, что создание SOC — это одномоментное событие, которое срабатывает «по щелчку»).
В дополнение к средствами мониторинга и аналитики есть есть еще две обязательных платформы, которые должны обязательно быть предусмотрены в современном SOC, — решение по оркестрации (SOAR) и threat intelligence. В итоге получается, что в SOCе, который можно назвать современным (или SOC-NG, или SOC 2.0), должны быть реализованы следующие платформы:
Ну вот как-то так… Можно было бы поговорить и о других столбцах таблицы (мы только про инструментарий успели пообщаться), но это уже в другой раз.