Этот вопрос я услышал на этой неделе трижды (а ведь сегодня только среда). Поэтому я подумал, что это знак и на этот вопрос надо ответить. Итак, есть ли какое-то магическое число, на которое надо ориентироваться, строя свой центр мониторинга ИБ? Сразу отвечу: «Нет!» И вот почему.
Начну с простейшего вопроса: «Сколько сервисов оказывает/предоставляет ваш SOC?» Мониторинг? Да, безусловно. Расследование? Да. Threat Hunting? Ну а почему бы и нет. Реагирование на инциденты? Ну давайте поверим, что и этот сервис тоже оказывается. Это все? На самом деле сервисов может быть и десять, и двадцать, и даже тридцать. И вполне очевидно, что при увеличении числа сервисов SOC число людей, которые их реализуют, не может быть неизменным. Оно будет расти; может быть непропорционально числу сервисов, но рост будет.
Промежуточный вывод №1. Число аналитиков SOC зависит от количества сервисов SOC.
Поэтому, отвечая на вопрос, вынесенный в заголовок заметки, начните с определения того, что будет делать ваш SOC.
Идем дальше. Во сколько вы уходите с работы? В 18.00? А кто выполняет ваши обязанности, когда вы покидаете офис, когда тусите с друзьями, когда спите? Никто?! Возможно ваша работа позволяет такое и две трети времени суток (24-8 часов) она может подождать. Но мониторинг ждать не может!
Вообще, странная история. Почему вообще о мониторинге ИБ часто говорят в контексте 5 х 8? Хакеры-то не спят и атакуют круглосуточно. И даже если и вы и они работаете в рабочее время, то у вас оно может быть в часовом поясе GMT+3 (например, Москва), а у ваших плохих визави — GMT-10 (например, в Анкоридже), а значит вы будете работать в противофазе — они атакуют, когда вы спите, а вы бодрствуете, когда они спят.
Поэтому на число аналитиков SOC будет влиять режим работы центра мониторинга. Если он функционирует 5 х 8, то вы остаетесь при своих — число будет зависеть от количества сервисов SOC. Если же вы задумываетесь о круглосуточном мониторинге (7 х 24), то ситуация меняется — число аналитиков возрастает в 3 раза… Стоп-стоп-стоп. Почему в три? Только потому что вам нужно иметь одного аналитика на каждую восьмичасовую схему? Увы. Вы забываете про выходные и праздники, а также про отпуска и больничные аналитиков. И хотя в умных книжках и презентациях часто используется аббревиатура FTE (Full-time equivalent), это мифическое число, которое не говорит о реальном числе аналитиков. Оно означает штатную единицу, которая может быть закрыта одним, двумя, тремя или даже четырьмя специалистами. Чтобы сократить это число обычно увеличивают рабочую смену до 10 или даже 12 часов, но процедура эта не бесконечная.
Промежуточный вывод №2. Число аналитиков SOC зависит от режима работы SOC — 5 х 8, 7 х 24 или иных вариантов.
Все? Больше нет параметров, влияющих на число аналитиков? Увы. Когда вы перемножите число людей, нужных для оказания одного сервиса, на число сервисов, и на режим их оказания (вы же понимаете, что у вас для разных сервисов могут быть разные режимы работы, несовпадающие с режимом работы SOC), то вы поймете, что никто нанять такое количество людей вам никто не даст. Упс…
Поэтому появляется третий вопрос, на который вы должны будете ответить. Кто будет оказывать все нужные вам сервисы? И ответ на него заключается в том, что далеко не все надо делать своими силами. Есть сервисы, которые вы можете поручить третьим лицам. Например, анализ вредоносного ПО точно будет делаться не вами, а значит вам не надо учитывать аналитиков для этой задачи. Расследование вы тоже можете поручить внешней организации (я могу это сказать по нашему опыту — к нам часто приходят заказчики, у которых произошел инцидент, а расследовать нет собственной экспертизы). Да и мониторинг тоже можно поделить — в рабочие часы вы делаете это сами, а в нерабочее время — поручаете внешнему аутсорсинговому SOC. Хотя бывают и иные комбинации.
Промежуточный вывод №3. Модель оказания сервисов — третий параметр, влияющий на число собственных аналитиков SOC.
В это рассуждение можно добавить также и иные параметры:
- квалификацию аналитиков (очевидно, что опытный специалист может быть заменить двух или трех джунов, но такая замена не может быть бесконечной),
- число и сложность контролируемых ИТ-активов (мониторинг промышленного контроллера, удаленного рабочего места, облачного инстанса или сервера SAP могут потребовать разных навыков и разных человеко-часов),
- требования по законодательству (проведение расследований у определенных категорий заказчиков может требовать соответствующих допусков, что может потребовать отдельных людей для этого).
В итоге у нас получается многопараметрическая модель, которую загнать через Excel и посмотреть на разные варианты, которые мы получим на выходе при разных исходных данных. А дополнив такую модель зарплатой специалистов и стоимости аутсорсинга, можно делать обоснованный выбор по численности своего SOC, а также планировать его развитие.
А как же инструментарий в SOCе? Неужели он не влияет на численность аналитиков? Влияет. Но только последовательность здесь будет немного иная. Именно численность людей, а также сервисы, режим их работы и модель их оказания, формируют архитектуру, которая определяет используемый вами инструментарий, а не наоборот. Инструментарий — это вообще самое последнее, что вам нужно при построении SOC.
К сожалению, у нас часто строят SOC с выбора SIEM, что приводит к неудаче или неэффективному мониторингу ИБ.
Да, инструментарий, автоматизирующий отдельные задачи в SOC, может помочь сократить число людей, нужных для оказания его сервисов, но все-таки это вторичное преимущество, а не самоцель.
Зато теперь становится понятно, почему разные SOCи озвучивают разную численность своих аналитиков.
Отличная статья, спасибо!
Спасибо
На одном из сборов по этой теме, представитель конторы из трёх букв сказал,
что SOC с количеством персонала меньше 12 сотрудников не получит аккредитации, даже не будет рассматриваться. Как то так.
Потому что для аккредитации нужно выполнить требования, в которых прописаны требования по персоналу. И при наличии трех линий SOC и режима 24 х 7 при минимальном наборе сервисов для центра ГосСОПКИ получается как раз столько человек