Главная » Стратегия

Как выбрать аутсорсинговый SOC?

Стратегия
На чтение 5 мин Просмотров 26 Опубликовано
Пора начать публиковать заметки по результатам прошедшего SOC Forum (материалы уже выложены), на котором я для себя выделил 5 категорий участников:
  • Тусовщики, которые приехали пообщаться, поселфиться, отметиться, показать, что жив, или поискать работу.
  • Потенциальные или существующие потребители услуг SOC, которые хотели понять, стоит им влезать в тему SOC или убедиться, что они делают все правильно, заодно переняв лучшие практики, которые звучали с трех сцен форума.
  • Регуляторы, которые доносили до аудитории явно или неявно свою позицию по тому, как будет регулироваться тема мониторинга ИБ, SIEM, ГосСОПКИ, реагирования на инциденты и т.п.
  • Продавцы продуктов для SOCов.
  • Продавцы аутсорсинговых SOC, которые заманивали в свои сети ничего не подозревающих заказчиков, которым может быть SOC был и не нужен, но не по мнению поставщиков услуг мониторинга ИБ.

Вот последним и будет посвящена эта заметка. Сразу хочу сказать, что я ни в коем случае не хочу бросить тень ни на кого из поставщиков услуг SOC, тем более, что среди них есть очень достойные предложения и решения. Но выбрать среди них правильного партнера непросто. Критериев либо нет вовсе, либо они столь сложны в оценке, что мало кто может пройтись по чеклисту, чтобы оценить себя и представить результаты публике. А еще бывает, что отсутствует независимая методика оценки SOC (даже при наличии моделей зрелости SOC от HPE или Cisco) и каждый SOCостроитель оценивает себя как повезет. При средней оценки в отрасли 1.55 (при желаемых 3.0) я несколько раз слышал от отечественных SOC, что их уровень зрелости приближается к 4-м 🙂

Фрагмент содержания отчета Cisco по оценке зрелости SOC

Ну да ладно. Можно долго себя сравнивать по куче параметров (люди, оперативного реагирования, используемые технологии, описанные процессы и т.п.), но есть более простой алгоритм, с которого стоит, на мой взгляд, стоит начать оценку аутсорсингового центра мониторинга ИБ. Но начну издалека. В 2008-м году я написал заметку «Сапожники без сапог», которая вызвала живейшую дискуссию отрасли (я не помню заметок с таким количеством комментариев). В ней я задался риторическим вопросом, почему компании, предлагающие услуги по защите персональных данных, сами не очень и соблюдают законодательство, документы для выполнения которого они продают своим заказчикам. Мне даже судом грозили 🙂 Спустя год, я продолжил тему, и предложил простейший алгоритм для выбора консультанта по проекту ПДн, состоящий из трех шагов:

  • проверка наличия имени консультанта в реестре операторов ПДн, который ведет РКН
  • проверка наличия собственных документов по ПДн, аналоги которых будут разработаны для заказчиков
  • собеседование с целью понять варианты минимизации усилий и затрат заказчика.
До безобразия простой алгоритм, «пройти» который могли очень немногие. Так вот схожий по идеологии алгоритм я бы предложил и для SOCостроителей, предоставляющих свои услуги потребителям. Но 3 шага я бы сократил до одного 🙂 Уточните и получите доказательства, что предлагаемый вам SOC занимается мониторингом самого аутсорсера. Причем это должно быть не «мамой клянусь», а реальные доказательства — описанные процессы, RACI-матрица, пути эскалации (зависит от масштаба организации), скриншоты (или даже демонстрация) консолей мониторинга для заказчика, база инцидентов/кейсов/тикетов (можно обезличенную) и т.п.
Иными словами вы должны убедиться, что то, что вам предлагают, протестировано хотя бы на самом аутсорсере и он не на словах, а на деле знает, за что потом с вас будет брать деньги. И чем больше сервисов вы у него будете брать (мониторинг, реагирование, threat hunting, malware analysis и т.п.), тем больше доказательств требуйте. В конце концов вы хотите передать свою ИБ в чужие руки и ваши запросы вполне закономерны. Одно дело пытаться заработать на хайпе и совсем другое — уметь реально заниматься мониторингом ИБ и реагированием на инциденты в максимально сжатые сроки с необходимым качеством.
ЗЫ. Есть еще один критерий, который можно было бы упомянуть по аналогии с алгоритмом выбора консультанта по ПДн, — наличие лицензии ФСТЭК на деятельности по мониторингу ИБ (для аутсорсинговых и холдинговых SOCов она обязательна), но… тут вам решать, важен вам этот критерий или нет. Потребителю важна не бумажка, а уровень предоставляемых услуг. И я уже писал, что ФСТЭК слишком рано решила зарегулировать данный сегмент рынка ИБ — не созрел он еще и регулятор сильно ограничил число его участников. Скажу больше, часть действующих сегодня SOCов, в том числе и выступивших на SOC Forum, поставлены новыми требованиями вне закона (но об этом я еще напишу отдельно), так как они не выполняют и врядли смогут выполнить требования ФСТЭК к лицензиатам.
ЗЗЫ. Да, предложенный критерий банален, но как показывает практика, про него не все вспоминают, выбирая себе партнера по тем или иным направлениям деятельности. Тоже самое, кстати, касается и средств защиты. Странно выглядит вендор, который предлагает вам средства защиты, которые он у себя не использует…
SOC аутсорсинг
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.