Оценка эффективность SOC. Версия 2.0

Стратегия
На эту неделю интересные мероприятия по ИБ закончились и можно сделать некоторый обзор того, что было. Тем более, что закончившийся вчера SOC Forum был трехпотоковым и по определению никто не мог посетить параллельные доклады. И это если не говорить, что кто-то вообще на доклады не ходил, а как обычно тусил в холле и общался с коллегами. Поэтому, следуя доброй традиции, я решил составить обзор SOC Forum 2.0, разбив его на несколько частей. И начну я с близкой мне темы измерения эффективности SOC, которой я уже уделял время в прошлом году, а в этом году вместе с Дмитрием Мананниковым мне доверили модерировать заседание про эту самую эффективность.

В отличие от пленарной части, которую я вел, и на которой я осознанно отказался от того, чтобы дисскутировать на тему «Что такое SOC?», в секции про эффективность все-таки надо было определиться с терминологией, с чего и начал Дима, который является одним из немногих людей, которые публично отстаивает позицию, что ИБ не только измерима, но и измерима в деньгах. В этот раз Дмитрий специально не стал начинать с полемической темы измерения SOC рублем, так как это очевидно бы вызвало шквал вопросов и мы бы не уложились в отведенное время. Поэтому Дмитрий просто ввел определение эффективности (но не результативности, что часто путают):

определение SOC в контексте нашей секции:

и привязал это к обязательному отталкиванию от целей, достижение которых мы хотим измерить. Вот это, пожалуй, самое главное в любом измерении — определить цель, для чего нам нужно то или иное решение, SOC, SIEM или что-то еще? Для чего может быть разным — для безопасности, для бизнеса, ради самого измерения… От определенной цели будет танцевать и измерение, и выбираемые метрики.

Продолжил тему Андрей Тамойкин из «Информзащиты», которого, похоже, бросили на амбразуру, предварительно оснастив связкой гранат, с которыми он на практике дело не имел 🙂 Иначе я не могу объяснить достаточно сумбурный доклад, из которого было сложно понять, Андрей описывает методику оценки эффективности (а на самом деле зрелости, которую докладчик смело приравнял к эффективности) аутсорсингового SOC Информзащиты или методику, которая явилась результатом труда аналитиков Информзащиты и она предоставляется всем желающим для измерения эффективности своих SOCов. Признав, что за основу была взята модель оценки зрелости SOMM компании HPE (успешно продавшей свой бизнес SIEM ArcSight), дальше последовал рассказ о модификации этой модели и попытке применить ее куда-то и зачем-то. Вот куда и зачем понятно не было. Андрея регулярно спасал Женя Климов из той же Информзащиты, который «подсказывал» с места правильные ответы 🙂 Но на прозвучавший от меня вопрос, а на какой уровень оценивает себя по данной методике сам SOC Информзащиты ответа я так и не получил (напомню, что по исследованию HP 87-ми SOCов в 18 странах мира на двух континентах среднее медианное значение уровня зрелости составляет 1,55 при желаемых трех).

После Информзащиты слово было предоставлено генеральному директору Андрею Безверхому из SOC Prime, у которого, что мне показалось забавным, 170+ лет кумулятивного опыта (так было заявлено в презентации 🙂 Вот тут я, честно говоря, спасовал. Я вообще не понял, о чем рассказывал Андрей. Тут, на мой взгляд, и с дикцией были сложности, и со скоростью представления материала (быстровато, что, возможно, влияло на дикцию), и с идеей всей презентации. По истечении 20-ти минут, выделенных на доклад, я так и не понял, о чем он и причем тут эффективность SOC, у которого, по версии SOC Prime, всего 4 возможных метрики и определяющих его эффективность.

Как обычно спас ситуацию Женя Климов, который по прошлому опыту тестировал SOC Prime и который в паре предложений рассказал, что из себя представляет подход и решение докладчика. Речь идет о системе мониторинга SIEM (или SOC, что, как и в прошлом году, часто путали между собой) с точки зрения работоспособности, безопасности, производительности, качества данных и возможности собирать сами данные. По сути это такая система проактивного мониторинга состояния, позволяющая прогнозировать сбои в работе SIEM, которые можно предотвратить (память на пределе, ЦПУ загружен по максимуму, места в БД не хватает, полоса исчерпана и т.п.). Важная тема, о которой часто забывают.

Завершал первую часть секции Александр Кузнецов из НТЦ Вулкан. Он представил очень непростую, но очень интересную и важную тему представления результатов работы SOC/SIEM (скорее даже SIEM) в виде отчетов. Чем мне нравится SOC Forum, так это своей сфокусированностью на одной теме, которую можно обсасывать с разных сторон. Обычно до таких глубоких и конкретных тем на типовых мероприятиях не доходят — не хватае времени и формат не тот. А тут все было «в кассу».

Александр в первое половине своего рассказа коснулся проблем, связанных с отчетностью, и способов их решения, а вот вторая часть подкачала — началась реклама разработанного в НТЦ Вулкан модуля, позволяющего улучшить встроенную систему отчетности большинства SIEM. Допускаю, что аудитории, уже использующей SIEM, эта тема была интересна, но мне не хватило практических примеров и лучших практик по подготовке отчетов, например, для разных целевых аудиторий.

После перерыва вступил в игру я и рассказал о примерах различных метрик, которые можно использовать (и которые используют) при оценке различных аспектов эффективности SOC. Учитывая, что и термин «SOC», и термин «эффективность», и целеполагание в ИБ понимаются всеми по-разному, то и метрик может быть бесконечное множество — каталоги их могут насчитывать сотни и тысячи примеров. Я же сконцентрировался только на некоторых из них, чтобы показать в каком направлении можно эту тему «копать».

Завершали секцию два потребителя SOC — внешнего и внутреннего. Это были банки «Санкт-Петербург» и Газпромбанк. От первого выступал Анатолий Скородумов, который рассказал о своем опыте построения системы мониторинга в банке и о том, как они пытались найти адекватную услугу аутсорсингового SOC в России. Лучше всего доклад Анатолия иллюстрирует его слайд, говорящий, что в России нет адекватных внешних SOCов. При этом на вопрос, а как же тогда банк «Санкт-Петербург» пользуется аутсорсингом SOCа, Аналотий ответил, что альтернатив-то и нет. Это наименьшее зло, так как ресурсов на построение своего SOC просто не хватает.

У Анатолия прозвучала и еще одна интересная мысль, о том, что измерить эффективность SOC можно, пригласив пентестера. И если SOC видит попытки пентестера взломать банк, то можно считать, что SOC работает эффективно (он же видит). Интересный подход, но, на мой взгляд, внешний пентестер в данном процессе — лишнее звено, которое только удорожает процесс оценки эффективности и отдаляет его во времени, равное длительности пентеста и подготовки отчета по его результатам. Однако опыт заказчика всегда ценен и не мне судить о том, насколько правильно или нет поступает Анатолий с точки зрения оценки эффективности. Если все стороны это устраивает, то почему бы и нет?..
Не менее интересным был доклад Александра Бабкина из Газпромбанка, который рассказал… нет, не о своем SOCе (это было в прошлом году), а о том, как и куда его планируется в банке развивать. Тут вам и подключение широкого спектра внешних фидов и иных источников информации об угрозах (к тому, что уже есть), и интеграция с антифрод-системой, и интеграция с DLP-решением, и внедрение поведенческого анализа с помощью UEBA, и интеграция с системами расследования инцидентов (forensics). Не часто на наших мероприятиях можно услышать рассказ именно о планах развития системы ИБ заказчика.

На этом наша секция подошла к концу и я могу подвести ее некоторые итоги. Сегодня, в условиях, когда у каждого специалиста свое понимание SOC, эффективности и ИБ, говорить о каких-то лучших практиках оценки эффективности сложно. Как и о тиражируемости удачного опыта коллег. Всему свое время и место. Но надеюсь, что участники нашей сессии смогли подчерпнуть немало полезных идей для выстраивания своего процесса эффективности SOC.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Мастер-класс по работе модератора. Респект, мэтр!

    Ответить
  2. Алексей Лукацкий

    Спасибо. Но основную работу взял на себя Дима 🙂

    Ответить
  3. Unknown

    Алексей, благодарю за комментарий и здоровую критику! Пожалуй, это было первое мое выступление на столь целевом не моно-вендорном мероприятии. Немного деталей к тому о чем мы друг-друга не совсем поняли:
    -170+ лет конечно же не мой опыт, а то так вот неплохо сохранился для 170 летнего родственника мастера Йоды 🙂 Кумулятивный опыт компании в ИБ (нас 18 человек на фултайм + эдвайзори, опыт каждого специалиста от 3 до 25 лет, мой личный 10 лет).

    Тема метрик и методологий имхо слишком обширная для 20-минутного доклада, тут не сравнишь и CKC, ATT&CK, DREAD, HPE SOMM, Activate.. потому первую попытку это уровнять я вынес в подкаст по методологиям внедрения SIEM & SOC. Это лекция на 1,5 часа доступная в RISSPA (ссылку в докладе где-то приводил).

    Исследование на которых базируется платформа SOC Prime это конкретно "data-driven" подход, и к ключевым технологиям ИБ в SOC (SIEM, Vulnerability Management, Integrity Monitoring) и к фреймворкам и к метрикам, и к кейсам и фидам.

    Алексей, может сделаем на эту тему мини-подкаст вдвоём? Пока запасусь правильным оборудованием и сбавлю темп подачи материала 🙂 Модератором можем пригласить Евгения Климова. Как такая идея?

    p.s. Очень высокий уровень мероприятия, очень рад что мы смогли принять участие и внести свою лепту.

    Ответить
  4. Алексей Лукацкий

    Андрей, да я же без претензий 🙂 Просто высказал мнение о секции. Мне было не очень понятно о чем вообще речь, пока Женя не пояснил суть. Надо было начать с постановки задачи, а потом уже перейти к самой презентации. А сама платформа, конечно, интересная

    Ответить