Когда недостаточно… спецов
Михаил Апостолов, руководитель продуктового направления отдела SOC Softline
Уже полгода клиенты нашей группы компаний могут воспользоваться сервисом SOC (от англ. Security Operation Center – центр мониторинга и реагирования на инциденты информационной безопасности) «Инфосекьюрити» (ГК Softline). На текущий момент в проработке по этому направлению находится около 40 проектов.
Что ищут клиенты? Почему они обращаются к нам?
С одной стороны, у нас есть уже готовые и построенные процессы, изначально рассчитанные на очень крупную организацию (около 70 тыс. источников событий), а также используемые технологии, прежде всего, open-source и свои разработки. В SOC Softline работают около 50 специалистов: аналитики и группа мониторинга, которые реагируют на типовые инциденты; собственные разработчики, которые постоянно совершенствуют сервис ISOC.
С другой стороны, услуги по информационной безопасности из облака сейчас недооценены. Причины всем известны: боязнь нового, опасение утечек данных на сторону и желание самостоятельно управлять своими процессами. Такой клиент, услышав на рынке о ISOC Softline, приходит к нам и просит построить «такое же, но с перламутровыми пуговицами» внутри его инфраструктуры.
У нас сейчас уже есть проекты так называемого SOC под ключ, но, несмотря на крупные суммы контрактов, мы отговариваем заказчиков от такого варианта.
Наверняка вы помните повальное увлечение своими ЦОДами на рынке. Так вот, рынок SOC сейчас проходит ту же стадию развития. Интересно, насколько загружены сейчас те ЦОДы? Если, конечно, они не прогорели в жесткой конкуренции.
Многие клиенты, как правило, упускают из внимания, что свой SOC – это очень дорого и долго, а ожидания, увы, могут не совпадать с результатами.
По каким причинам мы отговариваем от SOCа под ключ?
В ходе первых проектов стали очевидными следующие факты:
- Наш SOC (ISOC) существует уже несколько лет, его качество прошло проверку временем. Эти несколько лет развития ISOC никак не уложить в сроки менее одного года. Вы понимаете, не могут девять беременных женщин выносить одного ребенка за один месяц!
- Теперь вспомним про деньги. В ИТ вашей компании уже вложены огромные средства и руководство наверняка считает, что этого вполне достаточно, чтобы отбиться от хакеров. ФОТ раздут, новых сотрудников нанимать в ИТ не дают, их и так много, и вообще руководству не очень понятно, что они все там делают. А еще говорят, что кризис. Средств на инвестиционные затраты нет и в ближайшие пять лет не будет. По самой грубой оценке, стоимость таких проектов начинается от 250 млн рублей за два года.
- В процессе самостоятельного построения своего SOC у потенциального клиента возникает дикое желание сделать так, чтобы в его системе смешалось все, что можно и нельзя: процессы, технологии, кони, люди. После этого на выходе он, скорее всего, получит тяжелое разочарование оттого, что цель была совсем другая, а пришел он не туда, куда хотел.
Если и вам приходилось сталкиваться с упомянутыми выше вопросами, то, скорее всего, вы уже задумывались о возможности использования модели «SOC как услуга».
Кадровый голод на рынке оставляет еще меньше шансов тем компаниям, кто хочет строить собственный SOC. Посмотрите на HH.ru, сколько стоят специалисты по кибербезопасности. Заработная плата такого специалиста в Москве составляет примерно 100 тыс. руб./мес. и выше.
Например, ФОТ для работодателя за три линии поддержки (около 14 человек) ориентировочно составляет 28 млн руб. в год со всеми социальными и пенсионными платежами. А сами такие специалисты напоминают тех самых сусликов, которых не видно, а они есть. Их навыки и квалификация редкие, исключительные, а клонировать таких сотрудников пока, к сожалению, не научились.
Не стоит также забывать, что при этом рынок постоянно «пылесосят» вендоры и другие компании, страждущие построить что-то свое. Поверьте, таких немало. То есть вы будете вкладывать средства в свой SOC, развивать сотрудников, которых потом будут переманивать, не только парализуя этим работу SOC, но и обесценивая уже сделанные инвестиции в людей. И все будет идти по кругу.
Пофантазируем далее. Вы набрали ВСЕХ(!) специалистов, и тут проявляется человеческий фактор. Ваши «штучные» редкие специалисты оказываются халатными, любят поболеть, а если им начальник не нравится, то будут работать спустя рукава. В итоге у вас в самом лучшем случае получатся 1,5 линии поддержки с графиком 8/5.
Вы уже поняли, к чему я вас агитирую: облачная модель ISOC!
Почему именно облачная модель ISOC?
Потому что этот сервис обеспечивает быстрое подключение, большое разнообразие настроек и моделей обслуживания, к тому же по затратам он даже близко не сопоставим с созданием собственного SOC. Схема позволяет произвести быстрый облачный старт, обкатать разные пропорции услуг и моделей работы. Если вы рассматриваете облачную модель ISOC в качестве промежуточного шага на пути к построению своего собственного SOC, то с нашей помощью вы сможете спокойно обосновать бюджеты на следующие годы, произвести спокойный самостоятельный найм персонала, подготовить инфраструктуру и осуществить ПЛАНОВЫЙ переход к своему SOC.
На текущий момент команда нашего ISOC, как уже говорилось, насчитывает 50 человек. Наш сервис обслуживают более сотни серверов. Ежемесячно это более 10 тыс. заявок и несколько десятков типов инцидентов, список которых постоянно увеличивается. Количество логов событий, которое нам присылают, более 2TB за сутки. И SLA, разумеется, везде выполняется на самом высоком уровне.
Иногда, специалистам нашего SOC приходится выполнять не вполне обычные задачи. Например, у одного из заказчиков проходил внешний аудит по PCI DSS, во время которого мы должны были выявить действия пентестеров в рамках своих контролей и показать, что клиенты не зря купили SOC. Наши аналитики справились с этой непростой задачей и выявили всех пентестеров.
А бывают и такие клиенты, у которых есть свои внутренние команды пентестеров. Когда эти команды замечают, что SOC справляется и снижается поток событий, они начинают нас атаковать всевозможными средствами, а потом нашим специалистам прилетают кейсы со словами: «За 2-3 дня найдите нашего пентестера». И мы их находим – куда деваться, хотя обнаружить пентестера за два дня – это серьезная задача. Например, они ломают хост внутри сети, где 20 тыс. ПК. При этом задача обнаружить тест на проникновение может ставиться уже тогда, когда проникновение началось и специалистам нужно увидеть, где именно оно произошло.
По статистике обнаружение целенаправленной атаки (APT) нарушителя и его действий может занимать до 293 дней, а мы делаем это всего за два дня.
Другое выигрышное преимущество нашего ISOC – реагирование на инциденты. На рынке мало компаний гарантируют реагирование на инциденты под ключ. Зачастую они останавливаются просто на выявлении событий, и это вносит некоторый диссонанс в общий процесс мониторинга безопасности. Практически все умеют подключать события в SIEM, настраивать корреляции и другие механизмы выявления угроз. Делают неплохое оповещение по почте, но, к сожалению, у заказчиков не хватает компетенций для того, чтобы самостоятельно выстроить процесс дальнейших действий после выявления угрозы.
В случае необходимости мы готовы взять на себя функцию по сбору доказательной базы и предоставить ее для дальнейшего юридического разбирательства.
SOC как услуга – это интересно, а можно ли посмотреть на него в действии?
Надеюсь, вы уже захотели посмотреть на облачный SOC в действии. Сделать это несложно: вам нужно предоставить нам площадку с тестовой инфраструктурой, либо возможность подключить свой сервер. Далее мы настроим комплекс и средства защиты, произведем забор логов. После этого покажем вам те результаты и те инциденты, которые нашли. Если клиент не будет против, мы можем параллельно, в режиме 24/7 осуществлять реагирование на тот объем событий и инцидентов, который оговорен. Это позволит понять, как работает наша служба реагирования, какие отчеты в боевом режиме вы будете получать.
Пилотный проект не только возможен, но еще и бесплатен.
Однако, если я вас не отговорил, и вы все равно хотите свой SOC под ключ, то мы сможем выполнить и такую задачу, хотя это будет дорого и долго. Ориентировочную стоимость и сроки я уже указывал ранее.
Каковы планы и перспективы?
Совершенству нет предела. Сейчас мы работаем над улучшением отчетности, которая будет доступна клиенту; повышением качества предоставляемых материалов, автоматизации, внутренней работы по инфраструктуре; совершенствованием правил для инцидентов, которые обрабатываем; повышением качества процессов, а также тех тестов, которые мы проводим для улучшения предоставляемых нами сервисов.
Есть мысли в будущем реализовать и дополнить наш ISOC услугой «Live Forensic as a Service». В рамках данной услуги планируется извлечение образа машины, которая подверглась атаке, проведение расследования и формирование полной оценки произошедшего. Такой своеобразный офлайн-менеджмент и компьютерная криминалистика. Мы провели несколько пробных кейсов, отработали их по тем инцидентам, которые приходили от заказчиков. Результат обнадеживающий.
Благодаря интеграции в ISOC данной услуги мы сможем оперативно получать информацию о компрометации станции по определенным метрикам. ISOC выдает уведомление, а дальше наши специалисты проводят расследование и получают результат. Эта услуга важна и будет востребована в крупных организациях с территориально распределенной сетью. Когда, например, что-то происходит на географически удаленном хосте и проще не ехать туда, а снять образ диска и передать его в ISOC.
Улучшения коснутся и нашей SIEM-системы (система обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений). В планах стоит разработка отдельного модуля формирования оповещений. Многим клиентам, как оказалось, необходима не работа SOC по инцидентам, а получение оповещений для своих нужд. Поэтому в будущем мы создадим отдельный модуль, формирующий отчеты по выявляемым системой уведомлениям, которые могут отправляться непосредственно заказчику.
Вопросы создания SOC и выбора оптимальной стратегии обширны и непросты. Я постарался рассказать о том, как мы можем помочь вам сберечь человеко-часы сотрудников и снизить расход средств с помощью сервиса SOC «Инфосекьюрити». Приступить к живому знакомству с ISOC вы можете в любое время.
