Опыт ошибок SOC: срывая покровы. Резюме дискуссии

R-Vision и Ростелеком-Солар 26 мая 2020 провели совместную питч-сессию Опыт ошибок SOC: срывая покровы в онлайн-формате. Участниками обсуждения стали эксперты центров мониторинга и реагирования на инциденты крупных компаний – Андрей Дугин (МТС), Евгений Горбачев (Газпромбанк), Владимир Дрюков (Ростелеком-Солар). Модерировал разговор генеральный директор R-Vision Александр Бондаренко.

В ходе мероприятия были подняты вопросы о работе SOC, которые не успели обсудить в рамках аналогичной дискуссии, проходившей на SOC Forum 2019:

  • Когда и как создавать свой SOC?
  • На чем не стоит сэкономить?
  • Где искать хорошие кадры?
  • Каковы сейчас технологические тренды в ИБ?
  • Каких ошибок SOC можно избежать?

Эксперты кратко рассказали про основные характеристики и особенности своих SOC и сошлись во мнении по многим вопросам.

Создание современного Security Operation Center требует намного больше, чем просто подбор подходящего оборудования и специалистов. Работа над построением SOC — это непрерывный и долгий процесс. Здесь важно создать комфортную среду, в которой можно будет эффективно поддерживать производительность по выявлению возникающих угроз безопасности и оперативному реагированию. Участники дискуссии разделили позицию о том, что для разных организаций необходимы разные подходы к обоснованию необходимости SOC, но общая точка, от которой можно отталкиваться – это нормативные документы, которые выпускают регуляторы.

Люди или технологии?

SOC базируется на сочетании людей, процессов и технологий. Все эксперты в один голос утверждают, что первый пункт важен в первую очередь. Вне зависимости от размера штата специалистов, отвечающих за мониторинг ИБ, будь то пара десятков или пара сотен сотрудников, экономить на людях не стоит. В Центр обеспечения безопасности следует нанимать достаточно квалифицированный персонал. Проблемы и угрозы постоянно меняются, поэтому компаниям нужны люди, которые смогут быстро и легко адаптироваться под нестандартные ситуации и оперативно принимать решения, ведь от скорости принятия решения зависит практически всё. Один высококлассный аналитик может грамотно организовать полуавтоматизированную, полуаналитическую работу, что будет гораздо эффективнее, чем взять 5 начинающих операторов.

Надо признать, что большинство SOC испытывают кадровый голод и справляются с ним по одной схеме – за счет расширения границ поиска. Сегодня компании привлекают все больше специалистов из регионов, где появляются профессионалы. Таким образом можно сократить стоимость безопасности для компании и дать человеку интересную работу. Помимо стандартного хантинга силами отдела кадров, SOC практикуют привлечение амбициозных студентов, многие из которых успешно выполняют задачи, еще не завершив высшее образование.

Экономить на технологиях можно, но и здесь надо аккуратно подходить к вопросу, чтобы экономия на средствах защиты информации не привела к еще большим затратам. Следует тщательно выбирать технологии с учетом тех задач и рисков, которые стоят перед организацией, и оснащать свой SOC поэтапно. Одна из базовых задач – обеспечить качественный сбор логов, а уже после этого можно подключать другие технологии, которые будут эту информацию обрабатывать. В любом случае, сильная команда даже с базовыми инструментами добьется результата быстрее и лучше, нежели команда новичков, которые используют передовые технологии.

В текущих условиях пандемии вообще не стоит экономить на безопасности и SOC, поскольку с переходом на удаленку появились новые проблемы в безопасности, подчеркнул Владимир Дрюков.

По опыту Ростелеком-Солар, в последнее время все больше структур вкладываются в «песочницы» и проведение внешних пентестов. Автоматизация реагирования с помощью плейбуков, внедрение систем учета и обработки инцидентов – еще один тренд в обеспечении ИБ. Также тема с Threat Intelligence уже не кажется такой далекой и неизведанной, как пару лет назад – использование данных киберразведки становится все более актуальным и даже необходимым.

А что же с ошибками в SOC?

Одна из возможных проблем в SOC – пропуск событий, который может быть связан с неполадками, как на стороне источника логов, так и на стороне обработки. Это важный момент, поскольку из-за потери данных возможны ошибки более высокого уровня. Еще одна частая проблема – отсутствие качественной инвентаризации инфраструктуры, сбора данных об ИТ-активах, которые SOC защищает. Недостаточное внимание к вопросам asset management может серьезно осложнить работу SOC.

Другая проблема, скорее психологического характера, связана с тем, что при внедрении какой-либо технологии возникает ложное ощущение, что потребность в персонале должна снизиться. Но это не так, поскольку любую систему нужно настраивать, совершенствовать и поддерживать.

Что касается коммерческих SOC, обслуживающих множество заказчиков, Владимир Дрюков отметил, что ошибки может порождать сотрудник, который устал, переработал и в результате неправильно среагировал при общении с заказчиком.

В конце питч-сессии модератор Александр Бондаренко провел блиц-опрос для спикеров: Патч-менеджмент или пентест? Удаленка или офис? PHD или SOC Forum? Многие вопросы и темы остались за кадром, но Александр обещал, что они обязательно будут озвучены в рамках следующей дискуссии.

Посмотреть запись эфира вы можете на нашем YouTube-канале:

Поделиться записью: