لقد اشتريت SIEM وتأكد أن SOC في جيبك ، أليس كذلك؟

قبل نحو شهر ، دعاني أحد معارفي القدامى إلى مكاني ، مدير أمن المعلومات في شركة كبيرة إلى حد ما ، وكان الهدف ، على حد قوله ، "مفاجأة لي". ألاحظ أننا ناقشنا سابقًا التحديات التي واجهتها العديد من الشركات في مجال التهديدات السيبرانية ومشكلات بناء SOC (مركز العمليات الأمنية).

هكذا تبدأ قصتي حول بناء شركة نفط الجنوب في شركة.



مع الاحتفالية المتأصلة ، رافقني مدير أمن المعلومات إلى المساحة المفتوحة لقسم تكنولوجيا المعلومات لديهم. وأظهروا لي كومة من الصناديق ذات "حديد" باهظ الثمن ، بالإضافة إلى نسخة مطبوعة من المواصفات. وأشارت إلى شراء تراخيص بائع معروف مشمول في Quadrant لشركة SIEM . يشير الفرح الحقيقي على وجهه إلى أن المشاكل التي تم التعبير عنها من المحادثة السابقة قد تم حلها بين عشية وضحاها. ثم أخبرني لاحقًا أنه بالإضافة إلى هذا "الكنز" ، تم الاتفاق على أموال هذا النظام ، وكان من المخطط توظيف ثلاثة متخصصين في الموظفين لهذا النشاط. في الوقت نفسه ، ركز بشكل خاص على "المتخصصين الثلاثة" ، وكأنه أوضح أنه عمل على حل المشكلة بعمق وحساب كل شيء. كان الحساب صحيحًا نسبيًا بالفعل ، ولكن للأسف لم يتم التحقق منه تجريبيًا.

جلسنا وناقشنا كلاً من هيكل مشروع بناء شركة نفط الجنوب والنموذج الاقتصادي الذي اقترحه. حاولنا تقييم المعدلات والأدوار والكفاءات اللازمة للوصول إلى مستوى الخدمة المطلوب.

في البداية ، كانت الفكرة هي تفويض دعم الأجهزة لقسم تكنولوجيا المعلومات ، وإرسال مهندسيهم إلى دورات البائعين المتخصصة. بعد ذلك ، استخدم العرض الأول لمهندس تطبيقات SIEM. كان من المتوقع أن يكون هذا الرفيق قادرًا على ربط مصادر الأحداث بعد التدريب ، وكذلك "من المستحسن كتابة الموصلات إذا لزم الأمر" (اقتباس مباشر). أيضا ، في بقية الوقت ، شارك في تحليل الحوادث البسيطة. تم التخطيط للمعدلين الثاني والثالث للخبراء لفرز الحوادث ، وصياغة قواعد ارتباط جديدة ، وتطوير الاتجاه ككل. كما أخذ في الاعتبار حقيقة أنه يمكن أن يكون هناك العديد من الحوادث ، وفي الوقت الحالي قد يمرض أحد الخبراء أو يذهب في إجازة.

إلى سؤال: "ما هي التوقعات: بحسب عدد المصادر والحوادث وتعقيد الأحداث والتوقيت المتوقع لرد الفعل؟" ، تم تلقي إجابة مشوشة للغاية ، ثم الصمت والاستنتاج ، مع الحزن في الصوت: "ثم سنخرج بشيء! .. ".

يمكن أن تسمى هذه الحالة نموذجية تمامًا لتلك الشركات التي أدركت لسبب ما الحاجة إلى تنفيذ SOC ، لكنها لم تستطع تقييم "حجم الكارثة" بشكل شامل.

نحن ناضجة ، نحتاج SOC

أحد الشروط المسبقة لإدخال شركة نفط الجنوب هو نضج الشركة التي تحققت على مستوى معين. جعل هذا المستوى من الممكن الإغلاق في وقت سابق ، وفقًا لهرم الاحتياجات ، والأشياء الأساسية وإدراك أنه لم يتم العثور على مكون واحد مفقود للصورة المتكاملة. في الواقع ، بعد أن قامت الشركة بترتيب البنية التحتية (بنية الشبكة ، والتجزئة ، والمجالات ، وإجراءات التحديث ، وغيرها من الأشياء المفيدة) ، وكذلك تقديم المجموعة الضرورية والكافية من أدوات حماية المعلومات (مستويات الحماية ، ونقطة النهاية ، وما إلى ذلك) ، يتم تعيينها عن غير قصد السؤال: "كيف يمكنني رؤية أسرتي بأكملها وكيف يمكنني تقييم ما سأراه؟"

في ذلك الوقت ، من المفترض أن الشركة قد بنت بالفعل عمليات. تم بناء العديد منها في أفضل تقاليد ITIL. تنقسم وحدة دعم تكنولوجيا المعلومات (في بعض الحالات ، أمن المعلومات) إلى خطوط دعم ، وقد تكون هناك أيضًا نوبات مع وضع تشغيل 24 * 7. ومع ذلك ، تجدر الإشارة إلى أن مثل هذه الشركات نادرة ، وفي ذاكرتي فقط 3 من أصل 10 ، مع أكثر من 1000 محطة عمل ، يمكنها أن تتباهى بكل قائمة الإنجازات هذه.

ومع ذلك ، إذا أخذنا 30٪ من المحظوظين كمثال ، فإنهم يواجهون مهمة تنفيذ مشروع تكامل ، والذي يجب أن يتحول إلى خدمة مهمة للغاية وحرجة. في إطار المشروع الذي يصف بالخط العريض ، من الضروري:

1. تنفيذ وتكوين نظام SIEM (التكامل مع مكتب الخدمة أو ما يعادله ؛ إعداد مصادر الأحداث وربطها ؛ التخصيص وتطبيق قواعد الارتباط الأساسية ، وما إلى ذلك).
2. توظيف وتدريب الموظفين (الدورات المتخصصة لبائع نظام سيم ، والتحقيقات ، وما إلى ذلك).
3. توثيق وتنفيذ إجراءات / تعليمات الاستجابة (بما في ذلك ألبومات الحوادث ، الترتيب حسب الأهمية / التعقيد ومجموعة ضخمة من الوثائق ، تتناسب ، في شكل مطبوع ، مع نتائج عقود الدولة).
4. تحديد مجالات المسؤولية بين الأقسام وتحديد اتفاقيات مستوى الخدمة بوضوح وبدء الخدمة.
5. قم بفك وتذوق زجاجة فوارة عند وصول الحوادث الأولى ومعالجتها بوضوح. هذا البند اختياري ويعتمد فقط على الثقافة الداخلية للشركة. سيكون كافياً للتحقق من أن الخدمة تعمل وفقًا لاتفاقية مستوى الخدمة المحددة.

يبدو أن كل شيء بسيط ، يفصل كل عنصر ، يرسم خطة وينفذها في الوقت المحدد. لكن الشيطان يكمن في التفاصيل.

SOC هي التقنيات المستخدمة والخبراء والعمليات المبنية.

الآن بالترتيب.

تقنيات SOC هي تلك الأدوات التي تستخدمها الخدمة لأتمتة جمع المعلومات والارتباط والتحليلات الأولية. بالطبع ، يتم تحديد مجموعة الأدوات من خلال القدرات والوظائف المتاحة.

إن خبراء شركة نفط الجنوب هم أعضاء فريق ذوي كفاءات في مجالات:

• إدارة أنظمة التشغيل و DBMS و AD ومكونات الشبكة ؛
• إدارة أنظمة أمن المعلومات ؛
• إدارة أنظمة تطبيقات تكنولوجيا المعلومات ؛
• التحليلات (المراقبة والخط الثاني ل SOC) ؛
• تحليلات ذات خبرة وخبرة ذات صلة (السطر الثالث لـ SOC: من 3 سنوات من العمل في الشركات المتخصصة ، بالإضافة إلى المشاركة في التحقيقات في الحوادث).

عمليات شركة نفط الجنوب هي مجموعة من الإجراءات التنظيمية والفنية التي تغطي 4 مجالات:

• دعم البنية التحتية لشركة نفط الجنوب (دعم البنية التحتية) ؛
• مراقبة الأحداث الأمنية (المراقبة) ؛
• التحقيق في الحوادث (التحقيق في الحوادث / الرد) ؛
• التنمية (تطوير الخدمة).

تهدف جميع المكونات إلى الكشف عن التهديدات السيبرانية ومنعها.

وفي الوقت نفسه ، فإن أهم متطلبات هذه العمليات هو أنه يجب تضمينها بسلاسة في العمليات التجارية الحالية للمؤسسة. وبعبارة أخرى ، لا يمكن لعمليات SOC أن تكون منفصلة عن بعضها البعض ، ويجب أولاً أن تكون منظمة بعناية ، وثانياً ، للقيام بمهمتها بفعالية - لتحقيق القيمة المتوقعة. ونلاحظ أيضًا أن "الصغر" لخدمة حرجة يُفهم على أنه وضوح وتنسيق مطلقان في تصرفات موظفي الإدارات ذات الصلة ، حيث لا يُسمح بالبساطة وانتهاك معايير SLA المحددة حتى في حالة القوة القاهرة. ناهيك عن الشعبية: "كان الموظف في العشاء" أو "لم يستطع الوصول". يجب أن تكون النتيجة واضحة وفي الوقت المحدد. لهذا السبب ، فإن نموذج عمل SOC مشابه للخدمة العسكرية ، واللوائح والتعليمات المعتمدة تشبه ميثاق التنفيذ دون قيد أو شرط.

ومن المفارقات أن الكثيرين مقتنعون بأن المكون الرئيسي لـ SOC هو مجموعة أدوات. في هذه الحالة ، قد يكون من المناسب إعطاء المثال التالي. تخيل أنك ذاهب ، لا سمح الله ، لإجراء عملية. الأخبار ليست مبهجة ، ويبدأون في ابتهاجك في العيادة بالكلمات التي يقوم بها بعض الجراحين ، لكن لديه مشرطًا مذهلاً لواحدة من أغلى الشركات المصنعة. وعن "مشرط المعجزة" سيخبرونك عدة مرات ، وربما يظهرون شهادة تؤكد حدة ونقاء المعدن. أفترض أن هذه الحجة لن تطمئنك بشكل خاص وستريد الاستفسار عن الطبيب ، بالإضافة إلى خبرته في إجراء عمليات مماثلة.

بالطبع ، يعد اختيار نظام SIEM أمرًا في غاية الأهمية ويجب أن تعكس وظيفته بوضوح احتياجات المشتري. ومع ذلك ، تحتاج دائمًا إلى تذكر حقيقة أن SIEM ليست سوى أتمتة ، الأمر الذي يتطلب كفاءات عميقة ومنطقًا واضحًا للعمل لتكوينه.

الخبراء والعمليات هم حجر الزاوية في إنشاء شركة نفط الجنوب

من القائمة المذكورة أعلاه من الكفاءات اللازمة ، يمكن أن نفهم أن المتخصصين في شركة نفط الجنوب هم موظفون عالميون ومؤهلون تأهيلاً عالياً يجب أن يكونوا في مفترق المعرفة التقنية المتعمقة ولديهم أيضًا خبرة المحلل. بالإضافة إلى ذلك ، فإن اتجاه SOC صغير جدًا بالنسبة للاتحاد الروسي وكومنولث الدول المستقلة ، وهذا يعني أن هناك القليل من الخبراء في هذا المجال. من الصعب للغاية مقابلة متخصصين أكفاء و "أحرار" في السوق. بادئ ذي بدء ، يهتم هؤلاء المتخصصون بالعمل مع حالات جديدة ومثيرة للاهتمام تسمح لهم بالتطور. تحتاج إلى خيط. لهذا السبب ، غالبًا ما "يستقرون" في مقدمي الخدمات الكبار ويتناوبون فقط بين الهياكل المماثلة.

جدير بالذكر مستوى رواتب هؤلاء الاختصاصيين. في وقت سابق ، استشهد الزملاء مرارا التحليلات . المعلومات ذات صلة تمامًا بهذا اليوم ، باستثناء مستوى الرواتب فقط - فقد أصبحت أعلى ، وفي السوق بمتوسط ​​15-20 ٪. هذا يعني أن الشركة التي اختارت توظيف الخبراء يجب أن تدفع أموالًا خطيرة للغاية. ما مدى صلة هذه الأموال بالفائدة ، شريطة أن القليل من الشركات (باستثناء "مقدم الخدمة") يمكنها الاستفادة من وقت هذا الخبير بنسبة 70٪ على الأقل؟ حتى إذا تم فصل مثل هذا الخبير كمرتب مرتفع ، فإن احتمال أن يجد وظيفة أكثر إثارة للاهتمام مرتفع. بالإضافة إلى ذلك ، هناك إحصائيات تفيد بأن أعضاء فريق هذا النوع من خدمة المشروع لمدة 3-7 سنوات يتم تحديثهم بالكامل. هذه حقيقة ويجب أن يحسب لها حساب.

لذلك ، اشترت الشركة مجموعة أدوات رائعة ، نظام SIEM فعال وفعال ، وظفت خبير SOC موهوب وذو خبرة ، والذي كان قادرًا على إنشاء فريق ودود ومنسق من المتخصصين المسؤولين. علاوة على ذلك ، يجب أن يأخذ هذا الفريق نظام الدعم ، وتطوير الإجراءات واللوائح اللازمة ، وتنفيذها والبدء في العمل عليها. من الجدير بالذكر أنه حتى بعد الحصول على نصيحة جيدة من المندمج ، الذي ساعد في تكلفة SOC (نفذ النظام ، وقام بمراجعة للعمليات ، ووضع القواعد الأساسية وكتب التعليمات اللازمة) ، ترك فريق SOC طبقة ضخمة من العمل لتحسين مركز الاستجابة الذي تم إنشاؤه لواقع الشركة. يتبع دمج العمليات ومخططات العمل في كل حالة على حدة.
إذا لم تكن هناك استشارات ، ويجب على الفريق بناء شركة نفط الجنوب من تلقاء نفسها ، فإن القصة تصبح أكثر إثارة للاهتمام ومكلفة. الأمر أشبه بوضع طالب دراسات عليا (وإن كان حاصل على دبلوم أحمر) في الأيام الأولى من العمل في الإنتاج على الموقع الأكثر مسؤولية ، ويأمل أن "يوجه نفسه بطريقة أو بأخرى".

ويترتب على ذلك أنه من أجل إسناد إنشاء SOC إلى الفريق الذي يتم إنشاؤه ، يجب أن تكون مستعدًا لسيناريوهين:

1. تجنيد فريق من المتخصصين الذين قاموا بالفعل بإنشاء خدمة مماثلة (إما من خلال هذه التركيبة ، أو كل مشارك على حدة وفقًا لدوره).
2. قم بتجنيد خبراء من مجالات مماثلة مع المعرفة ذات الصلة و "صب" الأموال في الطريق من القرارات الخاطئة والعيوب والإجراءات غير المتسقة.

من بين السيناريوهين ، من المرجح أن يكون الخيار الأول أكثر ميزانية بسبب ضمان النتيجة وتوقيت الوصول إلى العمل المستهدف للخدمة. علاوة على ذلك ، في الإصدار الأول ، يفهم راعي خدمة المشروع بالفعل عدد الموظفين الضروريين وتكوين الأدوار اللازمة (عدد خطوط الدعم ، بما في ذلك وضع التشغيل 24 * 7 أو 8 * 5 ؛ عدد المحللين الذين لديهم وظائف ؛ دعم SIEM والمكونات الخ). في الحالة الثانية ، يجادل الكفيل عادة في الفئات التالية: "لدينا 5 وحدات عمل عالمية ، يمكن لكل خبير أن يأخذ وحدتين من العمل في لحظة ، لذلك نأخذ خبيرين وطالب واحد." قد يبدو الأمر سخيفًا ، لكن الممارسة تظهر أنه في صخب وتدفق تدفق المهام ، يتخذ بعض القادة مثل هذه القرارات تلقائيًا. وفي الوقت نفسه ، نحن على يقين من النتيجة ، تحت شعار: "سيكون هناك موظفين جيدين ، وبعد ذلك سنتوصل إلى كيفية استخدامها وتحميلها".

أو ربما SOC كخدمة أفضل؟

الآن الإنترنت مليء بأحدث الاتجاهات: التحول الرقمي (التحول الرقمي) ، تدخل الشركات بالكامل في "الغيوم" ، والعمليات غير الأساسية يتم الاستعانة بمصادر خارجية. بدأت الشركات الكبيرة في تقديم منصات يمكنك من خلالها طلب العدد الضروري من الخدمات للحفاظ على الأعمال التجارية وتنميتها من أي حجم. الاستعانة بمصادر خارجية في المحاسبة والخدمات القانونية ومراكز الاتصال وتكنولوجيا المعلومات الجاهزة: هذه ليست سوى بداية التغيرات العالمية. علاوة على ذلك ، يمكن أن تكون أنواع الخدمات على الإطلاق. هناك حاجة كبيرة اليوم لتلك التي كانت ستبدو رائعة وأصلية أمس ، مثل "الاستعانة بمصادر خارجية للطباعة". علاوة على ذلك ، يمكننا أن نرى اتجاه التنمية للنموذج الموجه نحو الخدمة في السوق الغربية ، والذي يتقدم تقليديًا على الاتحاد الروسي ورابطة الدول المستقلة. إنه ضخم ويغطي جميع القطاعات.

SOC كخدمة (SOCaaS) ليست استثناء. هناك ما يكفي من اللاعبين في السوق ، ومقدمي خدمات أمن المعلومات (موفر خدمة الأمن المدار ، MSSP) ، الذين يقدمون للعملاء ليس "إعادة اختراع العجلة" ، ولكن ببساطة للاستفادة من الخبرة والخبرة في هذا المجال. هنا بالتحديد ، على "التيار" ، يملأ الخبراء أيديهم ويكتسبون خبرة هائلة ، مما يسمح لهم بوضع عمليات واضحة وفعالة. يجمعون جميع المجرفات لتحليل جميع السيناريوهات الممكنة ويقدمون خيارات ذات صلة باحتياجات العملاء. لا يحتاج العميل إلى اختراع أي شيء ، فهو ببساطة يحاول الخيارات المعروضة ويختار الخيارات الضرورية.

ما هو أكثر "لذيذ" في هذه القصة هو:

• للحصول على أموال معقولة للغاية ، يتلقى العميل قائمة كاملة من الخبراء باهظ الثمن في الحجم الذي يحتاجه ؛
• الخدمة مصممة جيدًا ومدربة جيدًا ومختبرة في شركات أخرى ؛
• شركة الخدمة مسؤولة عن تنفيذ أموال جيش تحرير السودان و "العامل البشري" ؛
• يتلقى العميل خدمة تسليم المفتاح. هذا يعني أن العميل لا يحتاج إلى إنشاء مقترحات لتطوير الخدمة ، سيأتي مزود الخدمة معهم بنفسه. وبالطبع ، لا تقلق بشأن دوافع فريق SOC أو دوران المتخصصين. الشريك المختار سيهتم بهذا.

ما هي النتيجة؟

بالنسبة إلى صديقي ، هناك خياران للخروج بنجاح من هذا الموقف:

1. للحصول على ميزانية إضافية للخبراء الأكفاء الذين قاموا سابقًا ببناء SOC وتوسيع الموظفين بما لا يقل عن 4 أشخاص آخرين (ووضع 24 * 7 - بواسطة 7 متخصصين) ، ثم أكمل مشروعًا داخليًا طموحًا.
2. احصل على ميزانية أكبر لبناء SOC بنظام تسليم المفتاح ، حيث يعمل مزود خدمة مؤهل وذو خبرة كمقاول. هذه رواية كاملة تبلغ قيمتها عشرات الملايين من روبل (capex) ، ولكن مع نتيجة مضمونة. بعد ذلك ، سوف يتناسب Opex أيضًا مع النقطة 1 ، ومع ذلك ، سيتم الحصول على مستوى الخدمة المطلوب بشكل أسرع.

على أي حال ، كلا الخيارين يتناسبان مع تكلفة الأموال التي تنفق على تراخيص SIEM وهي أغلى بكثير من الخدمة المدارة بنفس المعلمات. إنها حقيقة! هذا هو السبب في أن هذا المجال يتطور بنشاط الآن وهو مطلوب بشكل كبير بين الشركات المهتمة.

ومع ذلك ، يجب الاعتراف بأنه حتى أفضل خدمة ليست وسيلة عالمية لحل جميع مشاكل وآلام العميل. وكل شيء ، كالمعتاد ، يبقى تحت رحمة مهمة محددة ، حجم المحفظة وجماهير عميل شركة نفط الجنوب.

دينيس جوشين ، نائب الرئيس التنفيذي لشركة Infosecurity.