Sie haben SIEM gekauft und sind sich sicher, dass SOC in Ihrer Tasche ist, oder?

Vor ungefähr einem Monat lud mich einer meiner alten Bekannten zu mir nach Hause ein, den Direktor für Informationssicherheit in einem ziemlich großen Unternehmen, mit dem Ziel, in seinen Worten „mich zu überraschen“. Ich stelle fest, dass wir zuvor mit ihm die Herausforderungen besprochen haben, denen sich viele Unternehmen im Bereich Cyber-Bedrohungen gegenübersahen, und die Probleme beim Aufbau von SOC (Security Operation Center).

So beginnt meine Geschichte über den Aufbau eines SOC in einem Unternehmen.



Mit der inhärenten Zeremonie begleitete mich der Direktor für Informationssicherheit zum offenen Raum ihrer IT-Abteilung. Und dort zeigten sie mir einen Stapel Kisten mit teurem "Eisen" sowie einen Ausdruck der Spezifikation. Sie wies auf den Kauf von Lizenzen eines bekannten Anbieters hin, der in Quadrant for SIEM enthalten ist . Die echte Freude in seinem Gesicht zeigte, dass die stimmhaften Probleme aus dem vorherigen Gespräch über Nacht gelöst worden waren. Und später erzählte er mir, dass zusätzlich zu diesem „Schatz“ Geld für die Implementierung dieses Systems vereinbart worden war und geplant war, drei Spezialisten für diese Aktivität einzustellen. Gleichzeitig legte er besonderen Wert auf die "drei Spezialisten", als würde er deutlich machen, dass er das Thema gründlich durchgearbeitet und alles kalkuliert hatte. Die Berechnung war zwar relativ solide, aber leider nicht empirisch verifiziert.

Wir setzten uns und diskutierten sowohl die Struktur des SOC-Bauprojekts als auch das von ihm vorgeschlagene Wirtschaftsmodell. Wir haben versucht, die zugewiesenen Raten, Rollen und Kompetenzen zu bewerten, die erforderlich sind, um das erforderliche Serviceniveau zu erreichen.

Ursprünglich bestand die Idee darin, den Hardware-Support an die IT-Abteilung zu delegieren und ihre Ingenieure zu speziellen Anbieterkursen zu schicken. Verwenden Sie als Nächstes das erste Gebot für SIEM Application Engineer. Es wurde erwartet, dass dieser Kamerad nach dem Training in der Lage sein wird, Ereignisquellen zu verbinden, und es ist auch „ratsam, bei Bedarf Konnektoren zu schreiben“ (direktes Zitat). Nehmen Sie auch den Rest der Zeit an der Analyse einfacher Vorfälle teil. Die zweite und dritte Rate waren für Experten geplant, um Vorfälle zu sortieren, neue Korrelationsregeln zu formulieren und die Richtung als Ganzes zu entwickeln. Es wurde auch die Tatsache berücksichtigt, dass es viele Zwischenfälle geben kann und im Moment einer der Experten krank werden oder in den Urlaub fahren kann.

Auf die Frage: "Wie war die Prognose: Je nach Anzahl der Quellen, Vorfällen, Komplexität der Ereignisse und dem erwarteten Zeitpunkt der Reaktion?" Wurde eine sehr verwirrte Antwort erhalten, und dann Schweigen und Abschluss mit einer Traurigkeit in der Stimme: "Dann werden wir uns etwas einfallen lassen! ... ".

Dieser Fall kann als recht typisch für Unternehmen bezeichnet werden, die aus irgendeinem Grund die Notwendigkeit der Implementierung von SOC erkannt haben, das "Ausmaß der Katastrophe" jedoch nicht umfassend bewerten konnten.

Wir sind reif, wir brauchen SOC

Eine der Voraussetzungen für die Einführung von SOC ist die auf einem bestimmten Niveau erreichte Reife des Unternehmens. Diese Ebene ermöglichte es, die grundlegenden Dinge je nach Bedarfspyramide früher zu schließen und zu erkennen, dass jetzt für ein integriertes Bild eine wichtige Komponente fehlt. Nachdem das Unternehmen die Infrastruktur (Netzwerkarchitektur, Segmentierung, Domänen, Aktualisierungsverfahren und andere nützliche Dinge) in Ordnung gebracht und die erforderlichen und ausreichenden Informationsschutz-Tools (Schutzstufen, Endpunkte usw.) eingeführt hat, wird sie unabsichtlich festgelegt die Frage: "Wie kann ich meinen gesamten Haushalt sehen und wie kann ich bewerten, was ich sehen werde?"

Zu diesem Zeitpunkt hat das Unternehmen angeblich bereits Prozesse aufgebaut. Viele von ihnen sind in den besten Traditionen von ITIL gebaut. Die IT-Support-Einheit (in einigen Fällen Informationssicherheit) ist in Support-Linien unterteilt, und es kann sogar zu Schichten mit einem 24 * 7-Betriebsmodus kommen. Es ist jedoch erwähnenswert, dass solche Unternehmen selten sind und in meiner Erinnerung nur 3 von 10 mit mehr als 1.000 Arbeitsplätzen über all diese Erfolge verfügen.

Wenn wir jedoch diese 30% der Glücklichen als Beispiel nehmen, stehen sie vor der Aufgabe, ein Integrationsprojekt umzusetzen, das zu einem sehr wichtigen und kritischen Dienst ausarten sollte. Im Rahmen des Projekts, das in fetten Strichen beschrieben wird, ist Folgendes erforderlich:

1. Implementieren und konfigurieren Sie ein SIEM-System (Integration mit einem Service Desk oder einem gleichwertigen System; Einrichten und Verbinden von Ereignisquellen; Anpassen und Anwenden grundlegender Korrelationsregeln usw. usw.).
2. Personal einstellen und schulen (spezielle Kurse, Untersuchungen usw. für Anbieter von Siem-Systemanbietern).
3. Dokumentieren und implementieren Sie Reaktionsverfahren / -anweisungen (einschließlich Vorfallalben, Rangfolge nach Kritikalität / Komplexität und einer Vielzahl von Dokumenten, die in gedruckter Form den Ergebnissen staatlicher Verträge entsprechen).
4. Definieren Sie Verantwortungsbereiche zwischen Abteilungen, definieren Sie SLAs klar und starten Sie den Service.
5. Entkorken und probieren Sie eine kohlensäurehaltige Flasche, wenn die ersten Vorfälle eintreffen und klar behandelt werden. Dieser Artikel ist optional und hängt ausschließlich von der internen Unternehmenskultur ab. Es reicht aus, zu überprüfen, ob der Dienst gemäß dem angegebenen SLA funktioniert.

Es scheint, dass alles einfach ist, detailliert jedes Element, zeichnet einen Plan und führt ihn pünktlich aus. Aber der Teufel steckt im Detail.

SOC sind die verwendeten Technologien, Experten und gebauten Prozesse.

Jetzt in Ordnung.

SOC-Technologien sind die Tools, mit denen der Dienst die Erfassung von Informationen, Korrelationen und Primäranalysen automatisiert. Natürlich wird das Toolkit von den verfügbaren Fähigkeiten und Funktionen bestimmt.

SOC-Experten sind Teammitglieder mit Kompetenzen in den Bereichen:

• Verwaltung von Betriebssystem-, DBMS-, AD- und Netzwerkkomponenten;
• Verwaltung von Informationssicherheitssystemen;
• Verwaltung von IT-Anwendungssystemen;
• Analytik (Überwachung und 2. Zeile für SOC);
• Analytik mit einschlägiger Erfahrung und Fachkenntnis (3. Zeile für SOC: aus 3 Jahren Arbeit in spezialisierten Unternehmen sowie Teilnahme an Vorfalluntersuchungen).

SOC-Prozesse sind eine Reihe von organisatorischen und technischen Verfahren, die vier Bereiche abdecken:

• SOC-Infrastrukturunterstützung (Infrastrukturunterstützung);
• Überwachung von Sicherheitsereignissen (Überwachung);
• Untersuchung von Vorfällen (Untersuchung / Reaktion auf Vorfälle);
• Entwicklung (Serviceentwicklung).

Alle Komponenten zielen darauf ab, Cyber-Bedrohungen zu erkennen und zu verhindern.

Gleichzeitig ist die wichtigste Voraussetzung für diese Prozesse, dass sie nahtlos in die aktuellen Geschäftsprozesse der Organisation eingebettet werden. Mit anderen Worten, SOC-Prozesse können nicht voneinander getrennt sein und müssen zum einen sorgfältig strukturiert sein und zum anderen ihre Aufgabe effektiv erfüllen - um den erwarteten Wert zu erzielen. Wir weisen auch darauf hin, dass das „Filigran“ eines kritischen Dienstes als absolute Klarheit und Koordination bei den Handlungen von Mitarbeitern verwandter Abteilungen verstanden wird, bei denen eine einfache und Verletzung der angegebenen SLA-Parameter auch bei höherer Gewalt nicht zulässig ist. Ganz zu schweigen von den beliebten: „Der Angestellte war beim Abendessen“ oder „konnte nicht durchkommen“. Das Ergebnis sollte klar und pünktlich sein. Aus diesem Grund ähnelt das SOC-Arbeitsmodell dem Militärdienst, und die verabschiedeten Vorschriften und Anweisungen ähneln einer bedingungslos ausgeführten Charta.

Paradoxerweise sind viele davon überzeugt, dass die Hauptkomponente von SOC das Toolkit ist. In diesem Fall wäre es angebracht, das folgende Beispiel anzugeben. Stellen Sie sich vor, Sie gehen, Gott bewahre, zu einer Operation. Die Nachricht ist nicht erfreulich und sie beginnen Sie in der Klinik mit Worten aufzuheitern, dass ein Chirurg die Operation durchführen wird, aber er hat ein erstaunliches Skalpell eines der teuersten Hersteller. Und über das "Wunderskalpell" werden sie Ihnen mehrmals erzählen und vielleicht sogar ein Zertifikat zeigen, das die Schärfe und Reinheit des Metalls bestätigt. Ich nehme an, dass dieses Argument Sie nicht besonders beruhigt und Sie sich nach dem Arzt sowie seiner Erfahrung bei der Durchführung ähnlicher Operationen erkundigen möchten.

Natürlich ist die Wahl eines SIEM-Systems äußerst wichtig und seine Funktionalität sollte die Bedürfnisse des Käufers klar widerspiegeln. Sie müssen sich jedoch immer daran erinnern, dass es sich bei SIEM nur um Automatisierung handelt, für deren Konfiguration umfassende Kompetenzen und eine sehr klare Arbeitslogik erforderlich sind.

Experten und Prozesse sind der Eckpfeiler bei der Schaffung von SOC

Aus der obigen Liste der erforderlichen Kompetenzen geht hervor, dass SOC-Spezialisten universelle und hochqualifizierte Mitarbeiter sind, die an der Schnittstelle von fundiertem technischen Wissen stehen und auch die Erfahrung eines Analysten haben sollten. Darüber hinaus ist die SOC-Richtung für die Russische Föderation und die GUS noch recht jung, und dies bedeutet, dass es auf diesem Gebiet nur wenige Experten gibt. Es ist äußerst schwierig, kompetente und „freie“ Spezialisten auf dem Markt zu treffen. Zuallererst sind solche Spezialisten daran interessiert, mit neuen und interessanten Fällen zu arbeiten, die es ihnen ermöglichen, sich zu entwickeln. Benötigen Sie einen Thread. Aus diesem Grund „siedeln“ sie sich häufig bei großen Dienstleistern an und wechseln nur zwischen ähnlichen Strukturen.

Es ist erwähnenswert, wie hoch die Gehälter dieser Spezialisten sind. Zuvor haben Kollegen wiederholt Analysen zitiert. Die Informationen sind bis heute sehr relevant, mit Ausnahme der Höhe der Gehälter - sie sind höher geworden und auf dem Markt um durchschnittlich 15 bis 20%. Dies bedeutet, dass ein Unternehmen, das Experten eingestellt hat, ziemlich viel Geld bezahlen muss. Wie relevant ist dieses Geld für den Nutzen, vorausgesetzt, dass nur wenige Unternehmen (mit Ausnahme des „Dienstleisters“) die Zeit eines solchen Experten zu mindestens 70% nutzen können? Selbst wenn ein solcher Experte als hohes Gehalt abgetan wurde, ist die Wahrscheinlichkeit hoch, dass er einen interessanteren Job findet. Darüber hinaus gibt es Statistiken, dass die Teammitglieder dieser Art von Projektdienst für 3-7 Jahre vollständig aktualisiert werden. Dies ist Realität und muss berücksichtigt werden.

Daher kaufte das Unternehmen ein wunderbares Toolkit, ein funktionales und effektives SIEM-System, und stellte einen talentierten und erfahrenen SOC-Experten ein, der ein freundliches und koordiniertes Team verantwortungsbewusster Spezialisten zusammenstellen konnte. Darüber hinaus sollte dieses Team das System zur Unterstützung nutzen, die erforderlichen Verfahren und Vorschriften entwickeln, umsetzen und mit der Arbeit beginnen. Es ist erwähnenswert, dass das SOC-Team selbst nach guten Ratschlägen des Integrators, der zur Kostenberechnung des SOC beigetragen hat (Implementierung des Systems, Prüfung der Prozesse, Erstellung der Grundregeln und Erstellung der erforderlichen Anweisungen), eine enorme Arbeitsebene zur Optimierung des für die Realitäten des Unternehmens erstellten Reaktionszentrums hatte. Das Kombinieren von Prozessen und Arbeitsschemata erfolgt im Einzelfallmodus.
Wenn es keine Beratung gab und das Team den SOC selbst aufbauen muss, wird die Geschichte noch interessanter und kostspieliger. Es ist so, als würde man einen Doktoranden (wenn auch mit einem roten Diplom) in den ersten Arbeitstagen in die Produktion an den verantwortungsvollsten Ort bringen und hoffen, dass er sich "irgendwie orientiert".

Daraus folgt, dass Sie auf zwei Szenarien vorbereitet sein müssen, um die Erstellung des SOC dem zu erstellenden Team anzuvertrauen:

1. Rekrutieren Sie ein Team von Spezialisten, die bereits einen ähnlichen Service erstellt haben (entweder durch diese Zusammensetzung oder durch jeden Teilnehmer einzeln entsprechend seiner Rolle).
2. Rekrutieren Sie Experten aus ähnlichen Bereichen mit relevantem Wissen und „gießen“ Sie Geld in den Weg von fehlerhaften Entscheidungen, Fehlern und inkonsistenten Handlungen.

Von den beiden Szenarien ist die erste Option aufgrund der Garantie des Ergebnisses und des Zeitpunkts für das Erreichen der Zielarbeit des Dienstes eher budgetär. Darüber hinaus versteht der Sponsor des Projektdienstes in der ersten Version bereits zunächst die Anzahl der erforderlichen Mitarbeiter und die Zusammensetzung der erforderlichen Rollen (Anzahl der Supportlinien, einschließlich 24 * 7- oder 8 * 5-Betriebsmodus; Anzahl der Analysten mit Funktionalität; Unterstützung für SIEM und Komponenten) usw.). Im zweiten Fall argumentiert der Sponsor normalerweise in den folgenden Kategorien: „Wir haben 5 universelle Arbeitseinheiten, jeder Experte kann in einem Moment 2 Arbeitseinheiten übernehmen, also nehmen wir zwei Experten und einen Studenten.“ Es mag lächerlich erscheinen, aber die Praxis zeigt, dass einige Führungskräfte in der Hektik des Aufgabenflusses automatisch solche Entscheidungen treffen. Gleichzeitig sind wir uns des Ergebnisses unter dem Motto sicher: "Es würde gute Mitarbeiter geben, und dann werden wir uns überlegen, wie man sie einsetzt und lädt."

Oder ist SOC as a Service vielleicht besser?

Jetzt ist das Internet voll mit den neuesten Trends: Digitale Transformation (digitale Transformation), Unternehmen gehen vollständig in die „Clouds“, nicht zum Kerngeschäft gehörende Prozesse werden ausgelagert. Große Unternehmen bieten zunehmend Plattformen an, mit denen Sie die erforderliche Anzahl von Diensten wählen können, um ein Unternehmen jeder Größe zu erhalten und auszubauen. Outsourcing in den Bereichen Buchhaltung, Rechtsberatung, Call Center, schlüsselfertige IT: Dies ist nur der Beginn globaler Veränderungen. Darüber hinaus können die Arten von Diensten absolut beliebig sein. Diejenigen, die erst gestern unglaublich und originell erschienen wären, wie beispielsweise das „Print-Outsourcing“, sind heute sehr gefragt. Darüber hinaus können wir den Entwicklungstrend des serviceorientierten Modells auf dem westlichen Markt beobachten, der traditionell vor der Russischen Föderation und der GUS liegt. Es ist riesig und deckt alle Branchen ab.

SOC as a Service (SOCaaS) ist keine Ausnahme. Es gibt genügend Akteure auf dem Markt, Anbieter von Informationssicherheitsdiensten (Managed Security Service Provider, MSSP), die Kunden anbieten, das Rad nicht neu zu erfinden, sondern lediglich das Fachwissen und die Erfahrung auf diesem Gebiet zu nutzen. Genau hier, im „Stream“, füllen Experten ihre Hände und sammeln enorme Erfahrungen, die es ihnen ermöglichen, klare und effektive Prozesse zu erstellen. Sie sammeln alle Rechen, um alle möglichen Szenarien zu analysieren und Optionen anzubieten, die für die Kundenbedürfnisse relevant sind. Der Kunde muss nichts erfinden, er probiert einfach die angebotenen Optionen aus und wählt die notwendigen aus.

Was in dieser Geschichte am „leckersten“ ist, ist Folgendes:

• Für ein angemessenes Geld erhält der Kunde die gesamte Liste der teuren Experten in dem von ihm benötigten Umfang.
• Der Service ist gut konzipiert, gut geschult und in anderen Unternehmen getestet.
• Das Dienstleistungsunternehmen ist für die Umsetzung des SLA-Geldes und den "menschlichen Faktor" verantwortlich.
• Der Kunde erhält einen schlüsselfertigen Service. Dies bedeutet, dass der Kunde keine Vorschläge für die Entwicklung des Dienstes erstellen muss, der Dienstanbieter wird diese selbst mitbringen. Und natürlich keine Sorge um die Motivation des SOC-Teams oder den Umsatz von Spezialisten. Der ausgewählte Partner wird sich darum kümmern.

Was ist das Ergebnis?

Für meinen Freund gibt es zwei Möglichkeiten, um erfolgreich aus dieser Situation herauszukommen:

1. Um ein zusätzliches Budget für kompetente Experten zu erhalten, die zuvor den SOC aufgebaut und das Personal um mindestens 4 weitere Personen erweitert haben (und im 24 * 7-Modus - um 7 Spezialisten), schließen Sie ein ehrgeiziges internes Projekt ab.
2. Erhalten Sie ein noch größeres Budget für den Bau eines schlüsselfertigen SOC, bei dem ein qualifizierter und erfahrener Dienstleister als Auftragnehmer fungiert. Dies ist ein ganzer Roman im Wert von mehreren zehn Millionen Rubel (Capex), aber mit einem garantierten Ergebnis. Opex wird dann auch Punkt 1 entsprechen, jedoch wird das erforderliche Serviceniveau viel schneller erreicht.

In jedem Fall entsprechen beide Optionen den Kosten für SIEM-Lizenzen und sind um ein Vielfaches teurer als ein verwalteter Dienst mit denselben Parametern. Es ist eine Tatsache! Deshalb entwickelt sich dieser Bereich jetzt so aktiv und ist bei interessierten Unternehmen sehr gefragt.

Es muss jedoch anerkannt werden, dass selbst der beste Service kein universelles Mittel ist, um alle Probleme und Schmerzen des Kunden zu lösen. Und alles bleibt wie immer einer bestimmten Aufgabe ausgeliefert, der Größe des Portemonnaies und der Pedanterie des SOC-Kunden.

Denis Gushchin, stellvertretender CEO von Infosecurity.