Usted compró SIEM y está seguro de que SOC está en su bolsillo, ¿verdad?

Hace aproximadamente un mes, uno de mis viejos conocidos me invitó a mi casa, el director de seguridad de la información en una empresa bastante grande, con el objetivo, como él dijo, "sorprenderme". Observo que anteriormente discutimos los desafíos que enfrentaron muchas compañías en el campo de las amenazas cibernéticas y los problemas de construir SOC (Centro de Operaciones de Seguridad).

Así comienza mi historia sobre la construcción de un SOC en una empresa.



Con la ceremonialidad inherente, el director de seguridad de la información me acompañó al espacio abierto de su departamento de TI. Y allí me mostraron una pila de cajas con un costoso "hierro", así como una copia impresa de la especificación. Señaló la compra de licencias de un conocido vendedor incluido en Quadrant para SIEM . La verdadera alegría en su rostro indicaba que los problemas de voz de la conversación anterior se habían resuelto de la noche a la mañana. Y luego me dijo que, además de este "tesoro", se había acordado dinero para implementar este sistema, y ​​que estaba previsto contratar a tres especialistas en el personal para esta actividad. Al mismo tiempo, hizo un énfasis especial en los "tres especialistas", como si dejara en claro que había trabajado el tema profundamente y había calculado todo. El cálculo fue de hecho relativamente sólido, pero desafortunadamente no se verificó empíricamente.

Nos sentamos y discutimos tanto la estructura del proyecto de construcción SOC como el modelo económico que propuso. Intentamos evaluar las tasas asignadas, los roles y las competencias necesarias para alcanzar el nivel de servicio requerido.

Inicialmente, la idea era delegar el soporte de hardware al Departamento de TI, enviando a sus ingenieros a cursos de proveedores especializados. A continuación, utilice la primera oferta para el ingeniero de aplicaciones SIEM. Se esperaba que este compañero pudiera conectar fuentes de eventos después del entrenamiento, y también "es aconsejable escribir conectores si es necesario" (presupuesto directo). Además, el resto del tiempo, participe en el análisis de incidentes simples. Las tasas segunda y tercera se planificaron para que los expertos clasifiquen los incidentes, formulen nuevas reglas de correlación y desarrollen la dirección como un todo. También tuvo en cuenta el hecho de que puede haber muchos incidentes, y en este momento uno de los expertos puede enfermarse o irse de vacaciones.

A la pregunta: "¿Cuál fue el pronóstico: según la cantidad de fuentes, incidentes, la complejidad de los eventos y el momento esperado de la reacción?", Se recibió una respuesta muy confusa, y luego silencio y conclusión, con tristeza en la voz: "¡Entonces se nos ocurrirá algo! .. ".

Este caso puede considerarse bastante típico para aquellas compañías que por alguna razón se dieron cuenta de la necesidad de la implementación de SOC, pero no pudieron evaluar exhaustivamente la "escala del desastre".

Estamos maduros, necesitamos SOC

Uno de los requisitos previos para la introducción de SOC es la madurez de la empresa alcanzada en cierto nivel. Este nivel permitió cerrar antes, de acuerdo con la pirámide de necesidades, las cosas básicas y darse cuenta de que ahora para una imagen integrada falta un componente importante. De hecho, después de que la compañía puso en orden la infraestructura (arquitectura de red, segmentación, dominios, procedimientos de actualización y otras cosas útiles), y también introdujo el conjunto necesario y suficiente de herramientas de protección de la información (escalones de protección, punto final, etc.), se establece involuntariamente la pregunta: "¿Cómo puedo ver a toda mi familia y cómo evaluar lo que veré?"

En ese momento, la empresa supuestamente ya ha construido procesos. Muchos de ellos están construidos en las mejores tradiciones de ITIL. La unidad de soporte de TI (en algunos casos, seguridad de la información) se divide en líneas de soporte, e incluso puede haber cambios con un modo operativo 24 * 7. Sin embargo, vale la pena señalar que tales compañías son raras, y en mi memoria solo 3 de cada 10, con más de 1,000 estaciones de trabajo, pueden presumir de toda esta lista de logros.

Sin embargo, si tomamos este 30% de los afortunados como ejemplo, entonces se enfrentan a la tarea de implementar un proyecto de integración, que debería degenerar en un servicio muy importante y crítico. En el marco del proyecto, describiendo en negrita, es necesario:

1. Implemente y configure un sistema SIEM (integración con una mesa de servicio o equivalente; configuración y conexión de orígenes de eventos; personalización y aplicación de reglas básicas de correlación, etc., etc.).
2. Contratar y capacitar personal (cursos especializados de proveedores de sistemas de siem, investigaciones, etc.).
3. Documente e implemente procedimientos / instrucciones de respuesta (incluidos álbumes de incidentes, clasificación por criticidad / complejidad y un gran conjunto de documentos, en forma impresa, con los resultados de los contratos estatales).
4. Defina áreas de responsabilidad entre divisiones, defina claramente los SLA e inicie el servicio.
5. Descorche y pruebe una botella con gas cuando lleguen los primeros incidentes y se manejen claramente. Este artículo es opcional y depende únicamente de la cultura interna de la empresa. Será suficiente para verificar que el servicio funciona de acuerdo con el SLA especificado.

Parece que todo es simple, detalla cada elemento, dibuja un plan y ejecútalo a tiempo. Pero el diablo está en los detalles.

SOC son las tecnologías utilizadas, expertos y procesos construidos.

Ahora en orden.

Las tecnologías SOC son aquellas herramientas que el servicio utiliza para automatizar la recopilación de información, correlación y análisis primario. Por supuesto, el conjunto de herramientas está determinado por las capacidades y funcionalidades disponibles.

Los expertos de SOC son miembros del equipo con competencias en las áreas de:

• administración de SO, DBMS, AD y componentes de red;
• administración de sistemas de seguridad de la información;
• Administración de sistemas de aplicaciones de TI;
• análisis (monitoreo y segunda línea para SOC);
• análisis con experiencia y conocimientos relevantes (tercera línea para SOC: de 3 años de trabajo en empresas especializadas, así como participación en investigaciones de incidentes).

Los procesos SOC son un conjunto de procedimientos organizativos y técnicos que cubren 4 áreas:

• Soporte de infraestructura SOC (soporte de infraestructura);
• Monitoreo de eventos de seguridad (monitoreo);
• Investigación de incidentes (investigación / respuesta de incidentes);
• Desarrollo (desarrollo de servicios).

Todos los componentes están destinados a detectar y prevenir amenazas cibernéticas.

Al mismo tiempo, el requisito más importante para estos procesos es que deben integrarse perfectamente en los procesos comerciales actuales de la organización. En otras palabras, los procesos SOC no pueden separarse unos de otros y deben, en primer lugar, estar cuidadosamente estructurados y, en segundo lugar, llevar a cabo su tarea de manera efectiva, para obtener el valor esperado. También observamos que la "filigrana" de un servicio crítico se entiende como claridad y coordinación absolutas en las acciones de los empleados de los departamentos relacionados, en las que no se permite la violación simple de los parámetros de SLA especificados, incluso en caso de fuerza mayor. Sin mencionar los populares: "el empleado estaba cenando" o "no podía pasar". El resultado debe ser claro y puntual. Por esta razón, el modelo de trabajo SOC es similar al servicio militar, y las regulaciones e instrucciones adoptadas son como una carta ejecutada incondicionalmente.

Paradójicamente, muchos están convencidos de que el componente principal de SOC es el juego de herramientas. En este caso, sería apropiado dar el siguiente ejemplo. Imagina que vas, Dios no lo quiera, a una operación. La noticia no es alegre, y comienzan a alegrarte en la clínica con palabras de que algún cirujano hará la operación, pero tiene un escalpelo increíble de uno de los fabricantes más caros. Y sobre el "bisturí milagroso" te lo dirán varias veces, y tal vez incluso muestren un certificado que confirme su nitidez y pureza del metal. Supongo que este argumento no lo tranquilizará particularmente y querrá preguntar sobre el médico, así como sobre su experiencia en la realización de operaciones similares.

Por supuesto, la elección de un sistema SIEM es extremadamente importante y su funcionalidad debe reflejar claramente las necesidades del comprador. Sin embargo, siempre debe recordar el hecho de que SIEM es solo automatización, lo que requiere competencias profundas y una lógica de trabajo muy clara para configurar.

Los expertos y los procesos son la piedra angular en la creación de SOC

De la lista anterior de competencias necesarias, se puede entender que los especialistas de SOC son empleados universales y altamente calificados que deben estar en la unión de un conocimiento técnico profundo y también tener la experiencia de un analista. Además, la dirección del SOC es bastante joven para la Federación Rusa y la CEI, y esto significa que hay pocos expertos en esta área temática. Es extremadamente difícil encontrar especialistas competentes y "libres" en el mercado. En primer lugar, estos especialistas están interesados ​​en trabajar con casos nuevos e interesantes que les permitan desarrollarse. Necesito un hilo Por esta razón, a menudo se "instalan" en grandes proveedores de servicios y solo rotan entre estructuras similares.

Vale la pena señalar el nivel de salarios de estos especialistas. Anteriormente, los colegas citaron repetidamente análisis . La información es bastante relevante hasta el día de hoy, con la excepción de solo el nivel de los salarios: se han vuelto más altos y en el mercado en un promedio de 15-20%. Esto significa que una empresa que ha elegido contratar expertos debe pagar un dinero bastante serio. ¿Cuán relevante es este dinero para el beneficio, siempre que pocas empresas (con la excepción del "Proveedor de servicios") puedan utilizar el tiempo de dicho experto en al menos un 70%? Incluso si dicho experto fue despedido como un salario alto, la probabilidad de que encuentre un trabajo más interesante es alta. Además, hay estadísticas de que los miembros del equipo de este tipo de servicio de proyectos durante 3-7 años están completamente actualizados. Esta es la realidad y debe tenerse en cuenta.

Entonces, la compañía compró un maravilloso kit de herramientas, un sistema SIEM funcional y efectivo, contrató a un experto en SOC talentoso y experimentado, que fue capaz de crear un equipo amigable y coordinado de especialistas responsables. Además, este equipo debe tomar el sistema como soporte, desarrollar los procedimientos y reglamentos necesarios, implementarlos y comenzar a trabajar en ellos. Vale la pena señalar que incluso después de un buen consejo del integrador, que ayudó a costar SOC (implementó el sistema, realizó una auditoría de procesos, creó reglas básicas y escribió las instrucciones necesarias), el equipo SOC se quedó con una gran capa de trabajo para optimizar el centro de respuesta creado para las realidades de la compañía. La combinación de procesos y esquemas de trabajo sigue en el caso por caso.
Si no hubo consulta y el equipo debe construir el SOC por su cuenta, la historia se vuelve aún más interesante y costosa. Es como poner a un estudiante de posgrado (aunque con un diploma rojo) en los primeros días de trabajo en producción en el sitio más responsable, y con la esperanza de que "de alguna manera se oriente".

De ello se deduce que para confiar la creación del SOC al equipo que se está creando, debe estar preparado para dos escenarios:

1. Reclute un equipo de especialistas que ya hayan creado un servicio similar (ya sea por esta composición o por cada participante individualmente de acuerdo con su rol).
2. Reclute expertos de áreas similares con conocimiento relevante y “vierta” dinero en el camino de decisiones erróneas, fallas y acciones inconsistentes.

De los dos escenarios, es más probable que la primera opción sea más presupuestaria debido a la garantía del resultado y el momento oportuno para alcanzar el trabajo objetivo del servicio. Además, en la primera versión, el patrocinador del servicio del proyecto ya comprende inicialmente el número de empleados necesarios y la composición de los roles necesarios (número de líneas de soporte, incluido el modo de operación 24 * 7 u 8 * 5; número de analistas con funcionalidad; soporte para SIEM y componentes etc.) En el segundo caso, el patrocinador suele argumentar en las siguientes categorías: "Tenemos 5 unidades de trabajo universales, cada experto puede tomar 2 unidades de trabajo en un momento, por lo que tomamos dos expertos y un estudiante". Puede parecer ridículo, pero la práctica muestra que, en el ajetreo y el bullicio del flujo de tareas, algunos líderes toman automáticamente tales decisiones. Y al mismo tiempo estamos seguros del resultado, bajo el lema: "habría buenos empleados, y luego veremos cómo usarlos y cargarlos".

¿O tal vez SOC como servicio es mejor?

Ahora Internet está repleto de las últimas tendencias: transformación digital (transformación digital), las empresas entran completamente en las "nubes", los procesos no centrales se subcontratan. Las grandes empresas están comenzando a ofrecer plataformas con las que puede marcar la cantidad necesaria de servicios para mantener y hacer crecer un negocio de cualquier tamaño. Outsourcing en contabilidad, servicios legales, call centers, TI llave en mano: esto es solo el comienzo de cambios globales. Además, los tipos de servicios pueden ser absolutamente cualquiera. Aquellos que hubieran parecido increíbles y originales ayer, como el "outsourcing de impresión", tienen una gran demanda hoy. Además, podemos ver la tendencia de desarrollo del modelo orientado a servicios en el mercado occidental, que tradicionalmente está por delante de la Federación de Rusia y la CEI. Es enorme y cubre todos los sectores.

SOC as a Service (SOCaaS) no es una excepción. Hay suficientes jugadores en el mercado, proveedores de servicios de seguridad de la información (Proveedor de servicios de seguridad gestionada, MSSP), que ofrecen a los clientes no "reinventar la rueda", sino simplemente aprovechar la experiencia y la experiencia en este campo. Es precisamente aquí, en la "corriente", donde los expertos se llenan las manos y obtienen una enorme experiencia, lo que les permite elaborar procesos claros y efectivos. Recopilan todos los rastrillos para analizar todos los escenarios posibles y ofrecen opciones que son relevantes para las necesidades del cliente. El cliente no necesita inventar nada, simplemente prueba las opciones ofrecidas y selecciona las que son necesarias.

Lo que es más "sabroso" en esta historia es que:

• por un dinero bastante razonable, el cliente recibe la lista completa de expertos caros en el volumen que necesita;
• el servicio está bien diseñado, bien entrenado y probado en otras compañías;
• la empresa de servicios es responsable de la implementación del dinero SLA y el "factor humano";
• El cliente recibe un servicio llave en mano. Esto significa que el cliente no necesita generar propuestas para el desarrollo del servicio, el proveedor del servicio vendrá con ellas él mismo. Y, por supuesto, no se preocupe por la motivación del equipo SOC o la rotación de especialistas. El socio seleccionado se encargará de esto.

Cual es el resultado?

Para mi amigo, hay dos opciones para salir con éxito de esta situación:

1. Para obtener un presupuesto adicional para expertos competentes que previamente crearon el SOC y expandir el personal por al menos 4 personas más (y con el modo 24 * 7 - por 7 especialistas), complete un ambicioso proyecto interno.
2. Obtenga un presupuesto aún mayor para construir un SOC llave en mano, donde un proveedor de servicios calificado y experimentado actuará como contratista. Esta es una novela completa que vale decenas de millones de rublos (capex), pero con un resultado garantizado. Opex también será acorde con el punto 1, sin embargo, el nivel de servicio requerido se obtendrá mucho más rápido.

En cualquier caso, ambas opciones son proporcionales al costo de los fondos gastados en licencias SIEM y son muchas veces más caras que un servicio administrado con los mismos parámetros. Es un hecho! Es por eso que ahora esta área se está desarrollando de manera tan activa y tiene una gran demanda entre las empresas interesadas.

Sin embargo, debe reconocerse que incluso el mejor servicio no es un medio universal para resolver todos los problemas y dolores del cliente. Y todo, como siempre, queda a merced de una tarea específica, el tamaño de la billetera y la pedantería del cliente de SOC.

Denis Gushchin, Director General Adjunto de Infosecurity.