Vous avez acheté SIEM et êtes sûr que SOC est dans votre poche, non?

Il y a environ un mois, une de mes anciennes connaissances m'a invité chez moi, le directeur de la sécurité de l'information d'une assez grande entreprise, dans le but, selon ses propres mots, de «me surprendre». Je note que plus tôt nous avons discuté avec lui des défis auxquels de nombreuses entreprises ont été confrontées dans le domaine des cybermenaces et des problèmes de construction du SOC (Security Operation Center).

Ainsi commence mon histoire sur la création d'un SOC dans une entreprise.



Avec la cérémonialité inhérente, le directeur de la sécurité de l'information m'a accompagné dans l'espace ouvert de leur service informatique. Et là, ils m'ont montré une pile de boîtes avec du "fer" cher, ainsi qu'une impression de la spécification. Elle a souligné l'achat de licences d'un fournisseur bien connu inclus dans Quadrant for SIEM . La joie authentique sur son visage indiquait que les problèmes exprimés lors de la conversation précédente avaient été résolus du jour au lendemain. Et plus tard, il m'a dit qu'en plus de ce «trésor», de l'argent avait été convenu pour mettre en œuvre ce système et qu'il était prévu d'engager trois spécialistes dans le personnel pour cette activité. Dans le même temps, il a mis un accent particulier sur les «trois spécialistes», comme pour indiquer clairement qu'il avait approfondi la question et calculé tout. Le calcul était en effet relativement solide, mais malheureusement non vérifié empiriquement.

Nous nous sommes assis et avons discuté à la fois de la structure du projet de construction SOC et du modèle économique qu'il proposait. Nous avons essayé d'évaluer les tarifs, les rôles et les compétences alloués nécessaires pour atteindre le niveau de service requis.

Au départ, l'idée était de déléguer le support matériel au département informatique, en envoyant leurs ingénieurs suivre des cours spécialisés pour les fournisseurs. Ensuite, utilisez la première offre pour l'ingénieur d'application SIEM. On s'attendait à ce que ce camarade puisse connecter des sources d'événements après la formation, et aussi «il est conseillé d'écrire des connecteurs si nécessaire» (citation directe). De plus, le reste du temps, participez à l'analyse d'incidents simples. Les deuxième et troisième taux étaient prévus pour que les experts trient les incidents, formulent de nouvelles règles de corrélation et développent la direction dans son ensemble. Il a également pris en compte le fait qu'il peut y avoir de nombreux incidents, et pour le moment l'un des experts peut tomber malade ou partir en vacances.

À la question: «Quelle était la prévision: selon le nombre de sources, les incidents, la complexité des événements et le timing prévu de la réaction?», Une réponse très confuse a été reçue, puis le silence et la conclusion, avec une tristesse dans la voix: «Alors nous trouverons quelque chose! .. ".

Ce cas peut être qualifié de tout à fait typique pour les entreprises qui, pour une raison ou une autre, ont réalisé le besoin de mise en œuvre du SOC, mais n'ont pas pu évaluer de manière exhaustive «l'ampleur de la catastrophe».

Nous sommes mûrs, nous avons besoin de SOC

L'une des conditions préalables à l'introduction du SOC est la maturité de l'entreprise atteinte à un certain niveau. Ce niveau a permis de clôturer plus tôt, selon la pyramide des besoins, les choses de base et de se rendre compte que maintenant pour une image intégrée il manque un composant important. En effet, après que la société a mis en place l'infrastructure (architecture réseau, segmentation, domaines, procédures de mise à jour et autres choses utiles), et a également introduit l'ensemble nécessaire et suffisant d'outils de protection des informations (échelons de protection, point de terminaison, etc.), il est involontairement défini la question: "Comment puis-je voir tout mon ménage et comment évaluer ce que je vais voir?"

À cette époque, l'entreprise aurait déjà construit des processus. Beaucoup d'entre eux sont construits dans les meilleures traditions d'ITIL. L'unité de support informatique (dans certains cas, la sécurité de l'information) est divisée en lignes de support, et il peut même y avoir des changements avec un mode de fonctionnement 24 * 7. Cependant, il convient de noter que ces entreprises sont rares, et à ma mémoire, seulement 3 sur 10, avec plus de 1 000 postes de travail, peuvent se vanter de toute cette liste de réalisations.

Néanmoins, si nous prenons ces 30% des chanceux comme exemple, ils sont alors confrontés à la tâche de mettre en œuvre un projet d'intégration, qui devrait dégénérer en un service très important et critique. Dans le cadre du projet, décrivant en traits gras, il faut:

1. Implémenter et configurer un système SIEM (intégration avec un service desk ou équivalent; mise en place et connexion de sources d'événements; personnalisation et application des règles de corrélation de base, etc., etc.).
2. Embaucher et former du personnel (cours spécialisés pour les fournisseurs de systèmes siem, enquêtes, etc.).
3. Documenter et mettre en œuvre les procédures / instructions de réponse (y compris les albums d'incidents, le classement par criticité / complexité et un vaste ensemble de documents, proportionnés, sous forme imprimée, aux résultats des contrats d'État).
4. Définissez les domaines de responsabilité entre les divisions, définissez clairement les SLA et démarrez le service.
5. Débouchez et dégustez une bouteille pétillante lorsque les premiers incidents arrivent et sont clairement traités. Cet élément est facultatif et dépend uniquement de la culture interne de l'entreprise. Il suffira de vérifier que le service fonctionne conformément au SLA spécifié.

Il semblerait que tout soit simple, détailler chaque élément, dessiner un plan et l'exécuter à temps. Mais le diable est dans les détails.

SOC est les technologies utilisées, les experts et les processus construits.

Maintenant en ordre.

Les technologies SOC sont les outils que le service utilise pour automatiser la collecte d'informations, la corrélation et l'analyse principale. Bien sûr, la boîte à outils est déterminée par les capacités et fonctionnalités disponibles.

Les experts SOC sont des membres de l'équipe ayant des compétences dans les domaines de:

• administration du système d'exploitation, du SGBD, de l'AD et des composants réseau;
• administration de systèmes de sécurité de l'information;
• Administration des systèmes d'application informatique;
• analytique (surveillance et 2e ligne pour SOC);
• analyse avec une expérience et une expertise pertinentes (3e ligne pour SOC: à partir de 3 ans de travail dans des entreprises spécialisées, ainsi que la participation à des enquêtes sur les incidents).

Les processus SOC sont un ensemble de procédures organisationnelles et techniques qui couvrent 4 domaines:

• Soutien aux infrastructures SOC (soutien aux infrastructures);
• Surveillance des événements de sécurité (surveillance);
• Enquête sur les incidents (enquête / réponse à l'incident);
• Développement (développement de services).

Tous les composants visent à détecter et à prévenir les cybermenaces.

En même temps, l'exigence la plus importante pour ces processus est qu'ils doivent être intégrés de manière transparente dans les processus commerciaux actuels de l'organisation. En d'autres termes, les processus SOC ne peuvent pas se distinguer les uns des autres et doivent être, d'une part, soigneusement structurés et, d'autre part, pour mener à bien leur tâche - pour apporter la valeur attendue. Nous notons également que le «filigrane» d'un service critique est compris comme une clarté et une coordination absolues dans les actions des employés des services liés, dans lesquelles la simple et la violation des paramètres SLA spécifiés n'est pas autorisée même en cas de force majeure. Sans parler des plus populaires: «l'employé était au dîner» ou «n'a pas pu passer.» Le résultat doit être clair et ponctuel. Pour cette raison, le modèle de travail SOC est similaire au service militaire, et les règlements et instructions adoptés sont comme une charte exécutée sans condition.

Paradoxalement, beaucoup sont convaincus que la principale composante du SOC est la boîte à outils. Dans ce cas, il serait approprié de donner l'exemple suivant. Imaginez que vous allez, Dieu nous en préserve, pour une opération. Les nouvelles ne sont pas joyeuses, et ils commencent à vous remonter le moral à la clinique en disant que certains chirurgiens feront l'opération, mais il a un scalpel incroyable de l'un des fabricants les plus chers. Et à propos du "scalpel miracle", ils vous le diront plusieurs fois, et peut-être même montrer un certificat confirmant sa netteté et la pureté du métal. Je suppose que cet argument ne vous rassurera pas particulièrement et vous voudrez vous renseigner sur le médecin, ainsi que sur son expérience dans la conduite d'opérations similaires.

Bien entendu, le choix d'un système SIEM est extrêmement important et sa fonctionnalité doit clairement refléter les besoins de l'acheteur. Cependant, vous devez toujours vous rappeler que SIEM n'est que de l'automatisation, ce qui nécessite des compétences approfondies et une logique de travail très claire à configurer.

Les experts et les processus sont la pierre angulaire de la création du SOC

À partir de la liste ci-dessus des compétences nécessaires, on peut comprendre que les spécialistes SOC sont des employés universels et hautement qualifiés qui devraient être à la jonction de connaissances techniques approfondies et avoir également l'expérience d'un analyste. En outre, la direction SOC est assez jeune pour la Fédération de Russie et la CEI, ce qui signifie qu'il y a peu d'experts dans ce domaine. Il est extrêmement difficile de rencontrer des spécialistes compétents et «libres» du marché. Tout d'abord, ces spécialistes sont intéressés à travailler avec des cas nouveaux et intéressants qui leur permettent de se développer. Besoin d'un fil. Pour cette raison, ils «s'installent» souvent dans de grands prestataires de services et ne tournent qu'entre structures similaires.

Il convient de noter le niveau des salaires de ces spécialistes. Plus tôt, des collègues ont cité à plusieurs reprises l' analyse . Les informations sont tout à fait pertinentes à ce jour, à l'exception du seul niveau des salaires - ils sont devenus plus élevés et sur le marché en moyenne de 15 à 20%. Cela signifie qu'une entreprise qui a choisi d'embaucher des experts doit payer une somme assez importante. Dans quelle mesure cet argent est-il utile pour l’avantage, à condition que peu d’entreprises (à l’exception du «fournisseur de services») puissent utiliser le temps d’un tel expert d’au moins 70%? Même si un tel expert a été licencié en raison de son salaire élevé, la probabilité qu'il trouve un emploi plus intéressant est élevée. En outre, il existe des statistiques selon lesquelles les membres de l'équipe de ce type de projet-service pour 3-7 ans sont complètement mis à jour. C'est la réalité et il faut en tenir compte.

Ainsi, l'entreprise a acheté une merveilleuse boîte à outils, un système SIEM fonctionnel et efficace, a embauché un expert SOC talentueux et expérimenté, qui a pu créer une équipe sympathique et coordonnée de spécialistes responsables. De plus, cette équipe devrait prendre le système en charge, développer les procédures et réglementations nécessaires, les mettre en œuvre et commencer à travailler dessus. Il convient de noter que même après les bons conseils de l'intégrateur, qui a contribué à chiffrer le SOC (mis en œuvre le système, fait un audit des processus, créé les règles de base et rédigé les instructions nécessaires), l'équipe SOC s'est retrouvée avec une énorme couche de travail pour optimiser le centre de réponse créé pour les réalités de l'entreprise. La combinaison des processus et des schémas de travail suit au cas par cas.
S'il n'y a pas eu de conseil et que l'équipe doit construire le SOC par elle-même, alors l'histoire devient encore plus intéressante et coûteuse. C’est comme mettre un étudiant diplômé (quoique avec un diplôme rouge) dans les premiers jours de travail en production sur le site le plus responsable, et espérer qu’il «s’orientera en quelque sorte».

Il s'ensuit que pour confier la création du SOC à l'équipe en cours de création, il faut être préparé à deux scénarios:

1. Recruter une équipe de spécialistes ayant déjà créé un service similaire (soit par cette composition, soit par participant individuellement selon son rôle).
2. Recrutez des experts de domaines similaires possédant des connaissances pertinentes et «versez» de l'argent sur le chemin des décisions erronées, des défauts et des actions incohérentes.

Parmi les deux scénarios, la première option est plus susceptible d'être plus budgétaire en raison de la garantie du résultat et du calendrier pour atteindre l'objectif de travail du service. De plus, dans la première version, le sponsor du service projet comprend déjà initialement le nombre d'employés nécessaires et la composition des rôles nécessaires (nombre de lignes de support, y compris le mode de fonctionnement 24 * 7 ou 8 * 5; nombre d'analystes avec fonctionnalité; support pour SIEM et composants etc.). Dans le deuxième cas, le sponsor argumente généralement dans les catégories suivantes: «Nous avons 5 unités de travail universelles, chaque expert peut prendre 2 unités de travail en un instant, donc nous prenons deux experts et un étudiant.» Cela peut sembler ridicule, mais la pratique montre que dans l'agitation du flux des tâches, certains dirigeants prennent automatiquement de telles décisions. Et en même temps, nous sommes sûrs du résultat, sous la devise: "il y aurait de bons employés, et ensuite nous trouverons comment les utiliser et charger".

Ou peut-être que SOC as a Service est meilleur?

Maintenant, Internet regorge des dernières tendances: transformation numérique (transformation numérique), les entreprises entrent complètement dans les «nuages», les processus non essentiels sont externalisés. Les grandes entreprises commencent à proposer des plateformes avec lesquelles vous pouvez composer le nombre de services nécessaires pour maintenir et développer une entreprise de toute taille. Externalisation en comptabilité, services juridiques, centres d'appels, informatique clé en main: ce n'est que le début de changements globaux. De plus, les types de services peuvent être absolument quelconques. Celles qui auraient semblé incroyables et originales hier, comme «l'externalisation de l'impression», sont aujourd'hui très demandées. En outre, nous pouvons voir la tendance au développement du modèle orienté services sur le marché occidental, qui est traditionnellement en avance sur la Fédération de Russie et la CEI. Il est énorme et couvre tous les secteurs.

SOC as a Service (SOCaaS) ne fait pas exception. Il y a suffisamment d'acteurs sur le marché, les Managed Security Service Providers (MSSP), qui proposent aux clients de ne pas «réinventer la roue», mais simplement de profiter de l'expertise et de l'expérience dans ce domaine. C'est précisément ici, sur le «stream», que les experts se remplissent les mains et acquièrent une énorme expérience, ce qui leur permet d'élaborer des processus clairs et efficaces. Ils collectent tous les râteaux pour analyser tous les scénarios possibles et proposent des options adaptées aux besoins des clients. Le client n'a rien à inventer, il essaie simplement les options proposées et sélectionne celles qui sont nécessaires.

Ce qui est le plus «savoureux» dans cette histoire, c'est que:

• pour de l'argent tout à fait raisonnable, le client reçoit la liste complète des experts coûteux dans le volume dont il a besoin;
• le service est bien conçu, bien formé et testé dans d'autres entreprises;
• l'entreprise de services est responsable de la mise en œuvre de l'argent SLA et du «facteur humain»;
• le client reçoit un service clé en main. Cela signifie que le client n'a pas besoin de générer des propositions pour le développement du service, le prestataire de services les accompagnera lui-même. Et bien sûr, pas de soucis sur la motivation de l'équipe SOC ou le chiffre d'affaires des spécialistes. Le partenaire sélectionné s'en chargera.

Quel est le résultat?

Pour mon ami, il y a deux options pour réussir à sortir de cette situation:

1. Pour obtenir un budget supplémentaire pour les experts compétents qui ont précédemment construit le SOC et élargir le personnel d'au moins 4 personnes supplémentaires (et avec le mode 24 * 7 - par 7 spécialistes), puis terminez un ambitieux projet interne.
2. Obtenez un budget encore plus important pour la construction d'un SOC clé en main, où un fournisseur de services qualifié et expérimenté agira en tant qu'entrepreneur. C'est un roman entier valant des dizaines de millions de roubles (capex), mais avec un résultat garanti. Opex sera alors également en rapport avec le point 1, cependant, le niveau de service requis sera obtenu beaucoup plus rapidement.

Dans tous les cas, les deux options sont proportionnelles au coût des fonds dépensés pour les licences SIEM et sont beaucoup plus chères qu'un service géré avec les mêmes paramètres. C’est un fait! C'est pourquoi ce domaine se développe si activement et est très demandé par les entreprises intéressées.

Cependant, il faut reconnaître que même le meilleur service n'est pas un moyen universel de résoudre tous les problèmes et les douleurs du client. Et tout, comme d'habitude, reste à la merci d'une tâche précise, la taille du portefeuille et la pédanterie du client SOC.

Denis Gushchin, PDG adjoint d'Infosecurity.