Sekitar sebulan yang lalu, salah satu kenalan lama saya mengundang saya ke tempat saya, direktur keamanan informasi di sebuah perusahaan yang cukup besar, dengan tujuan, seperti katanya, "untuk mengejutkan saya". Saya perhatikan bahwa kami sebelumnya membahas tantangan yang dihadapi banyak perusahaan di bidang ancaman dunia maya dan masalah membangun SOC (Pusat Operasi Keamanan).
Maka mulailah kisah saya tentang membangun SOC di sebuah perusahaan.
Dengan upacara yang melekat, direktur keamanan informasi menemani saya ke ruang terbuka departemen TI mereka. Dan di sana mereka menunjukkan kepada saya setumpuk kotak dengan "besi" yang mahal, serta cetakan spesifikasinya. Dia menunjuk pada pembelian lisensi dari satu vendor terkenal yang termasuk dalam
Quadrant untuk SIEM . Sukacita tulus di wajahnya menunjukkan bahwa masalah yang disuarakan dari percakapan sebelumnya telah diselesaikan dalam semalam. Dan kemudian dia mengatakan kepada saya bahwa selain "harta" uang telah disetujui untuk menerapkan sistem ini, dan direncanakan untuk mempekerjakan tiga spesialis di staf untuk kegiatan ini. Pada saat yang sama, ia membuat penekanan khusus pada "tiga spesialis", seolah-olah menjelaskan bahwa ia telah menangani masalah ini secara mendalam dan menghitung semuanya. Perhitungannya memang relatif baik, tetapi sayangnya tidak diverifikasi secara empiris.
Kami duduk dan membahas struktur proyek konstruksi SOC dan model ekonomi yang ia usulkan. Kami mencoba mengevaluasi tarif yang dialokasikan, peran, dan kompetensi yang diperlukan untuk mencapai tingkat layanan yang diperlukan.
Awalnya, idenya adalah untuk mendelegasikan dukungan perangkat keras ke Departemen TI, mengirim insinyur mereka ke kursus vendor khusus. Selanjutnya, gunakan tawaran pertama untuk insinyur aplikasi SIEM. Diharapkan kawan ini akan dapat menghubungkan sumber acara setelah pelatihan, dan juga "disarankan untuk menulis konektor jika perlu" (kutipan langsung). Juga, sisa waktu, berpartisipasi dalam analisis insiden sederhana. Tingkat kedua dan ketiga direncanakan bagi para ahli untuk memilah insiden, merumuskan aturan korelasi baru, dan mengembangkan arah secara keseluruhan. Ini juga memperhitungkan fakta bahwa mungkin ada banyak insiden, dan saat ini salah satu ahli mungkin sakit atau pergi berlibur.
Untuk pertanyaan: "Apa ramalannya: menurut jumlah sumber, insiden, kerumitan peristiwa dan waktu reaksi yang diharapkan?", Jawaban yang sangat membingungkan diterima, dan kemudian diam dan berakhir, dengan kesedihan dalam suara: "Lalu kita akan menemukan sesuatu! .. ".
Kasus ini dapat disebut sangat khas untuk perusahaan-perusahaan yang karena alasan tertentu menyadari perlunya implementasi SOC, tetapi tidak dapat secara komprehensif menilai "skala bencana".
Kami sudah matang, kami membutuhkan SOC
Salah satu prasyarat untuk memperkenalkan SOC adalah kedewasaan perusahaan yang dicapai pada tingkat tertentu. Tingkat ini memungkinkan untuk ditutup lebih awal, sesuai dengan piramida kebutuhan, hal-hal dasar dan menyadari bahwa sekarang untuk gambaran terpadu satu komponen penting hilang. Memang, setelah perusahaan menata infrastruktur (arsitektur jaringan, segmentasi, domain, prosedur pembaruan, dan hal-hal bermanfaat lainnya), dan juga memperkenalkan seperangkat alat perlindungan informasi yang diperlukan dan memadai (eselon perlindungan, titik akhir, dll.), Tanpa disadari ditetapkan, pertanyaan: "Bagaimana saya bisa melihat seluruh rumah tangga saya dan bagaimana cara mengevaluasi apa yang akan saya lihat?"
Saat itu, perusahaan seharusnya sudah membangun proses. Banyak dari mereka dibangun dalam tradisi ITIL terbaik. Unit pendukung TI (dalam beberapa kasus, keamanan informasi) dibagi menjadi jalur dukungan, dan bahkan mungkin ada perubahan dengan mode operasi 24 * 7. Namun, perlu dicatat bahwa perusahaan seperti itu jarang, dan dalam ingatan saya hanya 3 dari 10, dengan lebih dari 1.000 workstation, dapat membanggakan semua daftar pencapaian ini.
Namun demikian, jika kita mengambil 30% dari yang beruntung ini sebagai contoh, maka mereka dihadapkan dengan tugas untuk mengimplementasikan proyek integrasi, yang akan berubah menjadi layanan yang sangat penting dan kritis. Dalam kerangka proyek, menggambarkan dengan huruf tebal, perlu:
- Menerapkan dan mengonfigurasi sistem SIEM (integrasi dengan meja layanan atau yang setara; menyiapkan dan menghubungkan sumber acara; penyesuaian dan penerapan aturan korelasi dasar, dll., Dll.).
- Mempekerjakan dan melatih staf (kursus vendor sistem siem khusus, investigasi, dll.).
- Dokumentasikan dan implementasikan prosedur / instruksi tanggapan (termasuk album kejadian, peringkat berdasarkan kekritisan / kompleksitas dan sejumlah besar dokumen, sepadan, dalam bentuk cetak, dengan hasil kontrak negara).
- Tetapkan bidang tanggung jawab antara divisi, jelaskan SLA dan mulai layanan.
- Buka sumbat dan cicipi botol bersoda ketika insiden pertama tiba dan ditangani dengan jelas. Item ini opsional dan hanya bergantung pada budaya internal perusahaan. Akan cukup untuk memverifikasi bahwa layanan bekerja sesuai dengan SLA yang ditentukan.
Tampaknya semuanya sederhana, perincian setiap item, buat rencana dan lakukan tepat waktu. Tetapi iblis ada dalam rinciannya.
SOC adalah teknologi yang digunakan, para ahli dan proses yang dibangun.
Sekarang sudah beres.
Teknologi SOC adalah alat yang digunakan layanan untuk mengotomatiskan pengumpulan informasi, korelasi, dan analitik utama. Tentu saja, toolkit ditentukan oleh kemampuan dan fungsionalitas yang tersedia.
Pakar SOC adalah anggota tim dengan kompetensi di bidang:
- administrasi OS, DBMS, AD dan komponen jaringan;
- administrasi sistem keamanan informasi;
- Administrasi sistem aplikasi TI;
- analitik (pemantauan dan baris ke-2 untuk SOC);
- analitik dengan pengalaman dan keahlian yang relevan (baris ketiga untuk SOC: dari 3 tahun bekerja di perusahaan khusus, serta partisipasi dalam penyelidikan insiden).
Proses SOC adalah seperangkat prosedur organisasi dan teknis yang mencakup 4 bidang:
- Dukungan infrastruktur SOC (dukungan infrastruktur);
- Memantau kejadian keamanan (pemantauan);
- Investigasi insiden (investigasi insiden / respons);
- Pengembangan (pengembangan layanan).
Semua komponen ditujukan untuk mendeteksi dan mencegah ancaman dunia maya.
Pada saat yang sama, persyaratan paling penting untuk proses-proses ini adalah bahwa mereka harus tertanam dengan baik dalam proses bisnis organisasi saat ini. Dengan kata lain, proses SOC tidak dapat terpisah satu sama lain dan harus, pertama, terstruktur dengan hati-hati, dan, kedua, untuk melaksanakan tugas mereka secara efektif - untuk menghasilkan nilai yang diharapkan. Kami juga mencatat bahwa "kerawang" dari layanan kritis dipahami sebagai kejelasan dan koordinasi mutlak dalam tindakan karyawan departemen terkait, di mana sederhana dan pelanggaran terhadap parameter SLA yang ditentukan tidak diperbolehkan bahkan dalam kasus force majeure. Belum lagi yang populer: "karyawan sedang makan malam" atau "tidak bisa melewati." Hasilnya harus jelas dan tepat waktu. Karena alasan ini, model kerja SOC mirip dengan dinas militer, dan peraturan serta instruksi yang diadopsi seperti piagam yang dilaksanakan tanpa syarat.
Secara paradoks, banyak yang yakin bahwa komponen utama SOC adalah toolkit. Dalam hal ini, akan lebih tepat untuk memberikan contoh berikut. Bayangkan Anda akan pergi, Tuhan melarang, untuk operasi. Berita itu tidak menyenangkan, dan mereka mulai menghibur Anda di klinik dengan kata-kata bahwa beberapa ahli bedah akan melakukan operasi, tetapi ia memiliki pisau bedah yang luar biasa dari salah satu produsen paling mahal. Dan tentang "pisau bedah ajaib", mereka akan memberi tahu Anda beberapa kali, dan bahkan mungkin menunjukkan sertifikat yang menegaskan ketajaman dan kemurnian logamnya. Saya kira argumen ini tidak akan meyakinkan Anda secara khusus dan Anda ingin menanyakan tentang dokter, serta pengalamannya dalam melakukan operasi serupa.
Tentu saja, pilihan sistem SIEM sangat penting dan fungsinya harus dengan jelas mencerminkan kebutuhan pembeli. Namun, Anda selalu perlu mengingat fakta bahwa SIEM hanya otomasi, yang membutuhkan kompetensi yang dalam dan logika kerja yang sangat jelas.
Para ahli dan proses adalah landasan dalam menciptakan SOC
Dari daftar kompetensi yang diperlukan di atas, dapat dipahami bahwa spesialis SOC adalah karyawan universal dan berkualifikasi tinggi yang harus berada di persimpangan pengetahuan teknis yang mendalam dan juga memiliki pengalaman sebagai seorang analis. Selain itu, arahan SOC cukup muda untuk Federasi Rusia dan CIS, dan ini berarti bahwa ada beberapa ahli dalam bidang ini. Sangat sulit untuk bertemu spesialis yang kompeten dan "bebas" di pasar. Pertama-tama, spesialis semacam itu tertarik untuk bekerja dengan kasus-kasus baru dan menarik yang memungkinkan mereka untuk berkembang. Butuh utas. Untuk alasan ini, mereka sering "menetap" di penyedia layanan besar dan hanya berputar di antara struktur yang sama.
Perlu diperhatikan tingkat gaji para spesialis ini. Sebelumnya, rekannya berulang kali mengutip
analisis . Informasi ini cukup relevan untuk hari ini, dengan pengecualian hanya tingkat gaji - mereka telah menjadi lebih tinggi, dan di pasar dengan rata-rata 15-20%. Ini berarti bahwa perusahaan yang telah memilih untuk mempekerjakan para ahli harus membayar uang yang cukup serius. Seberapa relevan uang ini dengan manfaatnya, asalkan beberapa perusahaan (dengan pengecualian "Penyedia Layanan") dapat memanfaatkan waktu seorang ahli setidaknya 70%? Bahkan jika seorang ahli seperti itu diberhentikan sebagai gaji tinggi, kemungkinan bahwa ia akan menemukan pekerjaan yang lebih menarik adalah tinggi. Selain itu, ada statistik bahwa anggota tim dari layanan proyek semacam ini selama 3-7 tahun diperbarui sepenuhnya. Ini adalah kenyataan dan harus diperhitungkan.
Jadi, perusahaan membeli toolkit yang luar biasa, sistem SIEM yang fungsional dan efektif, mempekerjakan ahli SOC yang berbakat dan berpengalaman, yang mampu menciptakan tim spesialis yang bertanggung jawab dan ramah dan terkoordinasi. Selanjutnya, tim ini harus mengambil sistem untuk dukungan, mengembangkan prosedur dan peraturan yang diperlukan, menerapkannya dan mulai bekerja pada mereka. Perlu dicatat bahwa bahkan setelah saran yang baik dari integrator, yang membantu biaya SOC (menerapkan sistem, mengaudit proses, membuat aturan dasar dan menulis instruksi yang diperlukan), tim SOC memiliki lapisan besar kerja untuk mengoptimalkan pusat respons yang dibuat untuk realitas perusahaan. Combing proses dan skema kerja mengikuti mode kasus per kasus.
Jika tidak ada konsultasi, dan tim harus membangun SOC sendiri, maka ceritanya menjadi lebih menarik dan mahal. Ini seperti menempatkan seorang mahasiswa pascasarjana (meskipun dengan ijazah merah) di hari-hari pertama bekerja di bagian produksi di situs yang paling bertanggung jawab, dan berharap bahwa ia “entah bagaimana akan mengorientasikan dirinya sendiri”.
Oleh karena itu untuk mempercayakan pembuatan SOC kepada tim yang sedang dibuat, Anda harus siap untuk dua skenario:
- Rekrut tim spesialis yang telah membuat layanan serupa (baik dengan komposisi ini, atau setiap peserta secara individual sesuai dengan perannya).
- Rekrut tenaga ahli dari bidang serupa dengan pengetahuan yang relevan dan “tuangkan” uang ke jalur dari keputusan yang salah, kelemahan, dan tindakan tidak konsisten.
Dari dua skenario, opsi pertama lebih cenderung lebih anggaran karena jaminan hasil dan waktu untuk mencapai target pekerjaan layanan. Selain itu, dalam versi pertama, sponsor layanan proyek pada awalnya sudah memahami jumlah karyawan yang diperlukan dan komposisi peran yang diperlukan (jumlah jalur dukungan, termasuk mode operasi 24 * 7 atau 8 * 5; jumlah analis dengan fungsi; dukungan untuk SIEM dan komponen dll.) Dalam kasus kedua, sponsor biasanya berpendapat dalam kategori berikut: "Kami memiliki 5 unit kerja universal, masing-masing ahli dapat mengambil 2 unit pekerjaan dalam satu saat, jadi kami mengambil dua ahli dan satu siswa." Ini mungkin tampak konyol, tetapi praktik menunjukkan bahwa dalam kesibukan dan alur tugas, beberapa pemimpin secara otomatis membuat keputusan seperti itu. Dan pada saat yang sama kami yakin akan hasilnya, di bawah moto: "akan ada karyawan yang baik, dan kemudian kami akan menemukan cara menggunakannya dan memuat".
Atau mungkin SOC sebagai Layanan lebih baik?
Sekarang Internet penuh dengan tren terbaru: transformasi digital (transformasi digital), perusahaan sepenuhnya masuk ke "awan", proses non-inti di-outsourcing-kan. Perusahaan-perusahaan besar mulai menawarkan platform yang dengannya Anda dapat menghubungi sejumlah layanan yang diperlukan untuk mempertahankan dan menumbuhkan bisnis dengan ukuran berapa pun. Alih daya dalam bidang akuntansi, layanan hukum, call-center, turnkey IT: ini hanya permulaan dari perubahan global. Selain itu, jenis layanan dapat benar-benar ada. Mereka yang akan tampak luar biasa dan asli baru kemarin, seperti "outsourcing cetak," sangat diminati saat ini. Selain itu, kita dapat melihat tren pengembangan model berorientasi layanan di pasar Barat, yang secara tradisional di depan Federasi Rusia dan CIS. Ini sangat besar dan mencakup semua sektor.
SOC sebagai Layanan (SOCaaS) tidak terkecuali. Ada cukup banyak pemain di pasar, penyedia layanan keamanan informasi (Managed Security Service Provider, MSSP), yang menawarkan pelanggan untuk tidak "menemukan kembali roda", tetapi hanya untuk mengambil keuntungan dari keahlian dan pengalaman di bidang ini. Justru di sini, di "aliran", para ahli mengisi tangan mereka dan mendapatkan pengalaman luar biasa, yang memungkinkan mereka untuk menyusun proses yang jelas dan efektif. Mereka mengumpulkan semua penggaruk untuk menganalisis semua skenario yang mungkin dan menawarkan opsi yang relevan dengan kebutuhan pelanggan. Klien tidak perlu menemukan apa pun, ia hanya mencoba opsi yang ditawarkan dan memilih yang diperlukan.
Apa yang paling "enak" dalam cerita ini adalah:
- untuk uang yang cukup masuk akal, klien menerima seluruh daftar ahli mahal dalam volume yang dia butuhkan;
- layanan ini dirancang dengan baik, terlatih dan diuji di perusahaan lain;
- perusahaan jasa bertanggung jawab atas implementasi uang SLA dan "faktor manusia";
- klien menerima layanan turnkey. Ini berarti bahwa klien tidak perlu membuat proposal untuk pengembangan layanan, penyedia layanan akan datang sendiri. Dan tentu saja, tidak ada kekhawatiran tentang motivasi tim SOC atau pergantian spesialis. Mitra terpilih akan menangani ini.
Apa hasilnya?
Untuk teman saya ada dua opsi untuk berhasil keluar dari situasi ini:
- Untuk mendapatkan anggaran tambahan bagi para ahli yang kompeten yang sebelumnya membangun SOC dan memperluas staf dengan setidaknya 4 orang lagi (dan dengan mode 24 * 7 - oleh 7 spesialis), maka selesaikan proyek internal yang ambisius.
- Dapatkan anggaran yang lebih besar untuk membangun SOC turnkey, di mana penyedia layanan yang berkualitas dan berpengalaman akan bertindak sebagai kontraktor. Ini adalah keseluruhan novel bernilai puluhan juta rubel (capex), tetapi dengan hasil yang terjamin. Opex kemudian juga akan sepadan dengan poin 1, namun, tingkat layanan yang dibutuhkan akan diperoleh lebih cepat.
Bagaimanapun, kedua opsi tersebut sepadan dengan biaya dana yang dikeluarkan untuk lisensi SIEM dan jauh lebih mahal daripada layanan yang dikelola dengan parameter yang sama. Itu fakta! Itulah sebabnya sekarang daerah ini sangat aktif berkembang dan sangat diminati oleh perusahaan-perusahaan yang tertarik.
Namun, harus diakui bahwa bahkan layanan terbaik bukanlah cara universal untuk menyelesaikan semua masalah dan rasa sakit klien. Dan semuanya, seperti biasa, tetap berada di tangan tugas tertentu, ukuran dompet, dan pengetahuan pelanggan SOC.
Denis Gushchin, Wakil CEO Infosecurity.