Há cerca de um mês, um dos meus antigos conhecidos me convidou para minha casa, o diretor de segurança da informação de uma empresa bastante grande, com o objetivo, em suas palavras, de "me surpreender". Observo que discutimos anteriormente os desafios que muitas empresas enfrentavam no campo de ameaças cibernéticas e os problemas de construção do SOC (Security Operation Center).
Assim começa minha história sobre a construção de um SOC em uma empresa.
Com a cerimonialidade inerente, o diretor de segurança da informação me acompanhou até o espaço aberto do departamento de TI. E lá eles me mostraram uma pilha de caixas com "ferro" caro, bem como uma cópia impressa da especificação. Ela apontou para a compra de licenças de um fornecedor conhecido incluído no
Quadant para SIEM . A alegria genuína em seu rosto indicava que os problemas expressos na conversa anterior haviam sido resolvidos da noite para o dia. Mais tarde, ele me disse que, além desse "tesouro", havia sido acordado dinheiro para implementar esse sistema, e estava planejado contratar três especialistas na equipe para essa atividade. Ao mesmo tempo, ele fez uma ênfase especial nos “três especialistas”, como se deixasse claro que havia trabalhado profundamente a questão e calculado tudo. O cálculo foi realmente relativamente sólido, mas infelizmente não foi verificado empiricamente.
Sentamos e discutimos a estrutura do projeto de construção do SOC e o modelo econômico que ele propôs. Tentamos avaliar as taxas, funções e competências alocadas necessárias para atingir o nível de serviço necessário.
Inicialmente, a idéia era delegar o suporte de hardware ao Departamento de TI, enviando seus engenheiros para cursos de fornecedores especializados. Em seguida, use a primeira oferta para o engenheiro de aplicação SIEM. Esperava-se que esse camarada pudesse conectar fontes de eventos após o treinamento e também “é aconselhável escrever conectores, se necessário” (cotação direta). Além disso, o restante do tempo participa da análise de incidentes simples. A segunda e a terceira taxas foram planejadas para especialistas resolverem incidentes, formularem novas regras de correlação e desenvolverem a direção como um todo. Também levou em conta o fato de que podem ocorrer muitos incidentes e, no momento, um dos especialistas pode ficar doente ou sair de férias.
À pergunta: “Qual era a previsão: de acordo com o número de fontes, incidentes, a complexidade dos eventos e o tempo esperado da reação?”, Uma resposta muito confusa foi recebida e, em seguida, silêncio e conclusão, com uma tristeza na voz: “Então, vamos apresentar algo! .. "
Esse caso pode ser considerado bastante típico para as empresas que, por algum motivo, perceberam a necessidade da implementação do SOC, mas não puderam avaliar de forma abrangente a "escala do desastre".
Estamos maduros, precisamos de SOC
Um dos pré-requisitos para a introdução do SOC é a maturidade da empresa alcançada em um determinado nível. Esse nível tornou possível fechar mais cedo, de acordo com a pirâmide de necessidades, as coisas básicas e perceber que agora para uma imagem integrada falta um componente importante. De fato, depois que a empresa ordenou a infraestrutura (arquitetura de rede, segmentação, domínios, procedimentos de atualização e outras coisas úteis) e também introduziu o conjunto necessário e suficiente de ferramentas de proteção de informações (escalões de proteção, endpoint etc.), ela foi configurada inconscientemente a pergunta: "Como posso ver toda a minha família e como avaliar o que vou ver?"
Naquela época, a empresa supostamente já havia construído processos. Muitos deles são construídos nas melhores tradições do ITIL. A unidade de suporte de TI (em alguns casos, segurança da informação) é dividida em linhas de suporte e pode até haver mudanças no modo operacional 24 * 7. No entanto, vale a pena notar que essas empresas são raras e, em minha memória, apenas 3 em cada 10, com mais de 1.000 estações de trabalho, podem se orgulhar de toda essa lista de realizações.
No entanto, se tomarmos esses 30% dos sortudos como exemplo, eles enfrentarão a tarefa de implementar um projeto de integração, que deve degenerar em um serviço muito importante e crítico. Na estrutura do projeto, descrevendo em negrito, é necessário:
- Implemente e configure um sistema SIEM (integração com uma central de serviços ou equivalente; instalação e conexão de fontes de eventos; personalização e aplicação de regras básicas de correlação, etc., etc.).
- Contrate e treine pessoal (cursos de fornecedores especializados em sistemas siem, investigações etc.).
- Documente e implemente procedimentos / instruções de resposta (incluindo álbuns de incidentes, classificação por criticidade / complexidade e um enorme conjunto de documentos, proporcional, em forma impressa, aos resultados dos contratos estaduais).
- Defina áreas de responsabilidade entre as divisões, defina claramente os SLAs e inicie o serviço.
- Destrave e prove uma garrafa com gás quando os primeiros incidentes chegarem e forem claramente tratados. Este item é opcional e depende apenas da cultura interna da empresa. Será suficiente verificar se o serviço funciona de acordo com o SLA especificado.
Parece que tudo é simples, detalha cada item, desenha um plano e executa-o a tempo. Mas o diabo está nos detalhes.
SOC são as tecnologias utilizadas, especialistas e processos construídos.
Agora em ordem.
As tecnologias SOC são aquelas ferramentas que o serviço usa para automatizar a coleta de informações, correlação e análise primária. Obviamente, o kit de ferramentas é determinado pelos recursos e funcionalidades disponíveis.
Os especialistas do SOC são membros da equipe com competências nas áreas de:
- administração de SO, DBMS, AD e componentes de rede;
- administração de sistemas de segurança da informação;
- Administração de sistemas de aplicativos de TI;
- analytics (monitoramento e 2ª linha para SOC);
- análises com experiência e conhecimento relevantes (terceira linha para o SOC: a partir de 3 anos de trabalho em empresas especializadas, além da participação em investigações de incidentes).
Os processos do SOC são um conjunto de procedimentos organizacionais e técnicos que cobrem 4 áreas:
- Suporte de infraestrutura SOC (suporte de infraestrutura);
- Monitorando eventos de segurança (monitorando);
- Investigação de incidentes (investigação / resposta a incidentes);
- Desenvolvimento (desenvolvimento de serviços).
Todos os componentes têm como objetivo detectar e prevenir ameaças cibernéticas.
Ao mesmo tempo, o requisito mais importante para esses processos é que eles sejam perfeitamente incorporados aos processos de negócios atuais da organização. Em outras palavras, os processos do SOC não podem se diferenciar e devem ser, em primeiro lugar, cuidadosamente estruturados e, em segundo lugar, para executar sua tarefa de maneira eficaz - para trazer o valor esperado. Também observamos que a "filigrana" de um serviço crítico é entendida como absoluta clareza e consistência nas ações dos funcionários de departamentos relacionados, nas quais a simples e a violação dos parâmetros especificados do SLA não são permitidas, mesmo em caso de força maior. Sem mencionar os populares: “o funcionário estava no jantar” ou “não conseguiu passar”. O resultado deve ser claro e no prazo. Por esse motivo, o modelo de trabalho do SOC é semelhante ao serviço militar, e os regulamentos e instruções adotados são como uma carta executada incondicionalmente.
Paradoxalmente, muitos estão convencidos de que o principal componente do SOC é o kit de ferramentas. Nesse caso, seria apropriado dar o seguinte exemplo. Imagine que você está indo, Deus livre, para uma operação. A notícia não é alegre e eles começam a animá-lo na clínica com palavras de que algum cirurgião fará a operação, mas ele tem um incrível bisturi de um dos fabricantes mais caros. E sobre o "bisturi milagroso", eles lhe dirão várias vezes, e talvez até mostrem um certificado confirmando sua nitidez e pureza do metal. Suponho que esse argumento não o tranquilize particularmente e você desejará perguntar sobre o médico, bem como sua experiência na condução de operações semelhantes.
Obviamente, a escolha de um sistema SIEM é extremamente importante e sua funcionalidade deve refletir claramente as necessidades do comprador. No entanto, você sempre precisa se lembrar do fato de que o SIEM é apenas automação, o que exige competências profundas e uma lógica de trabalho muito clara para configurar.
Especialistas e processos são a pedra angular na criação de SOC
A partir da lista acima de competências necessárias, pode-se entender que os especialistas em SOC são funcionários universais e altamente qualificados que devem estar na junção de conhecimentos técnicos aprofundados e também ter a experiência de um analista. Além disso, a direção do SOC é bastante jovem para a Federação Russa e a CEI, e isso significa que existem poucos especialistas nessa área. É extremamente difícil encontrar especialistas competentes e "livres" no mercado. Antes de tudo, esses especialistas estão interessados em trabalhar com casos novos e interessantes que lhes permitam se desenvolver. Precisa de uma discussão. Por esse motivo, eles geralmente “se estabelecem” em grandes provedores de serviços e alternam apenas entre estruturas semelhantes.
Vale ressaltar o nível de salários desses especialistas. Antes, os colegas citaram repetidamente as
análises . As informações são bastante relevantes até hoje, com exceção apenas do nível de salários - elas se tornaram mais altas e no mercado em média de 15 a 20%. Isso significa que uma empresa que optou por contratar especialistas deve pagar muito dinheiro. Quão relevante é esse dinheiro para o benefício, desde que poucas empresas (com exceção do "Provedor de serviços") possam utilizar o tempo de um especialista em pelo menos 70%? Mesmo que esse especialista tenha sido demitido como um salário alto, a probabilidade de encontrar um emprego mais interessante é alta. Além disso, há estatísticas de que os membros da equipe desse tipo de serviço de projeto por 3 a 7 anos são completamente atualizados. Isso é realidade e deve ser considerado.
Assim, a empresa comprou um maravilhoso kit de ferramentas, um sistema SIEM funcional e eficaz, contratou um talentoso e experiente especialista em SOC, capaz de criar uma equipe amigável e coordenada de especialistas responsáveis. Além disso, essa equipe deve levar o sistema para suporte, desenvolver os procedimentos e regulamentos necessários, implementá-los e começar a trabalhar neles. Vale ressaltar que, mesmo após bons conselhos do integrador, que ajudou a custar o SOC (implementou o sistema, auditou os processos, criou regras básicas e escreveu as instruções necessárias), a equipe do SOC tem uma enorme camada de trabalho para otimizar o centro de resposta criado para as realidades da empresa. A combinação de processos e esquemas de trabalho segue no modo caso a caso.
Se não houve consultoria, e a equipe deve criar o SOC por conta própria, a história se torna ainda mais interessante e cara. É como colocar um estudante de graduação (ainda que com um diploma vermelho) nos primeiros dias de trabalho em produção no site mais responsável, e esperar que ele "se oriente de alguma forma".
Daqui resulta que, para confiar a criação do SOC à equipe que está sendo criada, você precisa estar preparado para dois cenários:
- Recrute uma equipe de especialistas que já criou um serviço semelhante (por essa composição ou por cada participante individualmente, de acordo com sua função).
- Recrute especialistas de áreas semelhantes com conhecimento relevante e "despeje" dinheiro no caminho de decisões erradas, falhas e ações inconsistentes.
Dos dois cenários, é mais provável que a primeira opção seja mais orçamentária devido à garantia do resultado e ao momento de atingir a meta de trabalho do serviço. Além disso, na primeira versão, o patrocinador do serviço do projeto já entende inicialmente o número de funcionários necessários e a composição das funções necessárias (número de linhas de suporte, incluindo o modo de operação 24 * 7 ou 8 * 5; número de analistas com funcionalidade; suporte para SIEM e componentes etc.) No segundo caso, o patrocinador geralmente argumenta nas seguintes categorias: "Temos 5 unidades de trabalho universais, cada especialista pode fazer 2 unidades de trabalho em um momento; portanto, temos dois especialistas e um aluno". Pode parecer ridículo, mas a prática mostra que, na agitação do fluxo de tarefas, alguns líderes tomam essas decisões automaticamente. E, ao mesmo tempo, temos certeza do resultado, sob o lema: "haveria bons funcionários e, em seguida, descobriremos como usá-los e carregar".
Ou talvez o SOC como serviço seja melhor?
Agora a Internet está repleta das últimas tendências: transformação digital (transformação digital), empresas entram completamente nas "nuvens", processos não essenciais são terceirizados. Grandes empresas estão começando a oferecer plataformas com as quais você pode discar o número necessário de serviços para manter e expandir um negócio de qualquer tamanho. Terceirização em contabilidade, serviços jurídicos, call centers, TI chave na mão: este é apenas o começo de mudanças globais. Além disso, os tipos de serviços podem ser absolutamente qualquer. Aqueles que pareciam incríveis e originais ontem, como "terceirização de impressão", estão em alta demanda hoje. Além disso, podemos ver a tendência de desenvolvimento do modelo orientado a serviços no mercado ocidental, tradicionalmente à frente da Federação Russa e da CEI. É enorme e abrange todos os setores.
O SOC como serviço (SOCaaS) não é uma exceção. Existem players suficientes no mercado, provedores de serviços de segurança da informação (MSSP), que oferecem aos clientes não “reinventar a roda”, mas simplesmente aproveitar os conhecimentos e a experiência nesse campo. É precisamente aqui, na “corrente”, que os especialistas enchem as mãos e ganham enorme experiência, o que lhes permite elaborar processos claros e eficazes. Eles coletam todos os recursos para analisar todos os cenários possíveis e oferecem opções relevantes para as necessidades do cliente. O cliente não precisa inventar nada, ele simplesmente experimenta as opções oferecidas e seleciona as que são necessárias.
O que é mais "saboroso" nesta história é que:
- por um dinheiro bastante razoável, o cliente recebe toda a lista de especialistas caros no volume que precisa;
- o serviço é bem projetado, bem treinado e testado em outras empresas;
- a empresa de serviços é responsável pela implementação do dinheiro do SLA e pelo "fator humano";
- o cliente recebe um serviço pronto para uso. Isso significa que o cliente não precisa gerar propostas para o desenvolvimento do serviço; o provedor de serviços também o acompanha. E, claro, não se preocupe com a motivação da equipe do SOC ou a rotatividade de especialistas. O parceiro selecionado cuidará disso.
Qual é o resultado?
Para meu amigo, existem duas opções para sair dessa situação com êxito:
- Para obter um orçamento adicional para especialistas competentes que construíram o SOC anteriormente e expandir a equipe por pelo menos mais 4 pessoas (e com o modo 24 * 7 - por 7 especialistas), conclua um ambicioso projeto interno.
- Obtenha um orçamento ainda maior para a construção de um SOC chave na mão, onde um provedor de serviços qualificado e experiente atuará como contratado. Este é um romance que vale dezenas de milhões de rublos (capex), mas com um resultado garantido. O Opex também será proporcional ao ponto 1, no entanto, o nível de serviço necessário será obtido muito mais rapidamente.
De qualquer forma, ambas as opções são proporcionais ao custo dos fundos gastos nas licenças SIEM e são muitas vezes mais caras que um serviço gerenciado com os mesmos parâmetros. É um fato! É por isso que agora essa área está se desenvolvendo tão ativamente e é muito procurada pelas empresas interessadas.
No entanto, deve-se reconhecer que mesmo o melhor serviço não é um meio universal de resolver todos os problemas e dores do cliente. E tudo, como sempre, permanece à mercê de uma tarefa específica, o tamanho da carteira e o pedantismo do cliente do SOC.
Denis Gushchin, Vice-CEO da Infosecurity.