SOC в современном мире – не опция, а витальная необходимость, реализация которой все же является трудоемким процессом. Центр мониторинга может быть штатным, а также может быть отдан на аутсорс. Расскажу про плюсы и минусы каждого сценария.
Автор - Олег Кочетков, Генеральный директор и совладелец Simplity.
ВНУТРЕННИЙ SOC
- Штатное подразделение находится под контролем самой компании, и если смотреть на ситуация глазами бизнеса, пожалуй, на этом плюсы заканчиваются.
Если говорить о минусах:
- Стоимость. ПА средства, OPEX и CAPEX выше в 5-10 раз, штат минимум 13 человек только для себя (для старта)
- Аналитики SOC видят только свою инфраструктуру, они не обладают насмотренностью
- Низкая скорость запуска – если говорить о реальных сроках, то они начинаются от 1 года
- Невозможно попробовать решение, потому что пилотное решение равно запуск собственного SOC
Свой SOC – сложный и трудоемкий процесс, запускать который обосновано только крупным корпорациям, да и то далеко не в каждом случае.
ВНЕШНИЙ SOC
- Нужно довериться подрядчику, и это является основным минусом
Если говорить о плюсах:
- Экономия: ПА средства по спец.цене шерятся между клиентами. Больший штат шерится между несколькими клиентами
- Экспертиза: у внешних специалистов выше насмотренность, натренированность, больше кейсов
- Очень высокая скорость запуска
- Пилот: легко попробовать за 1-2 недели на участке инфраструктуры
Если сравнить соотношение плюсов и минусов, напрашивается вывод, что аутсорсить SOC равно пойти по наиболее оптимальному пути.
Как составить ТЗ на внешний SOC?
- Посчитать число конечных точек (АРМ, серверов)
- Составить перечень имеющихся источников событий, которые нужно интегрировать в SOC: Домен, Антивирус, IDS
- Составить перечень источников событий и средств, которых обычно у вас нет - чаще всего это EDR
- Определиться с режимом предоставления услуги SOC: рекомендуемый режим мониторинга - 24/7, однако допустимый и режимы 16/7, 12/12, 16/5, которые, безусловно, позволяют экономить бюджет.
Как выбрать подрядчика SOC и не ошибиться
Если вы склоняетесь к аутсорсингу SOC, то предлагаю небольшой гайд.
- Любой подрядчик MUST HAVE лицензию ФСТЭК на ТЗКИ с открытым разделом на мониторинг – ее необходимо запросить в первую очередь.
- Но не каждый подрядчик подключен к ГосСОПКЕ (имеет соглашение с НКЦКИ) – среди прочих равных предпочтение следует отдать подрядчику, который имеет статус «Центр ГосСОПКА класса А»
- Выбирать подрядчика, который оказывает услуги только при 100% покрытии вашей инфраструктуры EDR, или в состав услуги входит предоставление EDR. В этом случае подрядчик точно понимает, что без EDR услуга не защищает клиента и не предотвращает недопустимые события
- Запросить бесплатный пилот на части инфраструктуры:
- Развернуть EDR на части узлов
- Продемонстрировать работу аналитиков
- Предоставить команду пентестеров, которые будут пытаться атаковать узлы, покрытие EDR, так вы увидите, что услуга работает