19.11.2015

Экономика SOC или то, о чем на SOC Forum так и не поговорили

Вот про что на SOC Forum почти не говорили, так это об экономике центров мониторинга и реагирования на инциденты. Хотя эта тема очень тесно переплетена с вчера мной рассмотренной про дилемму выбора между собственным и аутсорсинговым SOCом. Вот ею мы и поставим точку в этой долгой эпопее под названием Security Operations Center. Хотя, скорее всего, это будет многоточие...

Итак, есть уже упомянутое коллегами исследование, в котором делается пример расчета бизнес-кейса выбора между SIEM и MSSP. Вообще странная постановка вопроса, не правда ли. Как можно сравнивать продукт и компанию? Ведь MSSP - это провайдер услуг управляемой безопасности. Но даже если заменить MSSP на аутсорсинговый SOC, а SIEM на локальный SOC, то и тут данное исследование не сильно помогает. По сути он пытается вас привести к мысли, что надо идти в аутсорсинг. Но вчера мы уже поняли, что очевидного ответа тут нет. Тут надо все взвешивать. А для этого надо понимать статьи затрат, из которых будет складываться бюджет SOC.

От чего зависит этот бюджет? Как минимум от трех факторов:
  • Собственный или внешний SOC
  • Сервисы, предоставляемые SOCом
  • Время работы SOC (5 х 8 или 24 х 7).
При этом сами статьи затрат меняются не сильно. Просто в случае собственного или аутсорсингового SOCа значения отдельных статей затрат будет нулевыми. Соответственно, часть из этих затрат будут одноразовыми и понадобятся только при создании SOC или заказе соответствующих услуг, а часть будут постоянными или требуемыми время от времени, но точно не одноразовыми. Итак, сходу приходят в голову следующие статьи затрат:
  • Программное обеспечение
    • SIEM и поддержка на него
    • Дополнительный инструментарий и поддержка на него (зависит от сервисов)
    • Коннекторы и поддержка на них
    • Разработка специфических коннекторов
    • Разработка дополнительного инструментария
    • Средства защиты самого SOC
    • ПО Service Desk
    • Разработка портала/сайта/раздела и поддержание его
  • Аппаратное обеспечение
    • Сервера под SIEM, дополнительный инструментарий и Service Desk и поддержка на него
    • Рабочие станции аналитиков и поддержка на них
    • Оборудование для проведения расследований и поддержка на него
    • Источники бесперебойного питания и поддержка на них
  • Хранилище данных
    • Сервера и сетевая инфраструктура под основное хранилище
    • Резервное хранилище
    • Носители информации
  • Услуги
    • Внедрение SIEM и дополнительного инструментария
    • Подписка на источники Threat Intelligence
    • Поддержка инфраструктуры (резервирование, обновление ПО, управление патчами, защита и т.п.)
    • Услуги центров компетенций / внешних консультантов
    • Услуги внешних SOC
    • Аттестация / сертификация / другой compliance (ФЗ-152, СТО БР ИББС и др.)
  • Помещение
    • Физическая безопасность (видеонаблюдение, замки, сейф, шредер, ВОХР/ЧОП и т.п.)
    • Плазмы для визуализации
    • Телефония
    • Электричество
    • Аренда помещения
    • Услуги связи
    • Резервный канал связи
    • Комната отдыха
    • Поддержка в адекватном состоянии (вентиляция, уборка и т.п.)
  • Люди
    • Группа аналитиков и инженеров
    • Группа реагирования на инциденты
    • Группа проведения расследований
    • Обучение персонала SOC
    • Командировки на место инцидента
  • Разное
      • Разработка регламентов.
     Дальше все "просто". В зависимости от ваших задач и ресурсов вы осмечиваете каждую из статей затрат и сравниваете "итого". При этом делать это стоит в некоторой среднесрочной перспективе. Очевидно, что в первый год свой собственный SOC потребует немалых капитальных затрат. Поэтому его выгода по сравнению с аутсорсингом будет видна только через несколько лет (и то не всегда).

    Но статью бюджета - это только одна часть экономики SOC, затратная. А что у нас с доходной частью? Зачем нам SOC с точки зрения экономики? Тут мы вновь вторгаемся в непростую тему финансового обоснования ИБ. Как много у нас было / может быть инцидентов? Во сколько нам обходилось раньше управление ими? А во сколько может обойтись в будущем при нашей стратегии развития? В какую сумму нам обошлись простои от прошлых инцидентов? Возможно у нас были прямые потери (кражи, мошенничество)? На какую сумму? Можем ли мы это посчитать? Если да, то у нас перед глазами будет две важных части, которые позволят не только ответить на вопрос: "Нужен ли нам SOC?", но и сделать обоснованный выбор между собственным и аутсорсинговым SOCом.

    2 коммент.:

    Александр Бодрик комментирует...

    Я бы еще отдельно попробовал учесть эффект "бутылочного горлышка" в управлении инцидентами при использовании внешнего SOC. Можно заказать мониторинг 24Х7 но кто будет "гасить" системы если у нас ИТ 8Х5?..

    Алексей Лукацкий комментирует...

    Ага, интересный кейс