17.11.2016

Оценка эффективность SOC. Версия 2.0

На эту неделю интересные мероприятия по ИБ закончились и можно сделать некоторый обзор того, что было. Тем более, что закончившийся вчера SOC Forum был трехпотоковым и по определению никто не мог посетить параллельные доклады. И это если не говорить, что кто-то вообще на доклады не ходил, а как обычно тусил в холле и общался с коллегами. Поэтому, следуя доброй традиции, я решил составить обзор SOC Forum 2.0, разбив его на несколько частей. И начну я с близкой мне темы измерения эффективности SOC, которой я уже уделял время в прошлом году, а в этом году вместе с Дмитрием Мананниковым мне доверили модерировать заседание про эту самую эффективность.

В отличие от пленарной части, которую я вел, и на которой я осознанно отказался от того, чтобы дисскутировать на тему "Что такое SOC?", в секции про эффективность все-таки надо было определиться с терминологией, с чего и начал Дима, который является одним из немногих людей, которые публично отстаивает позицию, что ИБ не только измерима, но и измерима в деньгах. В этот раз Дмитрий специально не стал начинать с полемической темы измерения SOC рублем, так как это очевидно бы вызвало шквал вопросов и мы бы не уложились в отведенное время. Поэтому Дмитрий просто ввел определение эффективности (но не результативности, что часто путают):


определение SOC в контексте нашей секции:


и привязал это к обязательному отталкиванию от целей, достижение которых мы хотим измерить. Вот это, пожалуй, самое главное в любом измерении - определить цель, для чего нам нужно то или иное решение, SOC, SIEM или что-то еще? Для чего может быть разным - для безопасности, для бизнеса, ради самого измерения... От определенной цели будет танцевать и измерение, и выбираемые метрики.


Продолжил тему Андрей Тамойкин из "Информзащиты", которого, похоже, бросили на амбразуру, предварительно оснастив связкой гранат, с которыми он на практике дело не имел :-) Иначе я не могу объяснить достаточно сумбурный доклад, из которого было сложно понять, Андрей описывает методику оценки эффективности (а на самом деле зрелости, которую докладчик смело приравнял к эффективности) аутсорсингового SOC Информзащиты или методику, которая явилась результатом труда аналитиков Информзащиты и она предоставляется всем желающим для измерения эффективности своих SOCов. Признав, что за основу была взята модель оценки зрелости SOMM компании HPE (успешно продавшей свой бизнес SIEM ArcSight), дальше последовал рассказ о модификации этой модели и попытке применить ее куда-то и зачем-то. Вот куда и зачем понятно не было. Андрея регулярно спасал Женя Климов из той же Информзащиты, который "подсказывал" с места правильные ответы :-) Но на прозвучавший от меня вопрос, а на какой уровень оценивает себя по данной методике сам SOC Информзащиты ответа я так и не получил (напомню, что по исследованию HP 87-ми SOCов в 18 странах мира на двух континентах среднее медианное значение уровня зрелости составляет 1,55 при желаемых трех).


После Информзащиты слово было предоставлено генеральному директору Андрею Безверхому из SOC Prime, у которого, что мне показалось забавным, 170+ лет кумулятивного опыта (так было заявлено в презентации :-) Вот тут я, честно говоря, спасовал. Я вообще не понял, о чем рассказывал Андрей. Тут, на мой взгляд, и с дикцией были сложности, и со скоростью представления материала (быстровато, что, возможно, влияло на дикцию), и с идеей всей презентации. По истечении 20-ти минут, выделенных на доклад, я так и не понял, о чем он и причем тут эффективность SOC, у которого, по версии SOC Prime, всего 4 возможных метрики и определяющих его эффективность.

Как обычно спас ситуацию Женя Климов, который по прошлому опыту тестировал SOC Prime и который в паре предложений рассказал, что из себя представляет подход и решение докладчика. Речь идет о системе мониторинга SIEM (или SOC, что, как и в прошлом году, часто путали между собой) с точки зрения работоспособности, безопасности, производительности, качества данных и возможности собирать сами данные. По сути это такая система проактивного мониторинга состояния, позволяющая прогнозировать сбои в работе SIEM, которые можно предотвратить (память на пределе, ЦПУ загружен по максимуму, места в БД не хватает, полоса исчерпана и т.п.). Важная тема, о которой часто забывают.

Завершал первую часть секции Александр Кузнецов из НТЦ Вулкан. Он представил очень непростую, но очень интересную и важную тему представления результатов работы SOC/SIEM (скорее даже SIEM) в виде отчетов. Чем мне нравится SOC Forum, так это своей сфокусированностью на одной теме, которую можно обсасывать с разных сторон. Обычно до таких глубоких и конкретных тем на типовых мероприятиях не доходят - не хватае времени и формат не тот. А тут все было "в кассу".


Александр в первое половине своего рассказа коснулся проблем, связанных с отчетностью, и способов их решения, а вот вторая часть подкачала - началась реклама разработанного в НТЦ Вулкан модуля, позволяющего улучшить встроенную систему отчетности большинства SIEM. Допускаю, что аудитории, уже использующей SIEM, эта тема была интересна, но мне не хватило практических примеров и лучших практик по подготовке отчетов, например, для разных целевых аудиторий.


После перерыва вступил в игру я и рассказал о примерах различных метрик, которые можно использовать (и которые используют) при оценке различных аспектов эффективности SOC. Учитывая, что и термин "SOC", и термин "эффективность", и целеполагание в ИБ понимаются всеми по-разному, то и метрик может быть бесконечное множество - каталоги их могут насчитывать сотни и тысячи примеров. Я же сконцентрировался только на некоторых из них, чтобы показать в каком направлении можно эту тему "копать".



Завершали секцию два потребителя SOC - внешнего и внутреннего. Это были банки "Санкт-Петербург" и Газпромбанк. От первого выступал Анатолий Скородумов, который рассказал о своем опыте построения системы мониторинга в банке и о том, как они пытались найти адекватную услугу аутсорсингового SOC в России. Лучше всего доклад Анатолия иллюстрирует его слайд, говорящий, что в России нет адекватных внешних SOCов. При этом на вопрос, а как же тогда банк "Санкт-Петербург" пользуется аутсорсингом SOCа, Аналотий ответил, что альтернатив-то и нет. Это наименьшее зло, так как ресурсов на построение своего SOC просто не хватает.


У Анатолия прозвучала и еще одна интересная мысль, о том, что измерить эффективность SOC можно, пригласив пентестера. И если SOC видит попытки пентестера взломать банк, то можно считать, что SOC работает эффективно (он же видит). Интересный подход, но, на мой взгляд, внешний пентестер в данном процессе - лишнее звено, которое только удорожает процесс оценки эффективности и отдаляет его во времени, равное длительности пентеста и подготовки отчета по его результатам. Однако опыт заказчика всегда ценен и не мне судить о том, насколько правильно или нет поступает Анатолий с точки зрения оценки эффективности. Если все стороны это устраивает, то почему бы и нет?..

Не менее интересным был доклад Александра Бабкина из Газпромбанка, который рассказал... нет, не о своем SOCе (это было в прошлом году), а о том, как и куда его планируется в банке развивать. Тут вам и подключение широкого спектра внешних фидов и иных источников информации об угрозах (к тому, что уже есть), и интеграция с антифрод-системой, и интеграция с DLP-решением, и внедрение поведенческого анализа с помощью UEBA, и интеграция с системами расследования инцидентов (forensics). Не часто на наших мероприятиях можно услышать рассказ именно о планах развития системы ИБ заказчика.


На этом наша секция подошла к концу и я могу подвести ее некоторые итоги. Сегодня, в условиях, когда у каждого специалиста свое понимание SOC, эффективности и ИБ, говорить о каких-то лучших практиках оценки эффективности сложно. Как и о тиражируемости удачного опыта коллег. Всему свое время и место. Но надеюсь, что участники нашей сессии смогли подчерпнуть немало полезных идей для выстраивания своего процесса эффективности SOC.

4 коммент.:

Антон Земцов комментирует...

Мастер-класс по работе модератора. Респект, мэтр!

Алексей Лукацкий комментирует...

Спасибо. Но основную работу взял на себя Дима :-)

Andrii Bezverkhyi комментирует...

Алексей, благодарю за комментарий и здоровую критику! Пожалуй, это было первое мое выступление на столь целевом не моно-вендорном мероприятии. Немного деталей к тому о чем мы друг-друга не совсем поняли:
-170+ лет конечно же не мой опыт, а то так вот неплохо сохранился для 170 летнего родственника мастера Йоды :) Кумулятивный опыт компании в ИБ (нас 18 человек на фултайм + эдвайзори, опыт каждого специалиста от 3 до 25 лет, мой личный 10 лет).

Тема метрик и методологий имхо слишком обширная для 20-минутного доклада, тут не сравнишь и CKC, ATT&CK, DREAD, HPE SOMM, Activate.. потому первую попытку это уровнять я вынес в подкаст по методологиям внедрения SIEM & SOC. Это лекция на 1,5 часа доступная в RISSPA (ссылку в докладе где-то приводил).

Исследование на которых базируется платформа SOC Prime это конкретно "data-driven" подход, и к ключевым технологиям ИБ в SOC (SIEM, Vulnerability Management, Integrity Monitoring) и к фреймворкам и к метрикам, и к кейсам и фидам.

Алексей, может сделаем на эту тему мини-подкаст вдвоём? Пока запасусь правильным оборудованием и сбавлю темп подачи материала :) Модератором можем пригласить Евгения Климова. Как такая идея?

p.s. Очень высокий уровень мероприятия, очень рад что мы смогли принять участие и внести свою лепту.

Алексей Лукацкий комментирует...

Андрей, да я же без претензий :-) Просто высказал мнение о секции. Мне было не очень понятно о чем вообще речь, пока Женя не пояснил суть. Надо было начать с постановки задачи, а потом уже перейти к самой презентации. А сама платформа, конечно, интересная