6.12.17

Как выбрать аутсорсинговый SOC?

Пора начать публиковать заметки по результатам прошедшего SOC Forum (материалы уже выложены), на котором я для себя выделил 5 категорий участников:

  • Тусовщики, которые приехали пообщаться, поселфиться, отметиться, показать, что жив, или поискать работу.
  • Потенциальные или существующие потребители услуг SOC, которые хотели понять, стоит им влезать в тему SOC или убедиться, что они делают все правильно, заодно переняв лучшие практики, которые звучали с трех сцен форума.
  • Регуляторы, которые доносили до аудитории явно или неявно свою позицию по тому, как будет регулироваться тема мониторинга ИБ, SIEM, ГосСОПКИ, реагирования на инциденты и т.п.
  • Продавцы продуктов для SOCов.
  • Продавцы аутсорсинговых SOC, которые заманивали в свои сети ничего не подозревающих заказчиков, которым может быть SOC был и не нужен, но не по мнению поставщиков услуг мониторинга ИБ.

Вот последним и будет посвящена эта заметка. Сразу хочу сказать, что я ни в коем случае не хочу бросить тень ни на кого из поставщиков услуг SOC, тем более, что среди них есть очень достойные предложения и решения. Но выбрать среди них правильного партнера непросто. Критериев либо нет вовсе, либо они столь сложны в оценке, что мало кто может пройтись по чеклисту, чтобы оценить себя и представить результаты публике. А еще бывает, что отсутствует независимая методика оценки SOC (даже при наличии моделей зрелости SOC от HPE или Cisco) и каждый SOCостроитель оценивает себя как повезет. При средней оценки в отрасли 1.55 (при желаемых 3.0) я несколько раз слышал от отечественных SOC, что их уровень зрелости приближается к 4-м :-)

Фрагмент содержания отчета Cisco по оценке зрелости SOC
Ну да ладно. Можно долго себя сравнивать по куче параметров (люди, оперативного реагирования, используемые технологии, описанные процессы и т.п.), но есть более простой алгоритм, с которого стоит, на мой взгляд, стоит начать оценку аутсорсингового центра мониторинга ИБ. Но начну издалека. В 2008-м году я написал заметку "Сапожники без сапог", которая вызвала живейшую дискуссию отрасли (я не помню заметок с таким количеством комментариев). В ней я задался риторическим вопросом, почему компании, предлагающие услуги по защите персональных данных, сами не очень и соблюдают законодательство, документы для выполнения которого они продают своим заказчикам. Мне даже судом грозили :-) Спустя год, я продолжил тему, и предложил простейший алгоритм для выбора консультанта по проекту ПДн, состоящий из трех шагов:

  • проверка наличия имени консультанта в реестре операторов ПДн, который ведет РКН
  • проверка наличия собственных документов по ПДн, аналоги которых будут разработаны для заказчиков
  • собеседование с целью понять варианты минимизации усилий и затрат заказчика.
До безобразия простой алгоритм, "пройти" который могли очень немногие. Так вот схожий по идеологии алгоритм я бы предложил и для SOCостроителей, предоставляющих свои услуги потребителям. Но 3 шага я бы сократил до одного :-) Уточните и получите доказательства, что предлагаемый вам SOC занимается мониторингом самого аутсорсера. Причем это должно быть не "мамой клянусь", а реальные доказательства - описанные процессы, RACI-матрица, пути эскалации (зависит от масштаба организации), скриншоты (или даже демонстрация) консолей мониторинга для заказчика, база инцидентов/кейсов/тикетов (можно обезличенную) и т.п.

Иными словами вы должны убедиться, что то, что вам предлагают, протестировано хотя бы на самом аутсорсере и он не на словах, а на деле знает, за что потом с вас будет брать деньги. И чем больше сервисов вы у него будете брать (мониторинг, реагирование, threat hunting, malware analysis и т.п.), тем больше доказательств требуйте. В конце концов вы хотите передать свою ИБ в чужие руки и ваши запросы вполне закономерны. Одно дело пытаться заработать на хайпе и совсем другое - уметь реально заниматься мониторингом ИБ и реагированием на инциденты в максимально сжатые сроки с необходимым качеством.

ЗЫ. Есть еще один критерий, который можно было бы упомянуть по аналогии с алгоритмом выбора консультанта по ПДн, - наличие лицензии ФСТЭК на деятельности по мониторингу ИБ (для аутсорсинговых и холдинговых SOCов она обязательна), но... тут вам решать, важен вам этот критерий или нет. Потребителю важна не бумажка, а уровень предоставляемых услуг. И я уже писал, что ФСТЭК слишком рано решила зарегулировать данный сегмент рынка ИБ - не созрел он еще и регулятор сильно ограничил число его участников. Скажу больше, часть действующих сегодня SOCов, в том числе и выступивших на SOC Forum, поставлены новыми требованиями вне закона (но об этом я еще напишу отдельно), так как они не выполняют и врядли смогут выполнить требования ФСТЭК к лицензиатам.

ЗЗЫ. Да, предложенный критерий банален, но как показывает практика, про него не все вспоминают, выбирая себе партнера по тем или иным направлениям деятельности. Тоже самое, кстати, касается и средств защиты. Странно выглядит вендор, который предлагает вам средства защиты, которые он у себя не использует...