05.08.2019

Обзор отчета Exabeam по состоянию Security Operations Center

Попался мне тут в руки отчет Exabeam с различной статистикой и обзором происходящего в области Security Operations Center в 2018 году (80% участников опроса имеют опыт работы в SOCах от 6 лет, а длительность работы 90% опрошенных SOC составляет более 3-х лет). Все перечислять не буду, но несколько интересных моментов оттуда я все-таки вытащу:

  • Почти половина SOCов продолжает аутсорсить функции Threat Intelligence (ежегодный рост 17%) и анализ вредоносного кода (ежегодный рост 15%), а вот аутсорсинг функции мониторинга (одной из основных для SOC) наоборот снижается (на 10% по сравнению с прошлым годом). Вспоминая недавнюю заметку, становится понятно, почему многие организации (если уж они доросли до идеи SOC) предпочитают все-таки строить свой центр мониторинга, отдавая вовне только сложные сервисы. Также возрастает число кейсов (на 6%), в которых на аутсорсинг отдается внеурочная работа (ночные часы и выходные). Сократилось до нуля число организаций, которые целиком отдавали функцию SOC на аутсорсинг. 
  • Менее эффективные SOC имеют больше проблем с нехваткой персонала, чем высоко эффективные центры мониторинга. Трети SOC не хватает 6-10 человек для выполнения своих функций. Интересно, что в России многие службы ИБ насчитывают меньше людей, чем это число.
  • Одним из мотивирующих факторов для аналитиков SOC продолжать работать в SOC являются вызовы, с которыми приходится сталкиваться в работе. Иными словами, в центрах, которые занимаются "ерундой" (мало заказчиков при аутсорсинге, мониторинг только периметра и небольшое количество инцидентов), аналитики должно не удерживаются, что приводит к снижению эффективности SOC (я об этом уже писал год назад). И это обычно не находится на поверхности, если речь идет об аутсорсинговом SOC. На желание покинуть SOC активно влияют плохой график работы (о том, что с этим делать, я говорил на прошлом SOC Forum), возможность фриланса (врядли актуально в России), а также отсутствие возможностей для внутреннего роста.
  • Возрастает роль так называемых soft skills для аналитиков SOC. Особенно важны становятся социальные навыки, умение коммуницировать и умение работать в команде.
  • Из технических навыков возрастает роль threat hunting и поиска утечек информации. А вот важность навыков работы с МСЭ, форензики и анализа вредоносного кода снизилась.
  • Общая эффективность SOC за год не изменилась, а вот возможности по автоматизации существенно упали (на 14%).
  • Три основных проблемы, возникающие у аналитиков SOC, - время, затрачиваемое на отчетность и документацию, ложные срабатывания и усталость от угроз (а тут недалеко и до психологической слепоты). А в целом у SOC проблемы следующие (в порядке приоритета) - успевать реагировать на все события ИБ, координация между ИБ и ИТ, слабая интеграция различными инструментов ИБ, необновленное оборудование. Тут вроде ничего нового
  • В рамках технологического стека у SOCов 4 приоритета - анализ больших данных, EDR (endpoint detection & response), мониторинг сети (NTA) и облаков (но не CASB), а также управление учетными записями. Около 40% SOC используют их в своей работе. Возрастает интерес к машинному обучению, которое может помочь в деятельности SOC, но пока только в крупных центрах мониторинга. 
  • Треть высокоэффективных SOCов проводят тренинги персонала на ежемесячной основе, еще столько же - на ежеквартальной, а пятая часть - на еженедельной основе. Это очень необычно для многих российских SOCов (да и вообще служб ИБ), которые не всегда выполняют требования даже пятилетних циклов повышения квалификации для своих сотрудников. Но не нужно думать, что речь всегда идет только о внешних курсах обучения или повышения квалификации. Нередко SOCи проводят внутренние тренинги или онлайн-курсы. Интересно, что высокоэффективные SOC отдают предпочтение внутреннему обучению, в отличие от низкоэффективных, ориентированных на внешнее обучение.
  • Интересно отличие в части используемых метрик для больших (более 200 человек) или малых (до 24 человек) SOCов. Последние чаще всего используют время простоя ИТ- или бизнес-сервисов, а первые - число эскалированных инцидентов, время простоя ИТ-сервисов и время от обнаружения инцидента до реагирования и восстановления после него. При этом существуют отличия между тем, какие метрики предпочитают руководители ИТ или ИБ и аналитики SOC. Первым интересно число тикетов по инцидентам, а вторым - время простоя. 
  • Только 5% SOCов утверждают, что видят все, что им необходимо. К основным причинам, которые мешают SOCам видеть все, относят - legacy-приложения, которые не отдают события в SIEM, нехватка взаимодействия с владельцами сервисов/приложений, которые должны отдавать события безопасности, нехватка бюджета, а также нестандартизованные технологии (например, в процессе слияний и поглощений или неиспользующие стандарты).
  • В тройку основных направлений инвестиций для улучшения SOC входят - новые технологии, персонал и автоматизация.