6.8.19

Обзор отчета SANS по Security Operations Center

Продолжу тему SOCов. Помимо Exabeam, чей отчет я описал вчера, еще один обзор по SOC был выпущен этим летом. На этот раз его автором стал известный институт SANS, который уделяет этой теме большое внимание. Что интересного преподнес этот отчет и что нового в нем есть по сравнению с данными Exabeam?

  • Чаще всего на аутсорсинг отдают пентесты и различные формы проверки защищенности организации (red/purple teaming). В остальном тенденции схожи с тем, что написано у Exabeam; с поправкой на то, что SANS оперирует абсолютными цифрами и практически не сравнивает ситуацию с предыдущим годом.
  • Интересен был вопрос о том, как в SOC выстроен процесс управления знаниями, то есть документирование знаний, связанных с прошедшими инцидентами и операциями для ускорения процесса погружения в деятельность SOC новых его членов. Небольшие SOC используют неформальный процесс "один гигантский документ OneNote" или просто SharePoint. Большие SOCи используют для этих задач связку Jira с Confluence, которые позволяют вести базу тикетов и осуществлять накопление знаний в wiki-формате и обмен ими. SOCи, тесно связанные с ИТ, часто задействуют ServiceNow или BMC Remedy для управления тикетами и SharePoint для обмена знаниями.
  • SOCи преимущественно мониторят ИТ-инфраструктуру и только 10% из них берут на контроль еще и АСУ ТП и Интернет вещей. 
  • Для большинства SOCов остается проблемой наличие актуальной информации по активам, которые требуют мониторинга. Это связано с тем, что даже в зрелых ИТ-организациях CMDB обладает точной информации хорошо если на 80%. Часто именно SOC, которые предоставляют услуги сканирования и мониторинга учетных записей, сообщают в ИТ знания, которых у ИТ не было даже при наличии CMDB. Еще большую проблему в понимании активов представляет собой использование IaaS/PaaS/SaaS.
  • В случае наличия в организации NOC, в большинстве случаев он никак не связан с SOC, и их усилия объединяются только в условиях экстренных ситуаций.
  • Авторы отчета отмечают, что ответа на вопрос "Сколько достаточно сотрудников в SOC?" нет. Все зависит от множества факторов. Треть всех опрошенных имеют от 2 до 5 сотрудников в SOC (а всего опросили 355 SOCа по всему миру). Еще треть имеет от 6 до 25 сотрудников. Интересно, что 6 SOCов из 355 (в том числе и Cisco) имеют от 101 до 1000 аналитиков в своем составе, а 3 - более 1000 аналитиков. Хотелось бы знать имена этих "героев". Если же попробовать увязать число аналитиков SOC с размером организации, то картинка получается следующая:
    • При численности компании менее 10000 человек в SOC обычно от 2 до 5 аналитиков.
    • При численности от 10 до 15 тысяч человек SOC насчитывает обычно от 6 до 10 человек. 
    • В организациях от 15 до 100 тысяч сотрудников в SOC обычно работает от 11 до 25 человек.
    • В монстрах от 100 тысяч сотрудников SOC насчитывает от 26 до 100 аналитиков.
  • Получается, что среднее число айтишников от общей численности компании составляет 3% и еще 3% от службы ИТ составляет ИБ.
  • Большинство SOCов построено по централизованной архитектуре, что немудрено. Однако интересным оказалось, что более 10% опрошенных планируют перейти к облачной модели SOC. Еще 10% не имеют вообще никакой четко определенной архитектуры для своего центра мониторинга.
  • Интересным, но предсказуемым оказался ответ на вопрос об используемых метриках эффективности SOC. Самыми популярными метриками являются число инцидентов и время от обнаружения инцидента до реагирования и восстановления после него. Их измерять проще всего, опираясь на используемые в SOC инструменты. Бизнес-метрики, о которых я писал в прошлом сентябре, измерять достаточно тяжело и поэтому ими мало кто занимается. Стоимость инцидента как метрику для SOC использует не больше шестой части участвовавших в опросе центров мониторинга, также как и соотношение понесенных и предотвращенных от инцидентов потерь. В практике Cisco у нас был интересный проект по созданию SOC в финансовой организации, где заказчик в качестве одной из основных метрик использовал стоимость выписки по клиенту в Darknet. Ее увеличение говорило об эффективности работы ИБ. Только 11% организаций полностью автоматизировали процесс сбора и представления метрик - остальные используют либо целиком ручной, либо смешанный способ работы с показателями оценки эффективности SOC.
  • Список барьеров при построении и эксплуатации SOC более полон, чем у Exabeam, хотя топ этих барьеров почти полностью совпадают:
    • Нехватка квалифицированного персонала
    • Нехватка автоматизации и оркестрации
    • Отсутствие интеграции между инструментами SOC
    • Нехватка поддержки руководства
    • Нехватка процессов или playbook
    • Нехватка видимости на 360 градусов в рамках всего предприятия
    • Нехватка корреляции между всеми сигналами тревоги
    • Отсутствие кооперации между ИБ, реагированием на инциденты и аналитиками
    • Нехватка контекста к событиям безопасности
    • Требования регуляторики.
Вот такие данные, которые можно использовать как некоторый ориентир при построении с нуля или оценке уже построенного центра мониторинга безопасности. В целом могу подтвердить правдивость и отчета SANS и отчета Exabeam - мы, проводя аудиты SOCов по всему миру, включая и территорию бывшего Советского Союза, видим те же сложности и наблюдаем то же, что и в упомянутых отчетах.