Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC - это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями. Начну с того, что когда речь заходит об обучении по SOCам, нет ни одного курса, который бы закрыл все потребности в этой части, как нет человека, который в SOC занимается всеми направлениями - от мониторинга до реагирования, от threat hunting до threat intelligence, от проектирования архитектуры до формирования плана обучения аналитиков. Это все разные задачи, которыми занимаются разные роли внутри SOC. Поэтому и обучение тут нужно разное. Одним нужны курсы по Threat Hunting, другим по реагированию на инциденты, третьим по организации Red Team (если это часть сервисной модели SOC), четвертым - по планированию и проектированию SOC. Я про это уже и писал и выступал, но посчитал нелишним упомянуть еще раз. Так вот сейчас я бы хотел поделиться впечатлением о курсе именно про планирование и проектирование SOC, который ориентирован больше не на аналитиков по мониторингу ИБ (типа CompTIA Cybersecurity Analyst, о прохождении которого я уже писал, или Cisco CyberOps Professional), а на руководителей центров мониторинга или их аудиторов и проектантов (проектировщиков). Ну а так как я в последнее время глубоко погружен в эту тему и участвую в разных проектах по аудиту или проектированию SOCов, то я и решил, что надо систематизировать свои знания по этой теме.
Хочу отметить, что курсы по проектированию SOCов я нашел только у SANS. Первоначально это был пятидневный курс SANS MGT517, который разработал и вел Chris Cowley. Позже, причина до сих пор непонятна, MGT517 был закрыт SANS'ом и долгое время никаких специализированных курсов по SOCам не было, пока в прошлом году Крис не анонсировал собственный трехдневный курс по SOCам (его я и проходил недавно), а SANS не запустил двухдневный курс MGT551 имени Джона Хаббарда. MGT551, по словам его автора, является дополнением к его же курсу SEC450 по Blue Team и позволяет дополнить картину уже с высоты птичьего полета, с точки зрения менеджера SOC. Курс Криса по-прежнему ориентирован только на руководителей/аудиторов/проектантов SOC и не является дополнением к чему бы-то ни было. У SANS есть еще шестидневный курс SEC511 по непрерывному мониторингу и SecOps, но он схож с упомянутыми выше курсами CompTIA и Cisco CyberOps, то есть ориентирован именно на специалистов по мониторингу ИБ, чем на лидеров.
Но вернемся к курсу Криса, который первоначально проходил только очно, но ввиду коронавирусной шумихи был срочно переведен в онлайн-формат. Не могу сказать, что это повлияло на него с положительной точки зрения, так как возросла нагрузка на слушателей, которые должны были гораздо более серьезно относиться к обучению и заданиям, которые давались в рамках курса (но про это я уже написал вчера). С другой стороны, когда ты не связан корпоративными ограничениями (я имею ввиду SANS), можно быть чуть более открытым и давать материал лучше. Да и кучу сопутствующих материалов предоставлять (хотя, может, это больше зависит от инструктора, чем от от того, где курс читается).
Как я уже упомянул, курс не рассчитан на аналитиков, работающих с различными платформами и инструментами, его задача другая. Показать, нужен ли SOC организации и если да, то какой, и по какой модели его строить.
Очень много времени уделяется вопросу выбора и обоснования. Например, как обосновать необходимость SOC руководству компании, какие доводы использовать, каким ролям CxO важны какие задачи SOC и т.п.
С выбором связана и тема смен в SOCах. Крис давал различные модели и описывал их плюсы и минусы. Полезная тема с точки зрения планирования работ персонала и определения численности сотрудников SOC.
Фанатам технологий тоже было уделено внимание, но не с точки зрения лабораторных работ по конкретным платформам и инструментам, а с точки зрения их выбора. например, какие альтернативы есть для защиты коммуникаций в SOC, для TI, для SOAR, для SIEM и т.п. Причем они сравниваются по разным параметрам (цена, функциональность и т.п.), что дает возможность слушателям потом выбирать то, что лучше подходит под их задачи. Никаких "купите QRadar как SIEM" или "только Webex Teams может быть использован для коммуникаций внутри SOC".
Тема технологий развивается и с точки зрения геополитических рисков. Но не "Русские хакеры! Все пропало!", как это было на курсах SANS по промышленной ИБ, а с точки зрения оценки рисков использования различных технологий и сервисов от разных компаний и стран. Интересно, что Крис не просто показывает всякие прикольные таблички, а потом отдает их и с ними можно играться по своему усмотрению.
Говоря о мониторинге ИБ, нельзя обойти вниманием вопрос процессов. Крис подробно рассматривает достаточно стандартную процессную схему SOC с погружением в отдельные процессы и особенности их выстраивания с точки зрения менеджмента, выбора технологий под них или их аутсорсинга во внешние руки. 
Хороший раздел про разработку use case. Причем не только с точки зрения теории, но и практики.
Например, выдали табличку с кучей готовых use cases с их разбиением по L1-L3, привязкой к матрице MITRE ATT&CK, метриками и оценкой их эффективности. Полезная штука - мы в рамках наших проектов по SOC тоже используем схожую табличку в Excel, куда заносятся все Use Case, которые мы разрабатываем и с которыми потом можно работать, а не просто теоретизировать.
Ну и конечно вопрос измерения эффективности тоже не был обойден вниманием, хотя он, на мой взгляд, был не очень детально проработан. Метрики описывались больше технологические, чем бизнесовые. Но и среди них были интересные примеры, нечасто встречающиеся в публичных презентациях по оценке эффективности SOC.
Ну и для тех, кто любит сравнивать себя с другими SOCами, был раздел про оценку зрелости SOC с рассмотрением соответствующей модели зрелости и заданиями по ее использованию. Мы в своих проектах по аудиту уже построенных центров мониторинга тоже сталкиваемся с вопросом "А как мы соотносимся с другими?". Правда, в ответе на него гораздо важнее иметь не саму модель зрелости, а результаты этой оценки по другим SOCам, о чем Крис скромно умолчал :-)
Сложно в короткую заметку включить материал всех трех дней по 8 часов каждый. Поэтому могу в целом отметить, что курс очень полезный именно для тех, кто строит собственный или проводит аудит уже построенного SOCа и хочет получить общую картину под названием "центр мониторинга ИБ". Если вам нужны знания по конкретным направлениям деятельности SOC, то это скорее уже другие курсы, в том числе и вышеупомянутые.
ЗЫ. Вроде как Крис упоминал, что ему тоже не очень понравилась идея онлайн-курса по SOC и, возможно, больше таких не будет, - останутся только очные мероприятия, что увеличит цену на них, минимум, вдвое (за счет билетов и проживания). И это не считая сложностей с командировкой за пределы страны (сам Крис из США, но иногда проводит курсы в Европе, куда попасть сейчас непросто).
