Можно ли запустить одну из ключевых платформ центра мониторинга информационной безопасности (Security Operations Center, SOC) за пару месяцев? Как именно реализовать концепцию быстрого запуска SOC?
- Введение
- Зачем мы придумали концепцию «быстроSOC»
- Что собой представляет концепция «быстроSOC»
- Выводы
Введение
На онлайн-конференции AM Live «Технологии и продукты оснащения SOC» прозвучал тезис, что существует вариант запуска одной из ключевых платформ SOC (SIEM) буквально за пару месяцев, что вызвало сомнения у некоторых коллег. В этой статье мы продолжим развивать эту тему: подробнее расскажем о концепции быстрого запуска SOC — «быстроSOC», — и вы сами сможете решить, насколько это реально осуществить.
Ранее на Anti-Malware.ru анализировали особенности применения SOC для мониторинга промышленных сетей АСУ ТП и сравнивали услуги коммерческих SOC (Security Operations Center).
Зачем мы придумали концепцию «быстроSOC»
При создании продукта одним из важных показателей для бизнеса является время выхода на рынок (Time to Market), ведь чем быстрее будет создан и запущен продукт, тем скорее компания начнёт извлекать из него выгоду.
При внедрении ИБ-продуктов редко учитывается такой показатель, потому что мы привыкли двигаться по каскадной модели: собираем все необходимые данные, а потом проектируем систему и запускаем её в полном соответствии с проектным решением.
Как следствие, только на создание и запуск центральной технологической платформы SOC на базе SIEM уходит минимум 6–8 месяцев, и при этом компания не получает SOC как таковой: нужно ещё смоделировать и отладить необходимые процессы, нанять и обучить персонал.
Запуск SOC — весьма продолжительный и трудоёмкий проект, в рамках которого недостаточно только внедрить SIEM-систему, а необходимо ещё как минимум:
- установить цели создания SOC и то, какие задачи он должен решать;
- определить участников процесса мониторинга и реагирования и договориться о зонах ответственности;
- определить и отладить процедуры мониторинга и реагирования;
- нанять и обучить персонал.
По нашему опыту, реализация проекта запуска SOC в такой парадигме у крупной компании занимает минимум год, а иногда и больше. В нынешней же ситуации вопрос быстрого запуска процессов мониторинга и реагирования стал ещё острее: ведь любая компания сейчас может попасть злоумышленникам под горячую руку. Да и ранее мы как интегратор периодически получали запросы от заказчиков по ускорению процесса создания SOC при условии, что мы предоставляем сервис по мониторингу и реагированию на инциденты по гибридной модели.
В качестве модели построения SOC далее рассматривается именно гибридный вариант, при котором заказчик за счёт ресурсов сервис-провайдера получает компетенции, то есть ему не надо тратить время на наём персонала и его обучение, а также на разработку и отладку процессов мониторинга и реагирования на инциденты в ИБ (рис. 1). Таким образом, для старта сервисов SOC за 30 рабочих дней достаточно запустить SIEM-систему и передать её в эксплуатацию.
Рисунок 1. Вариант технической архитектуры SOC при гибридной модели
Что собой представляет концепция «быстроSOC»
#кибербезопасность
#информационнаябезопасность
#soc
#siem
