SOC: облачный или on-premise? Применение и трансформация решений (Security Operations Center)

SOC: облачный или on-premise? Применение и трансформация решений

SOC: облачный или on-premise? Применение и трансформация решений

Многие компании в процессе развития ИБ-систем приходят к необходимости создания центра мониторинга и реагирования на инциденты в области информационной безопасности (Security Operations Center, SOC). SOC можно построить внутри компании или с использованием облачных сервисов. Важно разобраться в «плюсах» и «минусах» каждого подхода и выбрать для себя оптимальный.

 

 

 

 

  1. Введение
  2. SIEM в век облачных технологий
  3. Кадровый голод
  4. Облачный SOC
  5. Выводы

Введение

Для многих компаний центр мониторинга и реагирования на инциденты (SOC) является ключевой точкой обработки и хранения данных от средств информационной защиты, инфраструктурных элементов сети и прикладных систем. В этом процессе организации часто сталкиваются с вопросами:

  • выбора технологий и программного обеспечения для выявления инцидентов в своей сети, а также сбора, обработки и хранения событий,
  • инструментов организации работы аналитиков и взаимодействия со службами эксплуатации средств ИТ и ИБ,
  • определения инцидентов, на которые необходимо реагировать оперативно и которые можно рассматривать в исторической перспективе,
  • организации процессов выявления и расследования инцидентов и поиска квалифицированных кадров для решения аналитических задач.

Решить эти вопросы можно собственными силами, построив SOC внутри компании, или с использованием облачных сервисов.

SIEM в век облачных технологий

На протяжении многих лет ядром любого центра мониторинга являлось решение класса SIEM (Security Incident and Event Management), однако увеличение размеров инфраструктуры и скорость её изменения, увеличение объёма обрабатываемых данных, появление новых угроз и атак уже не позволяют обходиться только им.

В качестве примера можно привести частичный или полный переход организаций на облачные платформы и сервисы, что влечёт за собой интеграцию с уже развёрнутыми SIEM или дублирование их функций при использовании облачных решений. В дополнение к этому следует учитывать такие технологии, как виртуализация, контейнеризация, обработка больших данных и массовое использование микросервисов, требующие иного подхода к сбору, обработке и анализу поступающих событий.

Потоки событий при использовании облачных или контейнерных технологий требуют интеграции с данными и событиями по информационной безопасности в инфраструктуре организации, что сильно усложняет процессы обогащения данных и выявления инцидентов, приводя в дальнейшем к большему усложнению процессов сбора сведений, а также администрирования и эксплуатации центра мониторинга. Появляется несколько SIEM-решений, данные от которых необходимо приводить к единому виду типового инцидента. Следует отметить, что ключевые игроки рынка облачных вычислений предлагают свои решения для сбора и анализа событий из сферы ИБ.

Облачные SIEM имеют ряд преимуществ:

  • отсутствие больших первоначальных вложений,
  • минимальное время на внедрение решения,
  • прозрачное масштабирование,
  • отсутствие необходимости администрирования и сопровождения аппаратной или виртуальной платформы для SIEM,
  • гибкая оплата только используемых вычислительных мощностей и пространства,
  • георезервирование и отказоустойчивость системы,
  • защита от атак злоумышленников,
  • перенос ответственности за долговременное хранение и целостность данных на сторону облачного провайдера,
  • встроенные механизмы работы с индикаторами компрометации, расследования инцидентов, исторического анализа,
  • возможность сосредоточиться на решении основного вопроса — о построении внутренних процессов выявления инцидентов и реагирования на них.

Стоит отметить, что облачные решения для построения SOC не всегда оказываются дешевле, чем локальные (on-premise), поэтому каждая организация должна взвешивать для себя все «за» и «против» при выборе типа SIEM. Лучше всего привлечь к процессу выбора надёжного ИТ-консультанта, имеющего опыт работы с построением физической и облачной ИБ-инфраструктуры и достаточную отраслевую квалификацию.

Кадровый голод

Увеличение объёмов данных и сложности их обработки порождает другую проблему: проблему поиска специалистов, которые умеют эффективно работать одновременно с несколькими решениями разных производителей в гибридных схемах. В соответствии с исследованиями ISACA 2019 года, около 69 % организаций сообщили о нехватке специалистов по безопасности. 32 % организаций признают сложности в найме персонала: закрытие открытых позиций специалистов по ИБ осуществляется в течение 6 месяцев и более.

Отсутствие квалифицированных и опытных специалистов в центре мониторинга приводит к тому, что процессы не работают или работают медленно и с большим количеством ошибок, что резко снижает эффективность центра при выявлении ИБ-инцидентов и реагировании на них. Тенденции к увеличению количества и сложности атак на организации, росту количества технологий и угроз, расширение зоны ответственности и повышение трудоёмкости анализа инцидентов также негативно влияют на аналитиков SOC, приводят к их частичному или полному выгоранию и потере ими работоспособности.

Несмотря на появление систем автоматизации реагирования на инциденты, призванных упростить и ускорить аналитическую работу, всё же время, расходуемое на интеграцию решения с другими системами, создание базы знаний и разработку сценариев по реагированию, может быть сопоставимым с существующими затратами аналитиков на работу с инцидентами и принести выгоду в перспективе нескольких лет. Таким образом, в ходе построения и эксплуатации SOC выигрывают организации, в которых разделены следующие процессы:

  • эксплуатации и сопровождения программного обеспечения и оборудования центра мониторинга,
  • ведения базы знаний и мониторинга новых угроз,
  • автоматизации процессов и интеграции с другими системами внутри организации,
  • выявления инцидентов в сфере ИБ и реагирования на них.

Опыт Softline показывает, что для решения этих задач необходимо как минимум 9 человек в режиме работы 8х5; при работе в режиме 24х7 к этому количеству необходимо прибавить ещё около 10 человек, которые могут эффективно выявлять и обрабатывать инциденты.

Согласно последним отчётам SANS по итогам проведённых аудитов в 355 центрах мониторинга по всему миру, треть всех опрошенных имеет в SOC от 2 до 5 сотрудников — число катастрофически недостаточное для эффективного функционирования центра.

Облачный SOC

Одним из решений всех вышеуказанных проблем является взаимодействие со специализированными организациями, предоставляющими услуги по выявлению, обработке и расследованию инцидентов — так называемыми облачными центрами мониторинга. При этом организация может передать необходимую часть функциональности или даже всю работу по строительству и обслуживанию SOC квалифицированным специалистам.

Облачный центр мониторинга может быть создан «с нуля» или на базе уже имеющейся у заказчика SIEM. Возможны варианты использования гибридного сервиса, когда данные и технологии остаются на стороне организации, а поставщик услуги сопровождает программное обеспечение и работает с инцидентами в сфере ИБ, или организации SOC «под ключ», когда весь сервис берёт на себя сторонняя компания. Последний вариант чаще всего используют предприятия размером до 1000 человек, которые не могут позволить себе большой штат специалистов по ИБ, и крупные организации, внутренние регламенты которых позволяют выносить работу с инцидентами за пределы периметра.

За прошлый год Infosecurity, a Softline Company реализовала более 10 проектов по внедрению облачного сервиса ISOC в российских организациях. Среди клиентов — государственные, промышленные, нефтяные компании. Основными мотивами при выборе облачного сервиса для большинства наших заказчиков стали скорость подключения к сервису и возможность полноценного выполнения требований регуляторов.

Выводы

Перед принятием решений о том, какой SOC хочет построить организация, необходимо взвесить все «за» и «против» и выбрать сценарий: создавать центр мониторинга в своей инфраструктуре либо использовать гибридный вариант или облачный сервис.

Выбор решения может зависеть от следующих параметров:

  • совокупная стоимость владения, включая стоимость покупки и обслуживания ПО и аппаратных средств, а также оплату труда сотрудников, занятых в работе центра мониторинга,
  • наличие собственных компетенций по построению процессов центра мониторинга или привлечение других организаций для консультирования,
  • скорость построения центра мониторинга и вывода его в промышленную эксплуатацию,
  • географическое распределение площадок организации для сбора событий,
  • потребность в круглосуточном мониторинге и реагировании на события,
  • требования регулятора по использованию сертифицированных решений в центре мониторинга.
Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru