Вот про что на SOC Forum почти не говорили, так это об экономике центров мониторинга и реагирования на инциденты. Хотя эта тема очень тесно переплетена с вчера мной рассмотренной про дилемму выбора между собственным и аутсорсинговым SOCом. Вот ею мы и поставим точку в этой долгой эпопее под названием Security Operations Center. Хотя, скорее всего, это будет многоточие...
Итак, есть уже упомянутое коллегами исследование , в котором делается пример расчета бизнес-кейса выбора между SIEM и MSSP. Вообще странная постановка вопроса, не правда ли. Как можно сравнивать продукт и компанию? Ведь MSSP - это провайдер услуг управляемой безопасности. Но даже если заменить MSSP на аутсорсинговый SOC, а SIEM на локальный SOC, то и тут данное исследование не сильно помогает. По сути он пытается вас привести к мысли, что надо идти в аутсорсинг. Но вчера мы уже поняли, что очевидного ответа тут нет. Тут надо все взвешивать. А для этого надо понимать статьи затрат, из которых будет складываться бюджет SOC.
От чего зависит этот бюджет? Как минимум от трех факторов:
Дальше все "просто". В зависимости от ваших задач и ресурсов вы осмечиваете каждую из статей затрат и сравниваете "итого". При этом делать это стоит в некоторой среднесрочной перспективе. Очевидно, что в первый год свой собственный SOC потребует немалых капитальных затрат. Поэтому его выгода по сравнению с аутсорсингом будет видна только через несколько лет (и то не всегда).
Но статью бюджета - это только одна часть экономики SOC, затратная. А что у нас с доходной частью? Зачем нам SOC с точки зрения экономики? Тут мы вновь вторгаемся в непростую тему финансового обоснования ИБ. Как много у нас было / может быть инцидентов? Во сколько нам обходилось раньше управление ими? А во сколько может обойтись в будущем при нашей стратегии развития? В какую сумму нам обошлись простои от прошлых инцидентов? Возможно у нас были прямые потери (кражи, мошенничество)? На какую сумму? Можем ли мы это посчитать? Если да, то у нас перед глазами будет две важных части, которые позволят не только ответить на вопрос: "Нужен ли нам SOC?", но и сделать обоснованный выбор между собственным и аутсорсинговым SOCом.
Итак, есть уже упомянутое коллегами исследование , в котором делается пример расчета бизнес-кейса выбора между SIEM и MSSP. Вообще странная постановка вопроса, не правда ли. Как можно сравнивать продукт и компанию? Ведь MSSP - это провайдер услуг управляемой безопасности. Но даже если заменить MSSP на аутсорсинговый SOC, а SIEM на локальный SOC, то и тут данное исследование не сильно помогает. По сути он пытается вас привести к мысли, что надо идти в аутсорсинг. Но вчера мы уже поняли, что очевидного ответа тут нет. Тут надо все взвешивать. А для этого надо понимать статьи затрат, из которых будет складываться бюджет SOC.
От чего зависит этот бюджет? Как минимум от трех факторов:
- Собственный или внешний SOC
- Сервисы, предоставляемые SOCом
- Время работы SOC (5 х 8 или 24 х 7).
При этом сами статьи затрат меняются не сильно. Просто в случае собственного или аутсорсингового SOCа значения отдельных статей затрат будет нулевыми. Соответственно, часть из этих затрат будут одноразовыми и понадобятся только при создании SOC или заказе соответствующих услуг, а часть будут постоянными или требуемыми время от времени, но точно не одноразовыми. Итак, сходу приходят в голову следующие статьи затрат:
- Программное обеспечение
- SIEM и поддержка на него
- Дополнительный инструментарий и поддержка на него (зависит от сервисов)
- Коннекторы и поддержка на них
- Разработка специфических коннекторов
- Разработка дополнительного инструментария
- Средства защиты самого SOC
- ПО Service Desk
- Разработка портала/сайта/раздела и поддержание его
- Аппаратное обеспечение
- Сервера под SIEM, дополнительный инструментарий и Service Desk и поддержка на него
- Рабочие станции аналитиков и поддержка на них
- Оборудование для проведения расследований и поддержка на него
- Источники бесперебойного питания и поддержка на них
- Хранилище данных
- Сервера и сетевая инфраструктура под основное хранилище
- Резервное хранилище
- Носители информации
- Услуги
- Внедрение SIEM и дополнительного инструментария
- Подписка на источники Threat Intelligence
- Поддержка инфраструктуры (резервирование, обновление ПО, управление патчами, защита и т.п.)
- Услуги центров компетенций / внешних консультантов
- Услуги внешних SOC
- Аттестация / сертификация / другой compliance (ФЗ-152, СТО БР ИББС и др.)
- Помещение
- Физическая безопасность (видеонаблюдение, замки, сейф, шредер, ВОХР/ЧОП и т.п.)
- Плазмы для визуализации
- Телефония
- Электричество
- Аренда помещения
- Услуги связи
- Резервный канал связи
- Комната отдыха
- Поддержка в адекватном состоянии (вентиляция, уборка и т.п.)
- Люди
- Группа аналитиков и инженеров
- Группа реагирования на инциденты
- Группа проведения расследований
- Обучение персонала SOC
- Командировки на место инцидента
- Разное
- Разработка регламентов.
Но статью бюджета - это только одна часть экономики SOC, затратная. А что у нас с доходной частью? Зачем нам SOC с точки зрения экономики? Тут мы вновь вторгаемся в непростую тему финансового обоснования ИБ. Как много у нас было / может быть инцидентов? Во сколько нам обходилось раньше управление ими? А во сколько может обойтись в будущем при нашей стратегии развития? В какую сумму нам обошлись простои от прошлых инцидентов? Возможно у нас были прямые потери (кражи, мошенничество)? На какую сумму? Можем ли мы это посчитать? Если да, то у нас перед глазами будет две важных части, которые позволят не только ответить на вопрос: "Нужен ли нам SOC?", но и сделать обоснованный выбор между собственным и аутсорсинговым SOCом.