- Тусовщики, которые приехали пообщаться, поселфиться, отметиться, показать, что жив, или поискать работу.
- Потенциальные или существующие потребители услуг SOC, которые хотели понять, стоит им влезать в тему SOC или убедиться, что они делают все правильно, заодно переняв лучшие практики, которые звучали с трех сцен форума.
- Регуляторы, которые доносили до аудитории явно или неявно свою позицию по тому, как будет регулироваться тема мониторинга ИБ, SIEM, ГосСОПКИ, реагирования на инциденты и т.п.
- Продавцы продуктов для SOCов.
- Продавцы аутсорсинговых SOC, которые заманивали в свои сети ничего не подозревающих заказчиков, которым может быть SOC был и не нужен, но не по мнению поставщиков услуг мониторинга ИБ.
Вот последним и будет посвящена эта заметка. Сразу хочу сказать, что я ни в коем случае не хочу бросить тень ни на кого из поставщиков услуг SOC, тем более, что среди них есть очень достойные предложения и решения. Но выбрать среди них правильного партнера непросто. Критериев либо нет вовсе, либо они столь сложны в оценке, что мало кто может пройтись по чеклисту, чтобы оценить себя и представить результаты публике. А еще бывает, что отсутствует независимая методика оценки SOC (даже при наличии моделей зрелости SOC от HPE или Cisco) и каждый SOCостроитель оценивает себя как повезет. При средней оценки в отрасли 1.55 (при желаемых 3.0) я несколько раз слышал от отечественных SOC, что их уровень зрелости приближается к 4-м :-)
Фрагмент содержания отчета Cisco по оценке зрелости SOC |
- проверка наличия имени консультанта в реестре операторов ПДн, который ведет РКН
- проверка наличия собственных документов по ПДн, аналоги которых будут разработаны для заказчиков
- собеседование с целью понять варианты минимизации усилий и затрат заказчика.
Иными словами вы должны убедиться, что то, что вам предлагают, протестировано хотя бы на самом аутсорсере и он не на словах, а на деле знает, за что потом с вас будет брать деньги. И чем больше сервисов вы у него будете брать (мониторинг, реагирование, threat hunting, malware analysis и т.п.), тем больше доказательств требуйте. В конце концов вы хотите передать свою ИБ в чужие руки и ваши запросы вполне закономерны. Одно дело пытаться заработать на хайпе и совсем другое - уметь реально заниматься мониторингом ИБ и реагированием на инциденты в максимально сжатые сроки с необходимым качеством.
ЗЫ. Есть еще один критерий, который можно было бы упомянуть по аналогии с алгоритмом выбора консультанта по ПДн, - наличие лицензии ФСТЭК на деятельности по мониторингу ИБ (для аутсорсинговых и холдинговых SOCов она обязательна), но... тут вам решать, важен вам этот критерий или нет. Потребителю важна не бумажка, а уровень предоставляемых услуг. И я уже писал , что ФСТЭК слишком рано решила зарегулировать данный сегмент рынка ИБ - не созрел он еще и регулятор сильно ограничил число его участников. Скажу больше, часть действующих сегодня SOCов, в том числе и выступивших на SOC Forum, поставлены новыми требованиями вне закона (но об этом я еще напишу отдельно), так как они не выполняют и врядли смогут выполнить требования ФСТЭК к лицензиатам.
ЗЗЫ. Да, предложенный критерий банален, но как показывает практика, про него не все вспоминают, выбирая себе партнера по тем или иным направлениям деятельности. Тоже самое, кстати, касается и средств защиты. Странно выглядит вендор, который предлагает вам средства защиты, которые он у себя не использует...