На днях попал мне в руки проект по SOC, который делался для одной из российских компаний. И напомнил он мне слайд, который был опубликован в Твиттере одним из участников недавно прошедшего в США Gartner Security & Risk Management Summit. Я не буду приводить не очень качественную фотографию - покажу таблицу, которую я сделал на основе этой фотографии, переведя ее на русский язык. Это упрощенная модель зрелости центров мониторинга безопасности по версии Gartner. Я знаю как многие мои коллеги относятся к Gartner, но в данном случае это и не так важно.
Таблица показывает отличия SOCов разных уровней зрелости по пяти ключевым параметрам - инструментарий, функции, Threat Intelligence, метрики и персонал. И, в целом, они отражают ключевые элементы, по которым можно оценивать "на глазок", насколько серьезно построен/спроектирован SOC. В этом преимущество это простой таблички - по ней можно быстро оценить как уже построенный SOC (и куда ему стремиться), так и проект по SOC, который сделан каким-то из консультантов/интеграторов.
Почему я вспомнил про эту картинку? Все просто. Почему-то до сих создаваемые или развивающиеся SOC строятся вокруг SIEM и все. Хотя наиболее прогрессивным сегодня считается использование так называемой "ядерной триады". Этот термин используется в международной политики и означает вооруженные силы государства, оснащенные ядерным оружием, которое размещается "на земле" (межконтинентальные баллистические ракеты), "на воде" (атомные подводные ракетоносцы) и "в воздухе" (стратегическая авиация). В области SOC эта триада состоит из следующих компонентов:
Таблица показывает отличия SOCов разных уровней зрелости по пяти ключевым параметрам - инструментарий, функции, Threat Intelligence, метрики и персонал. И, в целом, они отражают ключевые элементы, по которым можно оценивать "на глазок", насколько серьезно построен/спроектирован SOC. В этом преимущество это простой таблички - по ней можно быстро оценить как уже построенный SOC (и куда ему стремиться), так и проект по SOC, который сделан каким-то из консультантов/интеграторов.
Почему я вспомнил про эту картинку? Все просто. Почему-то до сих создаваемые или развивающиеся SOC строятся вокруг SIEM и все. Хотя наиболее прогрессивным сегодня считается использование так называемой "ядерной триады". Этот термин используется в международной политики и означает вооруженные силы государства, оснащенные ядерным оружием, которое размещается "на земле" (межконтинентальные баллистические ракеты), "на воде" (атомные подводные ракетоносцы) и "в воздухе" (стратегическая авиация). В области SOC эта триада состоит из следующих компонентов:
- мониторинг логов с помощью SIEM
- мониторинг сетевого трафика с помощью NTA
- мониторинг хостов с помощью EDR .
Но многие SOCи упорно строятся только на базе SIEM, упуская из виду события, происходящие на уровне сети или на уровне оконечных устройств. Без этих двух компонентов многие события ИБ остаются незамеченными и злоумышленники месяцами орудуют внутри "защищенной" инфраструктуры не будучи обнаруженными. К ним еще нередко добавляют UEBA для расширенной аналитики поведения пользователей (если use case по скомпрометированным сотрудникам или хакерам , маскирующимся под сотрудников, является актуальными для вас) и CASB для мониторинга облачных платформ. Я могу понять, когда SOC строился на базе только SIEM несколько лет назад. Но сейчас, когда и ландшафт угроз поменялся, и технологии новые появились? Почему сразу не закладывать в проект по SOC мониторинг сети и хостов? Или почему не включить их в план развития SOC на 1, 3, 5 лет (кстати, с ним тоже проблемы - такие планы мало кто готовит, почему-то считая, что создание SOC - это одномоментное событие, которое срабатывает "по щелчку").
В дополнение к средствами мониторинга и аналитики есть есть еще две обязательных платформы, которые должны обязательно быть предусмотрены в современном SOC, - решение по оркестрации ( SOAR ) и threat intelligence. В итоге получается, что в SOCе, который можно назвать современным (или SOC-NG, или SOC 2.0), должны быть реализованы следующие платформы:
Ну вот как-то так... Можно было бы поговорить и о других столбцах таблицы (мы только про инструментарий успели пообщаться), но это уже в другой раз.
