Почему строить SOC самим долго и дорого, а в итоге можно получить не то, что планировали

Наш опыт показывает, что некоторые компании сравнивают SOC с процессами или SIEM-системой. Верна ли такая точка зрения?

Представим, что компания приобрела SIEM-систему, установила оборудование, купила лицензии, расширила ИБ-отдел, написала плейбуки и начала анализировать все ИБ-события. После этого появятся следующие проблемы:

Компания увидит больше инцидентов. Специалистам придется работать с каждым из них по плейбукам. Компании повезет, если под каждый инцидент будет написан подходящий плейбук.

Увеличатся затраты ресурсов на реагирование. Чтобы обработать все инциденты, компании предстоит выделить дополнительное время специалистов, увеличить затраты на обслуживание оборудования и сопутствующие расходы.

Увеличится вероятность фокусировки на неприоритетных инцидентах. Из-за наплыва входящих сообщений станет сложнее фильтровать инциденты на приоритетные и неприоритетные.

В результате значительно увеличатся затраты на инфраструктуру, которые могут не окупиться и не обеспечат планируемый уровень защиты.

С какими вызовами может столкнуться компания

Наш опыт и опыт наших партнеров по управлению SOC показывает, что большинство компаний сталкивается со следующими трудностями на этапе создания собственного SOC:

Увеличение затрат. Чтобы своевременно реагировать на новые инциденты и обслуживать инфраструктуру, компаниям предстоит увеличить затраты на покупку лицензий и оборудования, обслуживание систем, зарплаты сотрудникам.

Новые типы инцидентов. Подключая новые зоны мониторинга, компания начнет видеть новые инциденты. ИБ-отделу потребуется дополнительное время на их анализ, разработку мер реагирования и написание соответствующих плейбуков.

Кадровые проблемы. Основные проблемы при создании собственного SOC — нанять, обучить и удержать ответственных, квалифицированных и мотивированных сотрудников.

Проблемы при автоматизации реагирования. Чтобы исключить человеческий фактор, необходимо автоматизировать рутину. Однако при всех плюсах, автоматизация или программа не заменит эксперта-аналитика, принимающего решение о приоритизации инцидента и реагировании на него.

Все-таки своими силами или отдать на аутсорс?

У собственного SOC и «SOC как сервис» есть преимущества и недостатки, которые можно объединить по четырем критериям: контроль, скорость развертывания, режим работы, уровень экспертизы.

Контроль

Собственный SOC: компания получает полный контроль над работой SOC и точно знает, что происходит в каждый момент времени.

SOC как сервис: контроль будет разделяться. При этом время ответа увеличится из-за задержки в коммуникациях между командами провайдера и клиента. Чаще всего этот момент регулируется с помощью написания инструкций, установки нормативов и способов ответа.

Скорость развертывания

Собственный SOC: на запуск своими силами уйдут миллионы долларов и до трех лет при полной занятости персонала, достаточном опыте и экспертизе.

SOC как сервис: мы запускаем пилотные проекты от двух до четырех месяцев, благодаря накопленному опыту и знанию особенностей различных вертикалей бизнеса.

Режим работы

Собственный SOC: обычным режимом работы в компаниях являются смены по 8 часов 5 дней в неделю. Этого недостаточно для обеспечения полной защиты ИБ-инфраструктуры.

SOC как сервис: клиент получает поддержку и защиту 24х7х365.

Уровень экспертизы и персонал

Собственный SOC: компании предстоит найти, нанять, обучить и удержать специалистов.

SOC как сервис: у сервис-провайдера уже собрана команда экспертов, агрегирующих опыт построения и управления SOC в различных компаниях и вертикалях бизнеса.

SOC — это не только мониторинг и реагирование

Это целая экосистема, интегрирующая множество систем, на построение которой может уйти несколько лет и миллионы долларов. Если начать создавать SOC без опыта, можно получить не только неработающее решение, но и потерпеть убытки, превышающие первоначальные инвестиции. В таком случает одним из оптимальных вариантов является SOC как сервис.