Советы по созданию SOC

Делимся нашим опытом создания SOC: как начать, собрать команду и наладить процессы. Этот материал мы подготовили по материалам вебинара на «Коде ИБ» Юрия Бармотина, руководителя отдела управления интеллектуальными услугами.

 

Thumbnail

 

Юрий Бармотин
Руководитель отдела управления интеллектуальными услугами.

Делимся инсайтами

 

Для построения SOC нужна выделенная команда

Если команда будет заниматься change-менеджментом и параллельно пытаться построить инфраструктуру и эксплуатировать ее, а также работать с инцидентами, вы получите результат низкого качества во всех функциях. 

 

На построение команды уйдет много времени

На поиск одного сотрудника приходится 1–2 месяца в лучшем случае. Не говоря уже об обучении — если человек не погружен, то закладывайте на это минимум год.

 

Обучать команду поддержки лучше на этапе разработки

Это важно, потому что если подходит test-operations-стадия, а мы все еще не знаем, как этим заниматься, возникают проблемы. Это приводит к сдвигу по времени.

 

Использовать единую IRP (Incident Response Platform) удобнее

Но важно понимать, что всегда должен быть баланс. Исходить нужно из того, что изоляция данных на первом месте. Хорошо, если ваша IRP позволяет сегментировать, например, общие инциденты с инцидентами ИБ. Если нет, лучше строить отдельную IRP.

 

Развенчиваем заблуждения

 

SOC не является готовым коробочным решением

Это система, состоящая из людей, процессов и технологий. И она требует непрерывного улучшения. Только с таким подходом к SOC вы сможете постоянно работать на высоком уровне.

 

Политика обработки инцидентов нужна!

Многие считают, что ее можно не вводить: есть команды админов, которым всегда можно позвонить. Но реагирование на инциденты в таком случае становится неуправляемым процессом, все проблемы приходится решать на ходу. Поэтому лучше делать политику с самого начала, при подготовке построения SOC.

 

Не нужно мониторить все

Безусловно, с технической точки зрения, вы можете поставить на мониторинг абсолютно все. Но это не гарантирует измеримую пользу. А в случае с различными политиками лицензирования вы еще и можете столкнуться с тем, что это станет очень дорого.

 

Не стоит недооценивать реакцию на оповещения SOC

Если вовремя не реагировать, ничего не поменяется. Ценность сервиса заключается именно в слаженной работе по процессу, поэтому отсутствие обратной связи не дает возможности работать с конкретными рисками.

 

Даем рекомендации

 

Наладьте взаимодействие с руководством

Вам понадобится поддержка руководства и постоянное взаимодействие с ним. Наметьте цели и ключевые метрики успешности, договоритесь о наладке кросс-функциональных процессов на уровне групп. 

 

Подберите оптимальную структуру SOC

Минимальный состав SOC: 5 сотрудников на L1-уровне (работают с известными use case) и 2 сотрудника на L2-уровне (подключаются в сложных ситуациях). Такая конфигурация, как на схеме, минимально позволяет сотрудникам заменять друг друга в случае отпуска или болезни. Пятого человека можно привлекать в ночную смену или только при необходимости. А благодаря двум сотрудникам на L2 можно проводить углубленный анализ.

Остальные части конфигурации могут быть различны. Это могут быть виртуальные, в том числе сторонние ресурсы. Оптимальный состав команды зависит от количества работы, но за основу можно взять такое соотношение.

 

Thumbnail

 

Постройте схему взаимодействия команд

Команды мониторинга работают с командой реагирования заказчика (внешнего или внутреннего). Для постоянного взаимодействия с руководством лучше вводить отдельную роль — ИБ-менеджер, который отчитывается о развитии сервиса.

 

Thumbnail

 

Узнайте больше о построении SOC

На вебинаре Юрий Бармотин рассказывает об ИБ-фреймворках, матрице OWASP Cyber Defence и более подробно показывает, из чего состоит SOC в Orange, на какие процессы он делится и как работает.

Смотреть 35-минутный вебинар

Команда кибербезопасности

Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.