А давайте…
Но сперва разберём какие модели построения SOC бывают.
Итак, на сегодня есть 4 модели:
- люди и технологии в организации
- люди в организации, а технологии на аутсорсе
- люди на аутсорсе, а технологии в организации
- и люди, и технологии на аутсорсе, т.н. сервисная модель, или как ее еще называют SOC по подписке.
Умолчим про рекомендуемый режим мониторинга 24х7, так как для его реализации необходимо минимум 5 человек.
SOC по подписке
Сегодня активно набирает обороты эта модель, что связано с общим трендом на сервисные подходы (кино, музыка, книги и т.д. и т.п по подписке). Заплатил – получил услугу, отменил подписку – услуга приостановилась. Это удобно, быстро в исполнении и условно выгодно.
Но не все организации гонятся за новизной, поэтому вопрос построения собственного SOC все так же актуален, как и ранее (технологии и люди в организации).
Свой SOC
Чтобы построить свой SOC, нам понадобятся люди и технологии, а затем «все это» нужно будет обернуть в процессы.
Какие технологии нужны для SOC?
Минимально можно обойтись одной SIEM. Заводим в неё все события с узлов сети, а также имеющиеся средства защиты (было бы хорошо завести СОВ уровня сети).
Кто-то возразит: «А как же, NTA, IRP, SOAR, SandBox и прочее???».
Кто-то возразит: «А как же, NTA, IRP, SOAR, SandBox и прочее???».
Да, их тоже можно внедрить, но это будет дороже. Кроме того, все решения нужно правильно настроить, правильно использовать и уметь сопровождать.
Возвращаемся к проблеме кадрового обеспечения – есть вероятность, что половина решений будет просто «лежать на полке».
Люди в SOC: сколько и какой квалификации нужны?
Человек на мониторинге 100% своего рабочего времени занимается мониторингом либо связанными с ним задачами. Поэтому минимальное количество специалистов для 8х5 – 3. Это с учетом отпусков и больничных, а также ротации сотрудников. Один мониторит, второй на подхвате, третий занимается развитием направления.
Если же говорить про 24х7, то здесь минимумом будет 5 человек. С учетом больничных и отпусков. Правда одновременно болеть или отдыхать сможет только кто-то один из пяти. Здесь та же схема – развитие, дневная смена, ночная смена.
Помимо людей на сменах, нужен ещё руководитель, кто будет координировать специалистов, формировать процессы (разрабатывать документацию), контролировать исполнение и пересматривать их.
Все еще хотите свой SOC?
Тогда читайте о плюсах и минусах.
SOC на аутсорсе выгоднее в среднесрочной перспективе.
Плюсы:
-
защищен уже сейчас;
-
меньше затрат;
-
если и технологии на аутсорсе, то экономите на продлении лицензий;
-
не нужно искать специалистов и вкладываться в их обучение.
Минусы:
- защищенность зависит от сторонней организации, и если в какой-то момент захочется строить свой SOC, то строить придется с нуля, так как все технологии и экспертиза будут оставаться на стороне.
Свой SOC выгоднее в долгосрочной перспективе.
Плюсы:
-
ваша безопасность в ваших руках;
-
через несколько лет ваш SOC останется вашим SOC. При этом он будет глубоко погружен в ваши бизнес-процессы и работать только с вашей инфраструктурой.
Минусы:
-
придется долго строить – минимум полгода-год;
-
это дорогое удовольствие – стоимость лицензий на технологии + дорогие специалисты;
-
в самом начале придется набить шишки – как правильно работать никто не подскажет.
А что выбираете вы?