/ А давайте построим свой SOC

А давайте построим свой SOC



А давайте…

Но сперва разберём какие модели построения SOC бывают.
SOC_baner_Монтажная область 1 копия 2.jpg

Итак, на сегодня есть 4 модели:

  1. люди и технологии в организации
  2. люди в организации, а технологии на аутсорсе
  3. люди на аутсорсе, а технологии в организации
  4. и люди, и технологии на аутсорсе, т.н. сервисная модель, или как ее еще называют SOC по подписке.
Последние 2 модели самые распространенные, что связано с кадровыми возможностями организаций. На рынке даже одного SOC-аналитика найти сложно, не говоря уж о целом отделе, который сможет мониторить хотя бы в режиме 8х5.

Умолчим про рекомендуемый режим мониторинга 24х7, так как для его реализации необходимо минимум 5 человек. 
цитата Леонид.png

SOC по подписке

Сегодня активно набирает обороты эта модель, что связано с общим трендом на сервисные подходы (кино, музыка, книги и т.д. и т.п по подписке). Заплатил – получил услугу, отменил подписку – услуга приостановилась. Это удобно, быстро в исполнении и условно выгодно.
Но не все организации гонятся за новизной, поэтому вопрос построения собственного SOC все так же актуален, как и ранее (технологии и люди в организации).

Свой SOC

Чтобы построить свой SOC, нам понадобятся люди и технологии, а затем «все это» нужно будет обернуть в процессы.

Какие технологии нужны для SOC?

Минимально можно обойтись одной SIEM. Заводим в неё все события с узлов сети, а также имеющиеся средства защиты (было бы хорошо завести СОВ уровня сети).

Кто-то возразит: «А как же, NTA, IRP, SOAR, SandBox и прочее???».
Да, их тоже можно внедрить, но это будет дороже. Кроме того, все решения нужно правильно настроить, правильно использовать и уметь сопровождать.
Возвращаемся к проблеме кадрового обеспечения – есть вероятность, что половина решений будет просто «лежать на полке».

Люди в SOC: сколько и какой квалификации нужны?

Человек на мониторинге 100% своего рабочего времени занимается мониторингом либо связанными с ним задачами. Поэтому минимальное количество специалистов для 8х5 – 3. Это с учетом отпусков и больничных, а также ротации сотрудников. Один мониторит, второй на подхвате, третий занимается развитием направления.

Если же говорить про 24х7, то здесь минимумом будет 5 человек. С учетом больничных и отпусков. Правда одновременно болеть или отдыхать сможет только кто-то один из пяти. Здесь та же схема – развитие, дневная смена, ночная смена.

Помимо людей на сменах, нужен ещё руководитель, кто будет координировать специалистов, формировать процессы (разрабатывать документацию), контролировать исполнение и пересматривать их.

Все еще хотите свой SOC?

Тогда читайте о плюсах и минусах.

SOC на аутсорсе выгоднее в среднесрочной перспективе.

Плюсы:
  • защищен уже сейчас;
  • меньше затрат;
  • если и технологии на аутсорсе, то экономите на продлении лицензий;
  • не нужно искать специалистов и вкладываться в их обучение.

Минусы:
  • защищенность зависит от сторонней организации, и если в какой-то момент захочется строить свой SOC, то строить придется с нуля, так как все технологии и экспертиза будут оставаться на стороне.

Свой SOC выгоднее в долгосрочной перспективе. 

Плюсы:
  • ваша безопасность в ваших руках;
  • через несколько лет ваш SOC останется вашим SOC. При этом он будет глубоко погружен в ваши бизнес-процессы и работать только с вашей инфраструктурой.
Минусы:
  • придется долго строить – минимум полгода-год;
  • это дорогое удовольствие – стоимость лицензий на технологии + дорогие специалисты;
  • в самом начале придется набить шишки – как правильно работать никто не подскажет.

А что выбираете вы?


5 июля 2024
Поделиться
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация