Как построить SOC?

Как создать свой SOC?
Поэтапный план с ценами, оргштатной структурой и
инструментарием
Алексей Лукацкий
10 октября 2018
Бизнес-консультант по кибербезопасности

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Disclaimer
За 30 минут нельзя рассказать
о том, как построить центр
мониторинга киберугроз
Упомянутые в презентации
процессы, сервисы, решения,
технологии и подходы
опираются на опыт компании
Cisco, построившей несколько
десятков центров мониторинга,
и предоставляющей услуги
аутсорсинга ИБ 100+
заказчикам

Начнем с вопросов
1
2
3
4
5
У вас есть адекватный
бюджет для построения и
управления SOC?
У вас достаточно
квалифицированных
специалистов для построения
и управления SOC?
Как вы планируете сохранить
ваших сотрудников SOC?
У вас есть защищенное
место для SOC?
У вас есть программа
обучения, позволяющая
поддерживать уровень
компетенций сотрудников
SOC?
6
Вы знаете из каких блоков
состоит SOC?

Классическая
триада только
мешает :-(
Люди Процессы
Технологии

Великолепная семерка
Команда
Сервисы
Окружение Intelligence
Стратегия Миссия / цели

Стратегия
сервисов
Программа – управление, коммуникации, команда и управление стейкхолдерами
Разработка корневых
процессов
Фаза 1: SOC
Архитектура
Переход
Внутренний переход
Расширение технологий
Улучшение сервисов
Дизайн
сервисов
План
запуска
Фаза 2: Строительство SOC
Технологический стек
Фаза 3: SOC
Улучшение
План улучшение Улучшение процессов
Бизнес-
кейс Тесты /
Бенчмарк
SOC
Работает!
План создания SOC
Трансформация
Строительство SOC
(помещение)
Фаза 0: SOC
Концепция
Эталон
Архитектура
Спецификации
Функционирование

Миссия / цели

Какой SOC вы хотите?
Compliance
• Ориентация на приказы
ФСТЭК / ЦБ / ФСБ
• «Заблокировал и забыл»
• Нет Use Case и Playbook
• Отсутствие интеграции с
ИТ и бизнесом
• Отсутствие процессов
Бизнес
• Ориентация на инциденты,
а не события
• Защита критичных активов
• Ориентация на людей и
процессы в SOC, а не
технологии
• ИБ с точки зрения
бизнеса
• Контроль качества
Мода
• SIEM – ядро SOC
• SOC нужен для ГосСОПКИ
• У всех есть и мне нужен

Стратегия

Ваш SOC – это баланс между бизнесом,
технологиями, рисками и финансами
Бизнес-требования
Централизация Децентрализация
Единый глобальный SOC
Разные центры (SOC/NOC)
Снижение стоимости
Простота управления
Множество SOCов
Единый центр (SOC/NOC)
Высокая стоимость
Сложность управления
Технические требования
Стандарт Кастомизация
Простая платформа
Простота масштабирования
Средние детали по угрозам
Низкая стоимость внедрения
Комплексная платформа
Сложность масштабирования
Глубокие детали по угрозам
Высокая стоимости внедрения
Толерантность к рискам
Аутсорсинг Инсорсинг
30-90 дней на внедрение
Некритично для бизнеса
Низкая стоимость внедрения
Внешняя сертификация
Долгое внедрение
Критично для бизнеса
Высокая стоимости внедрения
Регулярные аудиты
Финансы
Низкая стоимость Высокая стоимость

Сервисная стратегия SOC
Драйвера, ожидания заказчика, ключевые принципы и
ожидаемый результат
Видение
стратегии
Описание сервисов SOC – модель реализации,
владелец, вход и выход для сервиса, компоненты
Резюме по
сервисам
Описание ключевых процессов, необходимых для
реализации сервисов SOC
Ключевые
процессы
Описание структуры команды SOC и всех ролей
Организационная
стратегия
Описание технологического стека SOC
Технологическая
стратегия

Свой SOC или чужой?
Параметр Свой SOC Чужой SOC
Контроль и подотчетность Полные Частичные
Гибкость в настройке под свои
нужды
Высокая Стандартные сервисы и
стандартный SLA
Знание локального окружения Высокое Низкое или отсутствует
Скорость развертывания От полугода (обычно 2-3 года) 2 месяца
Режим работы Обычно 5 х 8 Обычно 24 х 7
Возможности по
реагированию
Максимальные Средние
Масштабирование Среднее Высокое
Уровень компетенций Средний Высокий
Форма затрат CapEx OpEx
Предсказуемость затрат Непредсказуемый Предсказуемый

Свой SOC или чужой?
Параметр Свой SOC Чужой SOC
Гарантии (финансовые и т.п.) Отсутствуют Возможны
Зависимость от каналов связи Средняя Очень высокая
Хранение событий
безопасности
Локально За пределами организации
Права на технологии и
процессы
Принадлежат заказчику Принадлежат аутсорсеру
Выход за пределы своей
организации
Невозможен Возможно использовать
данные по другим заказчикам
Видимость «бревен в своем
глазу»
Низкая Высокая
Выделенный персонал Да Нет

Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугроз
Cyber Threat Intelligence
Экзотический /
национальный инцидент
Поддержка реагирования
Координация
восстановления
Аналитика безопасности
Управление данными безопасности
Расследование инцидентов
Анализ вредоносного кода
Управление отраслевыми
средствами защиты
Управление средствами
защиты
Управление услугами Управление услугами Управление услугами
Отраслевой инцидент
Управление
национальными СрЗИ
Общий инцидент
Управление платформой
Platform Dev & Engineering
Управление контентом
Операции ОперацииPlatform Dev & Engineering
Управление контентом
Восстановление Восстановление
Управление средствами
защиты
Гибридная модель

Сервисы

Какие сервисы могут быть?
Управление сервисом
- Business Service
Management
- IT Service Management
Аналитика безопасности
- Security Data Management
- Security Analytics
Платформы и контент
- Platform Engineering
- Platform Operations
- Content Management
Реагирование на инциденты
- Cyber Security Monitoring
- Cyber Security Investigation and
Escalation
- Cyber Threat Hunting
- Cyber Security Incident
Remediation Threat Intelligence
- Threat Research and Modelling
- Malware Analysis
- Communications & Coordination
- Reports and Briefings

…но это еще не все
Управление сервисом
- Security Service
Provider Management
- Cloud Security Services
Management
- Vendor Management
Управление соответствием
- Разработка политик и
стандартов
- Оценка соответствия
Обучение и
тестирование
- Training Development
- Training Delivery
- Red team and other
testing services
Управление СЗИ
- IAM
- Контроль границ
- System and data integrity
protections
- Криптография
- Application security
- Другие
Управление уязвимостями
- Vulnerability Intelligence
- Vulnerability Scanning
- Vulnerability Escalation
- Vulnerability Remediation

Основа документов SOC
Use Сase Playbook
Runbook
1
2
3
Use Case – набор тригеров /
правил для обнаружения угроз и
инцидентов
Playbook – сценарий,
описывающий набор действий
по обнаружению, анализу,
нейтрализации, реагированию
на инциденты и восстановлению
после них
Runbook – последовательность
шагов при использовании
конкретной технологии

Команда

• Разбор сложных инцидентов
• Обновление базы знаний
• Проверка инцидента и разбор эскалации
• Обнаружение пропущенных инцидентов
• Мониторинг событий
• Обнаружение и эскалация инцидентов
• Управление ресурсами, компетенциями и знаниями
• Улучшение процессов и контроль SLA
Анализ инцидентов
Обнаружение инцидентов
Роли традиционной команды SOC
Анализ APT (Hunting)
Лидер SOC

Но это не все
• Разбор сложных инцидентов
Hunting
• Управление ресурсами,
компетенциями и знаниями
• Улучшение процессов и контроль
SLA
Лидер SOC
• Анализ процессов
• Анализ базы инцидентов
• Анализ отклонений
• Обратная связь с пользователями
Анализ качества
• Техническая поддержка, патчи
• Реализация новых функций
• Резервирование
• Контроль состояния
• Проверка инцидента и разбор
эскалации
• Обнаружение пропущенных
Анализ
• Мониторинг событий
• Обнаружение и эскалация
Обнаружение

Команда NG SOC
• Архитектор SOC
• Специалист по Use
Cases (правилам)
• Программисты
Engineering
• Управление средствами ИБ
• Аналитики
• Investigator
• 1st
Responder
• SIEM/NTA/EDR/UEBA
• SOC Lead
Ядро SOC
• … по продуктам
• … по SIEM
• … по уязвимостям
• … по compliance
SME
• Incident Handler
• Incident Responder
• Forensic Expert
CSIRT
• Контроль качества
• Администратор SOC
• Безопасность
Поддержка
• Data Scientist
• Hunters
• Threat Intelligence
CTA/CTI
• Сканирование сети
• Тестирование
приложений
• Red Team
AVMT

Численность команды SOC
Руководитель
SOC
инцидентами
Реагирование
Реагирование
Расследование
Аналитика,
исследования,
разведка
Аналитики
угроз
Инженеры-
аналитики
Исследователи
Платформы
Разработчики
платформы
Инженеры
платформы
Операторы
платформы
Провайдеры
Мониторинг и
реагирование
Cyber Threat
Intelligence
Аналитики
безопасности
платформой
Менеджеры
сервисов
• В Microsoft Cyber Defense
Operations Center работает
50 человек
• В Cisco CSIRT – 103
• В РТК-Solar – 100+ и еще
идет набор
• Сбербанк озвучивает
цифру в 400 человек
• У ЛК – 14 человек

Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры6/26

Зарплата команды SOC
Вариант №1. Для 9 человек (не Москва)

Зарплата команды SOC
Вариант №2. Для 13 человек (Москва)

Аналитики L1 занимаются мониторингом
событий и обнаружением простых
Почему первая линия SOC не нужна
Автоматизация поможет исключить
аналитиков L1, которые и так видят около
10% всего того, что должны
Оставшиеся 90% - это игра и в нее надо
быть вовлеченным
Уровень
ротации
аналитиков L1
– около 90%

В П В С Ч П С
Расписание работы аналитиков
Аналитик L1
Аналитик L1
Аналитик L1
Аналитик L1
Аналитик L2
Аналитик L1
Аналитик L1
От правильного
расписания зависит
эффективность работы
Аналитики тоже люди и
хотят иметь личную жизнь
12-ти часовые смены
минимизируют число
аналитиков, но снижают
продуктивность и качество

• Реверс-инжиниринг ВПО
• Проведение пентестов
• Обнаружение атак: Deep Dive
• «Этичный хакер»
• Управление инцидентами
• Тренинг по soft skills
• Базовый курс по безопасности
• Знание SIEM/EDR/NTA/UEBA
• Управление проектами
• Управление персоналом
• Тренинг по soft skills
План обучения
Hunting
Лидер SOC
Анализ
Обнаружение $12000
$10000
$7500
$10000

Когда надо увеличивать численность SOC?
Compliance
ГосСОПКА, ФЗ-187, 382-П
Временное покрытие
От 8х5 к 24х7
Слияния и поглощения
Новые площадки и люди
Рост сложности
Новые технологии, новые
задачи

Архитектура технологического стека SOC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
кейсами
Malware
Intel
Providers
Threat
Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT
Service
Mgmt
CPE
Security
Analytics
Управлени
е данными
Анализ
ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответстви
я
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источник
и
Другие системы
Платформа
SOC
Сервисы
корпорат
.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
Подход Cisco к построению SOC. Технологическая архитектура

Традиционный SOC vs NG SOC
Традиционный SOC
• В среднем 150 дней
• В течение часов
• В течение дней
• В течение недель
SOC нового
поколения
• Непрерывно
• В реальном времени
• Менее часа
• За минуты
Возможности
• Обнаружение угроз
• Классификация угроз
• Анализ инцидентов и
составление плана
реагирования
• Локализация угрозы
• Восстановление от угрозы
• Время на возврат к исходному
состоянию

Технологии для SecOps (ядро SOC)
Технология Стоимость, $ Важность
SIEM 200.000
Network Traffic Analysis (Flow) 140.000
Network PCAP 0
Network IDS / IPS 15.000
EDR 35.000
Хранение и парсинг логов 0
Wi-Fi IDS и мониторинг 3.000
Обманные системы 50.000
UEBA 75.000
CASB 45.000
Высокая Средняя Низкая * - зависит от стоящих задач

Технологии для CSIRT / CTI
ПО для Endpoint Forensics (включая мобильные устройства) 0
ПО для Network Forensics (включая облака) 0
Железо для Forensics 100.000
Реверсинг вредоносного ПО (включая дебаггеры) 0
Песочница 50.000
ПО для анализа памяти 0
Фиды Threat Intelligence 20.000
Платформа Threat Intelligence 35.000
Анализ DNS / IP / AS 30.000

Технологии для администрирования SOC
Управление тикетами 35.000
Wiki 0
Аналитика и отчетность 15.000
УПАТС 0
Защита коммуникаций 5.000
Система управления инцидентами 25.000
Шредер 1.000

На что обратить внимание при расчете цены?
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
3-й год
Продукт
Многие решения
могут быть
некоммерческими, а
open source. Стоит
учитывать стоимость
железа для них
Владение
Некоторые
(например, NTA или
хранилище логов или
система тикетов)
могут быть уже
приобретены и
находиться во
владении других
отделов
Аутсорсинг
Технология может
быть либо куплена в
собственность, либо
взята в аутсорсинг.
Возможны и иные
схемы (лизинг,
аренда…)
Поддержка
Некоторые
продаются больше
чем на 1 год, что
может быть дешевле
Open Source
Поддержка open
source бесплатна,
но может
понадобиться
доработка, а
также
специалисты иной
квалификации
+ инфляция

Несколько вариантов расчета
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
536.000 123.000 153.200 161.350
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
112.000 26.000 31.200 37.440
Вариант №1. На базе коммерческих решений
Вариант №2. Коммерческие решения + open source
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
16.000 3.200 3.840 4.600
Вариант №3. На базе open source + сервера под него

Не забывайте про сопутствующие затраты
Половина
затрат

Окружение

После 12-ти минут непрерывного
мониторинга аналитик пропускает 45%
активности на мониторе. После 22-х –
95%
Технологии не помогут при отсутствии
правильного помещения
После 20-40 минут активного мониторинга
у аналитика наступает психологическая
слепота

Ключевые компоненты помещения для SOC
ОсвещениеАкустика
ДругоеЭстетика
• Шумопоглощение
• Эхо
• Реверберация
• Шумы от
вентиляторов,
чайников, проекторов
• Комната отдыха
• Кактусы на мониторах
и картины на стенах
• Настольные игры
• Эргономика рабочего
места
• Запахи
• Кондиционирование
• Влаго- и
теплообразование
• Теплообмен
• Давление в кухне
• Блики на мониторах
• Наличие окон
• Освещенность
• Теплота, яркость
освещения

Обратите внимание
• ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование
центров управления. Часть 1. Принципы проектирования
центров управления. Часть 2. Принципы организации
комплексов управления
центров управления. Часть 3. Расположение зала
управления
центров управления. Часть 4. Расположение и размеры
рабочих мест
центров управления. Часть 5. Дисплеи и элементы
управления
центров управления. Часть 6. Требования к окружающей
среде
центров управления. Часть 7. Принципы верификации и
валидации

Intelligence

Уровни Threat Intelligence
Стратегический
Операционный
Тактический
Технический
Улучшают возможности SOC/NOC и других
специалистов по ИБ реагировать, обнаруживать
или предотвращать кибератаки
Улучшают возможности CIO/CISO/CTO в
использовании ИТ/ИБ в защите и реагировании
Улучшают принятие решения относительно
киберрисков на уровне CRO, CEO, Правления и
др.
Описывают индикаторы для вредоносной
активности

Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Разведка

Итого: время
и деньги

Проект сервисной стратегии
Разработка проекта сервисной
стратегии для SOC, а также его
организационной структуры, Use Case,
Playbook, Runbook и т.п.
Старт проекта
Определение области проекта
Планирование проекта
Финиш
Разработаны стратегические
документы для SOC
Опрос Стратегический
workshop
Пересмотр
сервисной
стратегии
Проект
организационной
структуры
Хронология проектирования SOC
Финал
сервисной
стратегии
Пересмотр
структуры
Финал
структуры
Проектирование SOC занимает в среднем 6 недель
Оценка и бенчмаркинг SOC занимают в среднем 20 недель

А потом начинается строительство SOC

Итого: SOC нам обойдется (пример расчета)

Вопросы?

Дополнительная информация
53

Спасибо!
alukatsk@cisco.com

Как построить SOC?

More Related Content

What's hot

Similar to Как построить SOC?

More from Aleksey Lukatskiy

Как построить SOC?