Набор рекомендаций о том, как выбирать аутсорсингого партнера по ИБ на примере сервиса по мониторингу ИБ (SOC)

1. Как правильно выбрать
аутсорсингового партнера по ИБ
Алексей Лукацкий
7 ноября 2019
Бизнес-консультант по безопасност

2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Три альтернативы
Дорого,
но полный контроль
Аренда СрЗИ
или платформ для ИБ
Своя ИБ SECaaS
Дешевле,
но бензин и водитель
нужны свои
Просто закажите услугу
и все сделают за вас
В России нет!
Эконом, Комфорт, Комфорт+, Бизнес

3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Что заставляет клиентов обращаться к SOCaaS?
1
2
3
4
5
Улучшение процесса реагирования на инциденты. Неключевая функция
Улучшение процесса SecOps. IR, VA/VM, TI и т.п.
Реорганизация. 24х7 vs 8x5
Нехватка персонала. Бюджеты проще выделить на SOCaaS, чем на хайринг
Требования законодательства
6 SOCaaS дешевле, чем DIY (CapEx vs OpEx)

4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Зрелость и доходы от SECaaS
Зрелость
Доходы
Реактивные
Проактивные
Управляемые
SOCaaS / MDR
Заработок
на проблемах
заказчика
(сбои, утечки,
инциденты…)
Заработок
на успехах
заказчика
(масштаб, uptime,
доступность)

5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
W W W
Корпоративное окружение Портал управления
Управление уязвимостями
Обнаружение угроз
Инциденты
Отчеты
Сигналы
тревоги
Сканирования
Реагирование
Модель аутсорсинга ИБ

6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
На что жалуются клиенты SECaaS?
1
2
3
4
5
Продажи: непонимание проблем клиента и продуктоориентированность
Внедрение сервиса: процесс адаптации – уменьшение FP идет слишком
долго
Мониторинг: «не видят ничего важного»
Несоответствие ожиданий: обнаружение vs реагирование
SLA: что они измеряют и дают ли они ценность?
6 Ценообразование: слишком дорого; демонстрация стоимость vs выгоды

7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Пример
SOC-as-a-
Service

8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Что для вас
SOCaaS?
1
2
3
Каких услуг SOC вы
хотите от аутсорсинга
ИБ?
Ваш провайдер может
их предоставить?
Пример: мониторинг vs
реагирование в SOC

9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Терминология
1
2
3
4
У вас есть понимание
термина «инцидент»?
У вас есть классификация
инцидентов?
Вы попадаете под
требования ФСБ, ФСТЭК и
ЦБ с их разным пониманием
термина «инцидент”
Вы готовы к слишком
большому или слишком
малому потоку событий ИБ?

10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Каналы связи
1
2
3
4
5
У вас надежный Интернет
на всех площадках?
У вас есть резервные
каналы связи и план
на случай отказа?
У вас безлимитный
Интернет?
У аутсорсера
нормальный Интернет?
Пример: SOCaaS не в
Москве

11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Внутренняя
инфраструктура
1
2
3
4
Что вы хотите мониторить
- только периметр?
Netflow, EDR, UEBA?
Разделение SOCов –
внутри и снаружи?
Аутсорсер имеет опыт
мониторинга внутренних
сетей?

12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Реагирование
1
2
3
4
Кто? Вы или аутсорсер?
Как? Доступ есть?
Как взаимодействовать
между вами, ИТ и
аутсорсером?
Ответственность?

13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Управление
заявками
1
2
3
4
5
Как выстроен процесс
управления заявками?
Вручную?
Автоматизированно?
Выделенный менеджер?
Портал?
Например, внесение
изменений в МСЭ или
установка патча

14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SLA
1
2
3
Какой SLA вы хотите и
на какой согласен
аутсорсер?
SLA для разных
процессов и типов
инцидентов
Например, 15 минут на
реагирование?! Это миф!
Обнаружение –
реагирование – закрытие
инцидента…

15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Use case
1
2
3
4
Какие use case вы для
себя опредилили?
С какими use case
имел дело аутсорсер?
Примеры playbook у
аутсорсера
Аутсорсер заявляет, что
он может детектить все?

16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Доступ
1
2
3
4
5
Какой доступ к вашей
инфраструктуре
имеет аутсорсер?
Как делится
ответственность между
вами, ИТ и аутсорсером?
Какие данные увидит
аутсорсер?
Какие настройки будут у
вас на периметре для
доступа аутсорсера?
Как вы контролируете
защиту аутсорсера?

17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ответственность
1
2
3
4
5
Ответственность за
пропуск инцидента?
Штраф? Продление
контракта? Скидка?
Ваша ответственность за
неустранение косяков, по
причине которых
произошел инцидент?
Пример: установка патча
для устранения
уязвимости
За что готовы отвечать
вы?

18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Логи
1
2
3
4
Где хранятся логи ваших
средств защиты?
Пример: модель оплаты
storage-based у
аутсорсера
Сколько хранятся ваши
логи? У вас есть
хранилище? Кто за него
платит?
Как проводить
расследование в
ретроспективе, если логи
у вас?

19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Отчетность
1
2
3
4
Дашборд или отчеты?
Какие отчеты –
технические или
бизнесовые?
Вы знаете, что хочет
видеть ваше
руководство?
Кто определяет KPI и
метрики?

20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Compliance
1
2
3
4
5
Защита ПДн по ФЗ-152,
GDPR?
Требования по
аутсорсингу в нормативах
Банка России
Требования по доступу
третьих лиц в ФЗ-187
Требования
международных
требований (например,
PCI DSS, SOC2/3)
Оценка соответствия
аутсорсера

21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Разное
1
2
3
4
5
Атрофия службы ИБ
Зависимость от
аутсорсера
Ложные срабатывания
Отслеживание
изменений в мире ИБ
Как вернуться, если
аутсорсер накрылся
медным тазом?

22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Аутсорсинг ИБ
не означает, что
вы можете
сбросить со
своих плеч ИБ

23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Прежде чем, это
произойдет, вам
придется
сделать гораздо
больше, чем в
обычной жизни!

24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
А после ваши
процессы ИБ
просто
сдвинутся в
сторону
контроля!

25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Вопросы?