Report from a speech at the Bank IT 2023 forum

1. Построение SOC для бизнеса:
желания и реальность
Лаптёнок Клавдий

2. 2
Что такое SOC
Термином CISRT называется группа экспертов в области IT безопасности,
чья основная обязанность реагировать на инциденты компьютерной
безопасности.
Существуют различные аббревиатуры, обозначающие данные группы:
• CERT или CERT/СС (Группа Оперативного Реагирования на Компьютерные
Инциденты / Координационная Группа)
• CSIRT (Группа Реагирования на Инциденты Компьютерной Безопасности)
• IRT (Группа Реагирования на Инциденты)
• CIRT (Группа Реагирования на Компьютерные Инциденты)
• SERT (Группа Оперативного Реагирования на Инциденты Безопасности)

3. 3
Известные сервисы и услуги предоставляемые SOC
Сервисы реагирования – направлены на обработку инцидентов и уменьшение потенциального ущерба.
Профилактические сервисы – предотвращение инцидентов посредством повышения осведомлённости и тренингов
Обработка артефактов – анализ любого файла или объекта найденного в системе, который может быть использован
вредоносными программами, такими как остатки вирусов, компьютерные черви, скрипты, трояны и т.д. Данные сервисы
также включают в себя обработку и распространение итоговой̆ информации производителям и другим заинтересованным
сторонам во избежание дальнейшего распространения вредоносного ПО, содержащего в себе вирусы, компьютерные
черви, а также уменьшению общего числа рисков.
Сервис Управления качеством систем безопасности имеет долгосрочные цели и состоит из консультирования и
образовательных мероприятий.
Управление качеством
систем безопасности
Обработка артефактов
Профилактические
сервисы
Сервисы
реагирования

4. 4
Сервисы реагирования Профилактические сервисы Обработка артефактов
Управление качеством
систем безопасности
Оповещение и предупреждение Объявления Анализ артефактов Анализ рисков
Обработка инцидентов Слежение за развитием
технологий
Реакция на артефакт Непрерывность
рабочего процесса и
восстановление при аварийных
ситуациях
Анализ инцидентов Анализ и оценка систем
безопасности
Координация
реагирования на артефакты
Консультирование по вопросам
безопасности
Реакция на инциденты Конфигурирование и
поддержка систем
безопасности
Повышение осведомлённости
Координация
реагирования на
инциденты
Разработка средств
обеспечения
безопасности
Обучение / Тренинги
Реакция на инциденты на месте Обнаружение
вторжения
Оценка продукта и
Сертификация
Обработка уязвимостей Распространение
информации о системах
безопасности
Анализ уязвимостей
Реакция на уязвимости
Координация
реагирования на уязвимости

5. 5
Независимая бизнес модель
Руководитель SOC
Технический
руководитель
Офис-менеджер Бухгалтер Юрист
Специалист по
коммуникациям
Техник
Техник
Техник
Техник

6. 6
Service Desk
SOAR
SIEM
TI
Sandbox
выявление и реагирование
на инциденты
сетевой сканер
сканер уязвимостей
тестирование
на проникновение

7. 7
Есть вопросы
Откуда взять метрики и показатели
эффективности?
Кадровый голод, время на обучение и
погружение в процессы, форс-мажоры или
иные факторы
Кто? С кем? Как? В рамках чего?
+ штат или услуги посредника?
А если используются продукты разных
вендоров как между ними
взаимодействовать?
Мероприятия по контролю эффективности
защищенности системы защиты
информации центра кибербезопасности
Штат
Координация реагирования на инциденты
Администрирование и менеджмент
платформы SOC
Развитие экспертизы

8. 8
Это все? Увы, нет
• опоздание или не выход на работу: внезапная болезнь, ДТП и т.д.
• формальное выполнение проверок СЗИ, документации и прочее
• большая нагрузка на L1, типовые инциденты для отвлечения внимания,
работы на инфраструктуре
• выполнение не свойственных задач смене
• проклятие «5 часов утра»
• долгое время на эскалацию уровней L2, L3 и на усиление смены
• несвоевременное ведение документации в следствии чего «белые пятна» в
отчетах
• попытка переложить ответственность за инцидент в ночное время на новую
смену («мол, мы делали, клиент не ответил вот и разбирайтесь»)
Передача смены
другим коллегам
Ночное время
Операционная
деятельность
Заступление
на смену

9. 9
Быть своему SOC или не быть? Истина в цене
Совокупная стоимость владелания = ( CAPEX + OPEX ) * X, где
X – срок планирования
CAPEX = капитальные затраты
OPEX = операционные затраты
Разовые капитальные затраты (это техническое оснащение, работы по внедрению, настройке, процессному обеспечению)
CAPEX = CAPEXinfr + CAPEXimpl
Операционные затраты (это техническое оснащение, работы по внедрению, настройке, процессному обеспечению)
OPEX = OPEXvendor + OPEXsupport + OPEXstaff
OPEXvendor – стоимость продления лицензий и техническая поддержка производителя;
OPEXsupport – стоимость работ по технической поддержке ИТ-интегратора: базовые консультации,
восстановление работоспособности, профилактические работы;
OPEXstaff – затраты на штат SOC.
OPEXstaff = С1×P1+С2×P2+С3×P3+...+Сn×Pn
Сn – количество специалистов каждой группы специалистов, шт.;
Pn – средняя стоимость специалиста для компании с учетом всех составляющих, налогов, социального пакета.
и прочие, прочие расходы расчеты

10. 10
SOC от А1 = 7 лет для внутренних и внешних заказчиков
Существующие услуги:
• SIEM
• VM (как инструментальное
сканирование, так и управление)
• «хирургическая очистка трафика»
(уникальный в РБ сервис на базе
синергии WAF и antiDDoS)
• Incident Response
• Incident Recovery
• Threat Intelligence Feeds
• консалтинг
Взаимодействие с другими партнерами
• построение «под ключ»
• построение на продуктах по модели MSSP
• интеграция с нашим SOC
• обучение и консультация коллег
• тренинги и тестирование на проникновение