Sunday, June 4, 2017

Разоблачение SOC

Зри в корень!
(Козьма Петрович Прутков)

Последнее время много говорят и пишут о SOC-ах. Что ж, с традиционным для себя опозданием, попробую тоже быть в формате каналов.

В, с каждым днем все более далеком, 2009-ом, я трудился в замечательной нефтяной компании, имеющей более 20-и региональных представительств. Достигнув определенной зрелости процессов и технологий ИБ, мы задумались над оптимизацией своих операционных затрат с одновременным усилением контроля ИБ... Тогда мы пришли к очевидному и одновременно гениальному в своей простоте решению: значительно дешевле посадить централизованное подразделение из ~10-и человек в одном из регионов, чем в каждом из ~20-и нанять на работу, минимум, по два безопасника. Это подразделение было названо Центром управления безопасностью (кстати, на слайде 65 фоном дан, немного обфусцированный, один из отчетов этого подразделения), и, постепенно, на него были переведены почти все операционные задачи ИБ: мониторинг и сопровождение СЗИ, управление инцидентами ИБ, контроль соответствия требованиям к стандартной операционной среде (стандарты АРМ), контроль доступа к информационным активам, управление уязвимостями, и пр.
Чем это не SOC? Все те же плюшки с концентрацией знаний и ответственности, обеспечением единого уровня операционной ИБ по всему интерпрайзу, что особенно важно в условиях единой инфраструктуры... Да, вот то, что выделено, является одновременно и требованием к такой централизации, поскольку единое ИТ требует единого уровня ИБ (помним, что ИБ - свойство ИТ), а самый простой способ обеспечения однообразия - сконцентрировать ответственность в одних руках - в созданном Центре [компетенции], а также - обязательным условием возможности реализации такой централизации, так как удаленное обслуживание трудноосуществимо в нецентрализованной инфраструктуре (~ нет единой аутентификации и авторизации, например, через единый домен AD, или, вообще, без сетевой доступности).
В целом, создание центров компетенции, и не только по ИБ (== SOC) - дело хорошее, как минимум, с позиции оптимизации затрат.
Таким образом, разговаривая про разные аспекты SOC, важно понимать следующие, очевидные и, на мой взгляд, логичные, вещи:
1. Если у вас нет операционной безопасности - желание построить SOC вас не спасет. Курсивом выделил не случайно, так как при таком раскладе сделать SOC, скорее, не получится (одного желания, к сожалению, не достаточно), - велик риск споткнуться на первом же этапе - определении выполняемых SOC-ом сервисов, поскольку эти сервисы - сервисы существующей операционной ИБ, а если ее нет, нет и ее сервисов.
2. SOC - не что иное как ваша операционная ИБ, или ее часть (трансформированные с целью оптимизации стоимости функции, с одновременным повышением эффективности, за счет сокращения затрат на внутренние коммуникации) - вопрос только в том, какие сервисы ИБ централизовать можно, а какие нельзя (ну, например, сопровождение железа ИБ (если это почему-то делают не ИТ) полностью делать удаленно не всегда получится, поэтому эта функция частично выпадет на локальных людей (не вижу причин почему это не могут быть коллеги из ИТ), аналогично - реагирование на инциденты, которое не всегда можно сделать исключительно удаленно и т.п.)
3. Для работы Центров компетенции вообще, и SOC, в частности, нужна зрелая ИТ-инфраструктура, хотя... , - но об этом поговорим в одном из следующих постов.
4. Наличие других Центров компетенции (в частности, в ИТ) упрощает схемы коммуникаций\эскалаций SOC в рамках работы над инцидентами.

В заключение хочется пожелать всем заниматься построением операционной безопасности, а не SOC. Достигнув определенного этапа в этой работе, SOC - будет для Вас одним из вариантов достижения компромисса между качеством и стоимостью.

6 comments:

Igor Gots said...

У централизованных SOC есть один фатальный недостаток, приводящий к тому, что на местах (читай в представительствах) он может не работать совсем.
Сотрудники централизованного SOC мыслят шаблонами привитыми им центральной инфраструктурой и требованиями к ней. У них нет будок в полях, хабов на периферийных портах и тп. В их модели мира офисная сеть построена на последней или предпоследней версии комутаторов от производителя, компьютеры пользователей в принципе не могут работать на windows xp, а главный технолог месторождения "Черное Урюково №2" не та персона, ради которой нужно менять конфигурацию сети или пробивать быстрый канал в "эти ваши Интернеты".
Более того, когда из центрального SOC'а раз в год в деревню приходит письмо с уведомлением об обращении к "потенциально опасному IP", сначала на это естественно забивают. Потом, если центральный SOC, не забыл о своем уведомлении (а он обычно забывает), начинается многоступенчатый процесс по уточнению полученных данных и сбору дополнительных. И фраза "а этих логов у нас нет" или "...уже нет" появляется в ходе расследования инцидента с вероятностью 90%.
Отсюда - 20 человек в регионах придется обучить и\или нанять. Без этого центральный SOC будет работать только в центре, что неоправданно дорого.

Information Security said...
This comment has been removed by the author.
Information Security said...

Мне кажется, что проблем а тут не в шаблонности, а в отсутствии подстройки процессов. Если в процессе работы вдруг обнаруживается, что-то нестандартное, например машина с WinXP, то нужно эскалировать проблему, получить уточнение инструкции, что делать с такими машинами,и работать дальше. Т.е. во всем процессе разрыв шаблона может только один раз возникнуть. И в этом случае неважно, где эта машина находится - в центральном офисе или на другом конце России.

С другой стороны, если руководство сока живёт в своём мирке с Win10 и последними моделями Cisco повсеместно, а первая линия не делает таких эскалаций, т.е. не корректирует картину мира руководства, то это все же проблема восприятия реальности, которая так же точно будет проявляться, если у вас будет по соку в каждом регионе.

Igor Gots said...

Итого, мы пришли к варианту, что нужна комбинация единого центра компетенции, с адаптированными помоганцами центра на местах.
Адаптированными - потому-что их нужно учить и поддерживать
Помоганцами - потому-что это будут люди, у которых будут свои, местные обязанности + работа по алертам SOC и сбору журналов

В процессы уходить - наверное это за рамками текущего поста? )

Sergey Soldatov said...

Игорь, спасибо за твое красноречивое и точное описание действительности.

Все это называется Situational awareness или Контекст. Никто не отрицает важность корректного понимания действительности на обслуживаемых объектах для работы любого Центра компетенции.

Без "помоганцев" на местах безусловно не обойтись. Но обойтись только "помоганцами" для получения того же уровня сервиса, как при наличии Центра компетенции - не получится, поскольку это упрется, как минимум, в невозможность построения эффективных (full mesh) коммуникаций между всеми "помоганцами".

Далее, "помоганцев" можно шарить между многими Центрами компетенции, поэтому не вижу проблем, чтобы в роли "помоганцев" выступал Хелпдеск, который всегда есть в любом дупле, где люди используют компьютер и, следовательно, есть риск неудачных попыток работы пользователей, скажем, с выключенным оборудованием.

Описанная мной схема работала. Вопрос насколько она была совершенна - бесконечное обсуждение, так как невозможность достичь совершенства - второй закон диалектики, в совокупности с неубыванием энтропии приводит нас к необходимости постоянного вращения, как белка в колесе, в цикле Деминга.

Igor Gots said...

Я бы не стал отвечать, если бы не твоя фраза "схема работала".
Ты видел все сверху.
Вспомнилась прекрасная аналогия. В компьютерных играх, когда вычислительной мощности недостаточно, удаленные объекты прячут за туманом. Пока не знаешь природу этого эффекта, он кажется забавной опцией и твой в твоем мире все работает. Пока ты не знаешь, почему горизонт прячут за туманом...