Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1

Руслан Рахметов, Security Vision

Процесс построения и целевая структура SOC, несмотря на сходные принципы, зависят от бизнес-требований заказчиков, состояния кибербезопасности, актуальных угроз и киберрисков. В стратегии №3 «Выстраивайте структуру SOC в соответствии с потребностями компании» авторы публикации рассматривают различные варианты структур SOC, организационные модели SOC, помещения для SOC, а также обсуждают вопросы целесообразности аутсорсинга функций SOC и введения круглосуточной дежурной смены. 

1. Драйверы выбора структуры SOC

1.1. Выполняемая миссия и защищаемый бизнес оказывают влияние на выбор структуры SOC в части понимания:

- бизнес-потребностей: размер и уровень зрелости компании, целесообразность и объем выделяемых SOC ресурсов, взаимодействие подразделений, выбор приоритетов в деятельности SOC;

- уровня киберрисков компании-заказчика: в зависимости от конфиденциальности обрабатываемой информации и законодательных требований к ее защите, интереса атакующих к данной компании, необходимости использования функционала резервирования технических средств и обеспечения непрерывности работы SOC;

- деятельности бизнес-подразделений и работников компании: обеспечение взаимодействия с различными группами заинтересованных лиц, понимание аналитиками бизнес-процессов, потребностей и ежедневных операций подразделений компании.

В итоге, авторы публикации отмечают, что чем дальше аналитик SOC находится от защищаемых активов (в физическом, логическом и иерархическом смысле), тем меньше у него будет контекста для ситуационной осведомленности; в случае крупных компаний с большим количество филиалов и подразделений, выходом может стать построение иерархической модели SOC с головным и дочерними SOC-структурами. 

1.2. Планируемая подотчетность и ответственность SOC

SOC-центру требуется набор полномочий для решения задач по управлению киберинцидентами, и структура SOC должна способствовать выработке общей идентичности, набора полномочий и круга обязанностей, а также получению соответствующих ресурсов. 

1.3. Какие услуги будет предоставлять SOC:

Набор услуг и задач, которые может решать SOC, очень широк - от банального мониторинга инцидентов ИБ до сканирований на уязвимости, пен-тестов, поиска киберугроз, киберразведки. В крупных компаниях, как правило, определенные задачи по обеспечению ИБ уже решаются другими подразделениями, отличными от SOC, однако их эффективное решение может потребовать также вовлечения аналитиков SOC. 

1.4. Операционная эффективность

Во всем мире ощущается нехватка квалифицированных специалистов по ИБ, и консолидация экспертов в едином подразделении SOC-центра позволит не только более эффективно применять их знания и умения, но и даст возможность специалистам повышать свою квалификацию и наиболее результативно трудиться. 

1.5. Границы ответственности мониторинга и защиты SOC

Большинство SOC-центров отвечают за мониторинг и реагирование на инциденты ИБ в ИТ-инфраструктуре (в традиционной on-prem, в облачной и удаленной средах), а также в мобильной и OT-инфраструктуре. В зависимости от бизнеса заказчика и от наличия конвергенции между OT и IT-сетями, в зону ответственности SOC-центра будут входить как элементы IT-инфраструктуры, так и элементы OT. Объединение функций защиты IT и OT-сред под крышей одного SOC дает как определенные преимущества (более быстрое выявление угроз, снижение времени на коммуникацию, более детальное понимание инцидентов и киберугроз), так и создает сложности (необходимость в специалистах соответствующей квалификации, использование применимых для IT и OT защитных решений, возможные технологические или организационные ограничения SOC). 

2. Организационные модели SOC

Структурная модель SOC зависит от масштабов и специфики заказчика, иерархическая структура которого может определить соответствующую ему структуру SOC (головной/родительский SOC и несколько подчиненных SOC). Структура SOC также должна учитывать ролевую модель персонала SOC и организационную структуру самого SOC. 

Авторы публикации указывают на следующие возможные типы организационных моделей SOC:

2.1. Реагирование «по требованию». Применяется в организациях малого бизнеса, в которых до 1000 пользователей/устройств. При использовании такой модели в компании нет выделенной команды реагирования, ресурсы привлекаются по требованию при наступлении инцидента, а процессы управления инцидентами, как правило, недостаточно четко определены.

2.2. ИБ как дополнительная нагрузка. Применяется в малом бизнесе, небольших учреждениях, в которых до 1000 пользователей/устройств. В такой модели не определен формальный SOC, но некоторые процессы управления могут выполняться работниками компании (например, системными администраторами), при этом некоторые процедуры реагирования могут быть формализованы.

2.3. Распределенный SOC. Данная модель применяется в организациях малого и среднего бизнеса, небольших региональных учреждениях, при наличии от 1000 до 10000 пользователей/устройств. У SOC есть формализованные полномочия, команда такого децентрализованного SOC-центра состоит из работников разных подразделений компании, при этом персонал SOC может совмещать свои обязанности по реагированию на инциденты с другими задачами.

2.4. Централизованный SOC. Данная модель применяется разнообразными компаниями, от средних до крупных, а также учреждениями федерального уровня, с числом пользователей/устройств от 10000 до 100000. При использовании такой модели ресурсы консолидируются в рамках одного подразделения (SOC-центра), у работников SOC есть четко определенные роли. Данная организационная модель SOC является самой распространенной, к ней применимо большинство советов рассматриваемой публикации.

2.5. Федеративный SOC. Данный тип моделей SOC лучше всего подойдет компаниям с разветвленной холдинговой структурой филиалов и дочерних компаний, которые функционируют достаточно независимо друг от друга (например, в случае недавно проведенной сделки слияния или поглощения, когда бизнесы еще не интегрированы в единую структуру), с числом пользователей/устройств от 100000 до миллионов. SOC-центр в таком случае может быть и централизованным, и иерархическим, но с достаточно независимыми друг от друга дочерними SOC, при этом использующими некоторые общие политики и полномочия.

2.6. Координирующий SOC. Модель применяется в крупных компаниях или государственных учреждениях (министерствах, ведомствах) с числом пользователей/устройств от миллиона. SOC такого типа отвечает за координацию действий подчиненных SOC, фокусируется в основном на обеспечении ситуационной осведомленности и высокоуровневом управлении киберинцидентами, но не управляет операционной деятельностью координируемых им SOC центров.

2.7. Иерархический SOC. Модель сходна с координирующим SOC, отличие заключается в более активном участии в работе подчиненных SOC-центров, например, путем предоставления услуг подчиненным SOC и координации их функций.

2.8. Национальный SOC. Такой тип центров применяется на уровне государств, отвечает за состояние национальной кибербезопасности, обеспечивает обмен информацией о киберугрозах, киберинцидентах и уязвимостях среди множества компаний и учреждений, может координировать реагирование на инциденты глобального масштаба.

2.9. Провайдер услуг по управлению кибербезопасностью (англ. MSSP, Managed Security Service Provider) или предоставление услуг SOC по подписке (англ. SOC-as-a-service). Такая модель может применяться компаниями различного масштаба с разным числом пользователей. Её преимущества заключаются в самой аутсорсинговой модели предоставляемых услуг и возможности заказчика быстро подключить услуги и докупить их по мере необходимости. 

3. Возможные организационные структуры централизованного SOC

Рассмотрев выше различные организационные модели SOC, авторы публикации пишут, что наиболее распространенной в большинстве случаев будет именно модель централизованного SOC, которая обладает следующими преимуществами:

- Выделенные ресурсы, специализация на управлении киберинцидентами;

- Причастность, вовлеченность, единое целеполагание и выработанная общая идентичность команды по реагированию;

- Централизованный мониторинг и управление всеми киберинцидентами, синхронизация всех ресурсов;

- Эффективная совместная работа и синергия благодаря отсутствию организационных барьеров;

- Экономическая эффективность, снижение затрат;

- Более высокий авторитет и полномочия SOC по сравнению с другими моделями;

- Квалифицированная и замотивированная команда выделенных экспертов;

- Непрерывное увеличение зрелости и эффективности процессов благодаря единой цели и сплоченной команде;

- Однозначно определенные зона ответственности и миссия. 

Далее приводится описание некоторых возможных организационных структур SOC.

3.1. Условный (типовой) централизованный SOC

В примере типового централизованного SOC выделены:

- Группа управления SOC, отвечающая за управление операционной деятельностью SOC, планирование деятельности, разработку стратегии и улучшение процессов, планирование непрерывности деятельности и восстановления работоспособности, разработку и контроль метрик оценки эффективности SOC. На этом уровне будет находиться в том числе руководитель SOC, который отвечает за операционную деятельность и результаты работы SOC, измеряет эффективность работы и планирует развитие SOC.

- Группа триажа, анализа и реагирования на киберинциденты, отвечающая за мониторинг и триаж предупреждений и сообщений о возможных инцидентах из различных источников, анализ и расследование инцидентов, действия по сдерживанию, устранению и восстановлению, координацию действий по реагированию. Дополнительно данная группа может заниматься форензическим анализом артефактов инцидента, анализом ВПО, реагированием на инциденты с выездом на площадку заказчика. Это - ключевая команда SOC, позволяющая выполнять основные функции по управлению киберинцидентами, данные о которых могут поступать из различных источников и разными способами.

- Группа управления данными о киберугрозах (англ. CTI, Cyber Threat Intelligence, управление данными о киберугрозах), поиска и анализа киберугроз, аналитики и выполнения расширенных функций SOC, отвечающая за управление данными о киберугрозах (сбор, обработка, обогащение, анализ, распространение и предоставление доступа к данным о киберугрозах, релевантных для компании, в тесном взаимодействии с другими группами SOC), поиск киберугроз, настройку сенсоров и аналитических платформ, кастомизацию средств анализа и выявления кибератак. Дополнительно данной группой могут выполняться такие задачи, как работа по направлениям Data Science и машинное обучение, эмуляция кибератак и аудиты, защита от внутренних нарушителей, deception-активности (обман и запутывание нарушителей для сокрытия активов компании и изучения TTPs атакующих). Работа данной группы позволяет SOC сфокусироваться на актуальных для компании киберугрозах и релевантных группах атакующих, а также предоставляет необходимую информацию членам SOC, разрабатывающим корреляционные правила, сигнатуры, плейбуки реагирования. Результатом взаимодействия данной группы с другими командами SOC станет синхронизация и синергия результатов поиска киберугроз, правил детектирования, триажа и расследования киберинцидентов.

- Группа архитектуры, инженерии и администрирования, отвечающая за настройку технических средств и инфраструктуры SOC, разработку и управление средствами SOC, разработку и управление платформой аналитики, развертывание и управление средой функционирования SOC, разработку кастомизированных решений. Данную группу авторы документа настоятельно рекомендуют не выносить за пределы SOC, т.е. не прибегать к аутсорсингу (как внешнему, так и внутреннему), по причине необходимости централизованного управления техническими средствами SOC, повышения качества работы инженерной команды при непосредственном плотном взаимодействии с членами SOC, возможности более эффективно распоряжаться инженерными ресурсами.

- Группа предоставления ситуационной осведомленности, коммуникаций и обучения, отвечающая за предоставление заинтересованным лицам ситуационной осведомленности о состоянии кибербезопасности и киберугроз компании-заказчика, проведение внутренних и внешних обучений, проведение киберучений. Работа данной группы влияет на репутацию SOC внутри компании, позволяя получать больше полномочий и ресурсов. 

3.2. Небольшой централизованный SOC

В случае небольших SOC-центров, в которых от 5 до 20 сотрудников, могут на регулярной основе не выполняться некоторые функции, такие как форензика и анализ ВПО, выезд к заказчику, поиск киберугроз, работа с Data Science, разработка собственных технических инструментов. Кроме того, авторы документа рекомендуют объединять некоторые функции в одной группе в небольших SOC. Так, группу CTI можно объединить с основной группой реагирования на инциденты, в группе инженерной поддержки может не быть разделения на специализации (технические средства или инфраструктура SOC), а руководители SOC могут участвовать в расследовании сложных инцидентов, проводить форензику и исследование ВПО. Также SOC может выполнять функции управления уязвимостями; в этом случае можно выделить отдельную группу, отвечающую за инвентаризацию информационных активов, сканирование на уязвимости, анализ отчетов об уязвимостях, управление обновлениями безопасности и мерами снижения рисков эксплуатации уязвимостей. 

3.3. Большой централизованный SOC

В больших SOC-центрах будет больше функциональных возможностей и высокоуровневых позиций, функциональные группы будут более специализированы, большее количество действий по реагированию смогут быть шаблонизированы и регламентированы. Так, в группе реагирования на инциденты может быть выделена отдельная команда для триажа инцидентов, появится возможность осуществлять выезды на площадку к заказчику, проводить форензик-исследования и анализ ВПО на регулярной основе при помощи специализированных инструментов. Группы поиска киберугроз, управления данными о киберугрозах, борьбы с внутренними нарушителями могут быть самостоятельными сильными подразделениями. Может быть выделена команда пен-тестеров, специализирующаяся на инфраструктуре заказчика и тесно взаимодействующая с функцией управления уязвимостями. Может быть усилена внутренняя разработка кастомизированных инструментов, применение Data Science и машинного обучения может быть более обширным. Инженерные команды могут получить различные направления по специализациям и потребностям SOC, а взаимодействие между различными подразделениями SOC, с партнерами и стейкхолдерами потребует особого внимания. 

3.4. Выбор между уровневой и безуровневой моделью SOC

В большинстве давно функционирующих SOC-центров есть классическое разделение по уровням (англ. Tier) функционирования, так называемые уровни L1/L2/L3 (на L1 происходит обработка входящего потока инцидентов, на L2/L3 - их подробный разбор, исследование, форензика при необходимости). При этом разделять SOC на уровни совсем не обязательно, а безуровневая модель SOC может быть основана на специализациях и функциях команд. Авторы публикации указывают, что выбор модели SOC в части уровней зависит от конкретного заказчика, но приводят рекомендации для эффективной организации работы обеих моделей. 

Для SOC с моделью распределения по уровням рекомендуется:

- Не только определить целевые метрики, но и убедиться в том, что они понятны аналитикам и регулярно обновляются, а аналитики с ними согласны;

- Другим работникам SOC не следует смотреть на операторов L1 «сверху вниз», следует уважать труд всех работников SOC вне зависимости от уровня;

- Продвигать успешных операторов L1 на более высокие позиции, давать им возможность автоматизировать выполняемые ими действия;

- Не требовать от операторов L1 обязательного перехода на более высокие уровни и должности по прошествии определенного времени;

- Не следует привязывать размер компенсации к должности или роли, следует ориентироваться прежде всего на успехи конкретного работника. 

Для SOC с безуровневой моделью рекомендуется:

- Позволять работникам SOC расти без ущерба для качества реагирования, для этого более опытные коллеги могут помогать новичкам, также можно использовать сценарии реагирования;

- Помогать работникам в приоритизации их действий, давать четкие указания на приоритетные действия;

- Управлять распределением должностных обязанностей и устранять дублирующиеся функции;

- Строить культуру работы на основе сотрудничества и взаимовыручки.

При этом применение обеих моделей должно позволять качественно выполнять SOC-центрам следующие функции:

- Реагировать на все предупреждения, проводить их триаж;

- Своевременно реагировать на предупреждения, при этом не допуская снижения качества в угоду соблюдению временных нормативов;

- Тщательно обрабатывать все предупреждения с учетом того, что некоторые из них могут потребовать много времени на анализ;

- Давать каждому работнику SOC задачи в соответствии с его уровнем знаний и навыков;

- Предоставлять сотрудникам возможность роста;

- Повышать уровень качества работы и повторяемость действий, а также постараться не допускать ошибок при выполнении активных действий по реагированию, поскольку они могут привести к негативным последствиям, таким как простой бизнес-процессов.

3.5. Иерархическая структура SOC-центров

В случае крупных, сложных иерархических организационных структур компании-заказчика, вероятно, может потребоваться организация иерархии SOC-центров. В такой иерархической структуре родительский SOC будет фокусироваться на стратегической ситуационной осведомленности и поддержке выполнения задач кибербезопасности в структурах заказчика, а дочерние SOC будут функционировать «ближе к земле», выполняя свои задачи на уровне отдельных структурных подразделений или дочерних обществ заказчика. 

3.6. Координирующий SOC

Координирующий SOC на своем уровне может предоставлять подчиненным SOC-центрам определенные уникальные возможности:

- Стратегический анализ TTPs атакующих, релевантных для инфраструктуры заказчика и его дочерних компаний;

- Оперативное предоставление актуальных и релевантных данных о киберугрозах, включая индикаторы компрометации, а также рекомендации, свежие сигнатуры, модели для машинного обучения, аналитику для SIEM-систем;

- Анализ ВПО, форензик-исследования, экстренное реагирование на опасные киберинциденты;

- Агрегация и обмен знаниями, лучшими практиками, описаниями процессов ИБ, техническими руководствами и рекомендациями;

- Предоставление площадок и средств для защищенного взаимодействия и совместной работы подчиненных SOC-центров;

- Централизованное управление и предоставление лицензий на технические средства SOC-центро;

- Проведение обучения работников подчиненных SOC работе с техническими инструментами, реагированию на киберинциденты, управлению уязвимостями и пен-тестами; проведение киберучений и тренировок/симуляций кибератак.