Журнал "Information Security/ Информационная безопасность" #3, 2020

Крупные SOC меньше внимания уделяют числу инцидентов и времени вос- становления после них. Гораздо большее значение для них имеет число эскали- рованных инцидентов, время простоя и время устранения последствий от выявленных инцидентов. Небольшие центры монито- ринга, наоборот, сфокусиро- ваны на оценке длительно- сти простоев и потерь для бизнеса. Интересно, что сейчас на Западе наблюдается тен- денция отказа от метрик, под которые аналитики под- гоняют свои результаты, например таких, как число закрытых тикетов или кей- сов в расчете на аналитика, приводящих к созданию фейковых тикетов в систе- мах SOC. Россия пока еще не достигла такого уровня зрелости. требования законодательства, чем о качестве работы SOC. 3. Показатели загрузки ана- литиков SOC. Это очень полез- ный показатель, который помо- гает выявить лентяев или про- сто неквалифицированных ана- литиков и позволяет либо пере- строить работу на линиях мони- торинга, либо пересмотреть планы обучения аналитиков. 4. Количество пройденных аналитиками SOC-тренингов. 5. Процент эффективных Рlay- book. Метрика, говорящая о том, насколько мы знаем, с чем надо бороться, и насколько хорошо выстроены процессы в нашем SOC. 6. Процент используемых сер- висов SOC. Когда SOC только строится, в нем может быть открыто много разных сервисов, начиная от мониторинга и реа- гирования на инциденты и заканчивая фишинговыми симуляциями, Red Team и про- ведением киберучений. Эта метрика позволяет оценить, насколько востребованы откры- тые сервисы и не надо ли пере- смотреть каталог наших пред- ложений во внешний (по отно- шению к SOC) мир. 7. Процент эффективных Use Case. Метрика, аналогичная предпоследней, но примени- тельно к Use Case, а не Play- book. 8. Многое другое, в зависи- мости от ситуации. А как в других странах? Интересное наблюдение можно сделать, отслеживая мет- рики, которые используют зару- бежные центры мониторинга. Крупные SOC меньше внимания уделяют числу инцидентов и времени восстановления после них. Гораздо большее значение для них имеет число эскалиро- ванных инцидентов, время про- стоя и время устранения послед- ствий от выявленных инциден- тов. Небольшие центры мони- торинга, наоборот, сфокусиро- ваны на оценке длительности простоев и потерь для бизнеса. Другие интересные метрики Стоит отметить нижеследую- щие метрики, используемые в SOC: l число пострадавших активов и устройств; l финансовая стоимость инци- дента с точки зрения затрат на "разруливание" инцидента, а не потерь от него для бизнеса; l число инцидентов, произо- шедших по причине известных уязвимостей; l число инцидентов, закрытых за одну смену; l привязка к MITRE ATT&CK или стадиям Kill Chain. Еще одна интересная, но очень редкая метрика, которую далеко не всегда способны посчитать даже руководители бизнес-подразделения, не гово- ря уже о начальстве SOC, – это соотношение понесенных и предотвращенных потерь. В заключение приведу еще одну интересную метрику, с которой мне приходилось сталкиваться в одном из про- ектов по аудиту SOC, которые мы вели. Это стоимость учет- ной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам стано- вится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хаке- ров тратить на получение кли- ентских данных больше вре- мени, усилий, денег. И самое интересное, что именно SOC, а точнее служба Threat Intellgence (TI), позволяет учитывать дан- ную метрику, так как именно она следит за Darknet и соби- рает оттуда структурированную или не очень информацию (или привлекает для этого внешние сервисы). Анализ данных SOC с помощью SIEM Подходя к завершению обзо- ра, мне хотелось бы обратить внимание на средства, с помо- щью которых анализируются данные и оценивается эффек- тивность SOC. В этом вопросе российские центры мониторин- га не очень сильно отличаются от SOC во всем мире. Более половины респондентов пола- гается на SIEM, так как именно это решение позволяет соби- рать и накапливать всю необходимую информацию об инцидентах и может на ее основе выстраивать различные численные показатели эффек- тивности деятельности по мониторингу и реагированию на инциденты. Однако боль- шинство владельцев SOC не удовлетворены результатами такой оценки, так как, на мой взгляд, SIEM более подходит для оценки тактических, опе- рационных метрик, но не стра- тегических. На втором месте по популярности находятся различные самописные систе- мы, например Excel, инстру- ментарий Open Source типа Grafana, а также использова- ние решений типа Power BI, Tableau и т.п., которые умеют по API забирать нужные дан- ные и визуализировать их, а также производные на их основе. Интересно, что сейчас на Западе наблюдается тен- денция отказа от метрик, под которые аналитики подгоняют свои результаты, например таких, как число закрытых тикетов или кейсов в расчете на аналитика, приводящих к созданию фейковых (легко открываем и закрываем) тике- тов в системах SOC. Россия пока еще не достигла такого уровня зрелости, потому что сам процесс измерения эффек- тивности еще не выстроен на должном уровне. Как только у нас SOC научатся собирать данные и оценивать на их осно- ве свою эффективность, можно будет говорить о качестве этих метрик и их улучшении. Как отслеживаются и рапортуются метрики SOC Проведенный опрос показал, что в 45% случаев и в России, и в мире данная задача частич- но автоматизирована. Пример- но у 30% владельцев SOC она преимущественно автоматизи- рована, а число ручных опера- ций сведено к минимуму. Хотя эти цифры выглядят достаточно • 47 УПРАВЛЕНИЕ www.itsec.ru Рис. 2