Журнал "Information Security/ Информационная безопасность" #3, 2020

Визуализация метрик ИБ и, в частности, SOC – это высший пилотаж в работе любого SOC, и она требует отдельного внимания и навыков, зачастую отличных от тех, которые нужны при сборе и вычислении метрик. Существует немало моделей зрелости SOC (я знаю как минимум четы- ре), которые позволяют оце- нить различные параметры центра мониторинга – техно- логические, процессные, человеческие и т.д. Такую модель предложила, в част- ности, компания Gartner. странно, учитывая, что боль- шинство владельцев SOC не удовлетворены тем, как их SIEM решает эту задачу, а ведь им пользуются в основном для измерения эффективности. По сути, мы сталкиваемся с клас- сическим анекдотом про мышей, которые плакали, коло- лись, но продолжали кушать кактус. В целом визуализация метрик ИБ и, в частности, SOC – это высший пилотаж в работе любого SOC, и она требует отдельного внимания и навы- ков, зачастую отличных от тех, которые нужны при сборе и вычислении метрик. Говоря про измерение эффективности SOC, надо отметить, что все-таки боль- шинство владельцев центров мониторинга занимаются изме- рениями метрик, которые свя- занны с инцидентами. Гораздо реже измеряются показатели работы аналитиков – их загру- женность и квалификация. И совсем редко кто-то оцени- вает зрелость самого SOC, а именно то, что позволяет нам сравнивать его с другими такими же центрами в инду- стрии или демонстрировать руководству полезность сде- ланных инвестиций. Существу- ет немало моделей зрелости SOC (я знаю как минимум четыре), которые позволяют оценить различные параметры центра мониторинга – техно- логические, процессные, чело- веческие и т.д. Такую модель предложила, в частности, ком- пания Gartner (Таблица 1). Обратите внимание, что одним из критериев оценки является наличие системы измерения эффективности с помощью метрик. По этому показателю приходится признать, что боль- шинство российских SOC нахо- дится на первом уровне зре- лости и им есть куда расти. Как же правильно измерять эффективность SOC? В заключение обзора ситуа- ции с измерением эффектив- ности центров мониторинга без- опасности мне хотелось бы под- вести итог и ответить на вопрос "Как же правильно измерять эффективность SOC?". Во-первых, это нужно делать не снизу вверх, отталкиваясь от принципа "У меня есть дан- ные, что я могу из них выжать?", а сверху вниз, следуя принципу "У меня есть цель, какие данные мне для этого нужны?". Во-вторых, мы должны отве- тить на вопросы: 1. Почему мы тратим деньги на SOC? 2. Зачем нам нужен центр мониторинга? Этого требует законодательство, это модно или это потребность бизнеса? 3. Что важно нашему руко- водству и почему? Когда вы ответите на эти вопросы (а они на самом деле очень простые), появится воз- можность выбрать нужные мет- рики, которые будут привязаны либо к различным законода- тельным аспектам, либо к биз- нес-показателям. Либо следует опираться на так называемые общепринятые метрики (о некоторых из них я говорил выше) и многие другие, опи- санные в различных презента- циях, книгах и статьях по теме оценки эффективности инфор- мационной безопасности. Однако я бы советовал не ори- ентироваться в этом вопросе на чужой опыт. Без понимания задач, исходных данных и условий бездумное использо- вание чужих метрик окажется совершенно бессмысленным. Лучше понять, зачем именно вам нужен SOC и что вы хотите от него получить, а только потом выбирать метрики, кото- рые и дадут ответы на эти вопросы. Может быть, именно поэтому 80% российских SOC не измеряют свою эффектив- ность и не знают, зачем они создавались?.. Надеюсь, что нет! l 48 • УПРАВЛЕНИЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Уровень Инструментарий Функции Threat Intelligence Метрики Персонал 1 SIEM Базовый Нет фидов Метрик нет Мониторинг мониторинг событий событий (L1-L3) 2 SIEM + базовый Мониторинг событий, Базовые фиды TI Базовые метрики, Мониторинг мониторинг тюнинг контента ориентированные событий, на инструментарий разработка (например, число событий) контента 3 SIEM + NTA Базовое обнаружение Широкое использо- Метрики, ориентированные Базовый TI FTE аномалий, периоди- вание тактического на инструментарий, ческие пентесты и стратегического TI и временные метрики (TTD, TTC, TTR) 4 SIEM + NTA + EDR Анализ ВПО, базовый Широкое использо- Метрики эффективности TI FTE или отдел TI, threat hunting, вание тактического аналитиков, фокус Red Team FTE киберучения и стратегического TI, на улучшения или служба Red/Blue Team внутренняя служба TI, процессы, основанные на TI 5 SIEM + NTA + Интегрированные Широкое использование Метрики результативности, Hunting Team, EDR + SOAR мониторинг и реагиро- тактического и стратеги- доказательства улучшения Red Team, TI Team вание, Threat Hunting, ческого TI, внутренняя обнаружения продвинутая аналитика служба TI, процессы и реагирования для обнаружения основанные на TI, аномалий, Red Team обмен данными Таблица 1

RkJQdWJsaXNoZXIy Mzk4NzYw