Журнал "Information Security/ Информационная безопасность" #2, 2020

Чем быстрее мы обнару- живаем инцидент, чем быстрее мы реагируем на него, тем меньше ущерб. Это очевидный факт, кото- рый лежит в основе измере- ния эффективности многих центров мониторинга безопасности. • 23 УПРАВЛЕНИЕ www.itsec.ru Если мы посмотрим на результаты этого опроса, то увидим, что число SOC, исполь- зующих метрики для измерения своей эффективности, очень невелико: ее измеряют всего 15% SOC, работающих в Рос- сии. В мире ситуация тоже не идеальна: далеко не все цент- ры мониторинга занимаются оценкой эффективности своей деятельности. Хотя надо при- знать, что уровень зрелости зарубежных SOC выше, чем у нас, как и число тех, кто измеряет себя и применяет для этого различные метрики. Какие же метрики можно использовать для того, чтобы показать себе и руководству, что инвестиции, сделанные в SOC, сделаны не зря? Давай- те попробуем посмотреть на распространенные примеры. Число инцидентов Число инцидентов – самая простая метрика. Ее легко посчитать и показать динамику изменения. Но за ее простотой скрывается и ряд сложностей. Если в прошлом месяце у меня был 21 инцидент, а в этом – 33, то с чем связан такой 50%-ный рост? Нас стали больше атако- вать? Или мы покрыли монито- рингом большее число систем? Или мы улучшили качество мониторинга? А может, мы изменили понятие инцидента или провели обучение анали- тиков SOC? Причин такого явления может быть множество, и без их разбора использовать такую метрику нельзя, так как мы можем сделать неверные выводы, которые приведут нас к неверным управленческим решениям. Время По названным выше причи- нам измерение числа инциден- тов – это не единственная мет- рика, которая должна оцени- ваться SOC. Ее необходимо всегда сопровождать вторым значимым показателем. Это время! Это критический фактор, который очень важен при оцен- ке того, насколько эффективно работают специалисты, техно- логии или процессы SOC. Чем быстрее мы обнаруживаем инцидент, чем быстрее мы реа- гируем на него, тем меньше ущерб. Это очевидный факт, который лежит в основе изме- рения эффективности многих центров мониторинга безопас- ности. Именно поэтому число инцидентов, а также временные параметры, связанные с ними, являются наиболее часто используемыми метриками при оценке эффективности современного SOC. Если мы посмотрим на временную шкалу любо- го инцидента, то увидим, что ее можно разбить на несколько ключевых так назы- ваемых реперных точек, харак- теризующих инцидент. Начина- ем мы с момента реализации угрозы, затем переходим к факту обнаружения инцидента или угрозы с помощью исполь- зуемых нами решений или за счет обращения пользователя и отправки в SOC соответствую- щего сигнала тревоги. Продол- жая, мы переходим к моменту начала приоритизации инциден- та, позволяющего нам приори- тизировать и усилия по реаги- рованию, не размениваясь по мелочам и не тратя время и иные ресурсы на борьбу с ветряными мельницами в ущерб Измерение эффективности SOC Часть 1 конце прошлого года в России прошел SOC Forum, собравший на своей площадке более 2 тыс. человек, интересующихся темой мониторинга информационной безопасности. Во время подготовки к этому мероприятию на сайте форума был запущен опрос среди владельцев центров мониторинга ИБ (Security Operations Center, SOC), им задали более тридцати вопросов, в том числе и об оценке своей эффективности. В Алексей Лукацкий, консультант по информационной безопасности Рис. 1.