Журнал "Information Security/ Информационная безопасность" #3, 2020

Мы прекрасно понимаем, что SOC – это не только тех- нологический стек, напол- ненный большим количе- ством очень интересных продуктов и технологий. На самом деле центр мони- торинга – это также процес- сы и люди, деятельность которых тоже требует изме- рения. Процент инцидентов, переданных аналитикам второй линии (от L1 к L2) Эта метрика показы- вает эффективность команды аналитиков первого уровня, при- нимающей на себя все сигналы тревоги. Более высокие значе- ния этой метрики будут влиять на команду L2 и могут указывать на низкий уровень знаний и ком- петенций аналитиков L1, что говорит о потребности в обуче- нии сотрудников этой линии SOC, а также о неэффективном обмене информацией. Процент точности эскалации Связанная метрика – процент точности эскалации на вторую линию. Она также показывает эффективность команды ана- литиков первого уровня. Более высокие ее значения будут вли- ять на команду L2 и так же, как и в предыдущем случае, подчас указывают на низкую квалифи- кацию аналитиков L1, которые могут, не разбираясь, трансли- ровать все инциденты на вторую линию, пытаясь сохранить уста- новленный для них SLA (напри- мер, 3 или 5 минут). Число ложных срабатываний Еще одна полезная метри- ка – число ложных срабатыва- ний, ее значение должно быть минимизировано. Более высо- кие значения могут указывать на плохую конфигурацию инструментов информационной безопасности, в том числе и инструментов, используемых в самом центре мониторинга. Число открытых инцидентов первого уровня Наконец, еще одним инте- ресным показателем эффек- тивности SOC является число открытых инцидентов первого, то есть критического или высо- кого уровня (зависит от приня- той градации серьезности инци- дентов). Значение этой метрики должно быть минимизировано, поэтому более высокие значе- ния могут указывать на плохую конфигурацию инструментов ИБ, в том числе и инструмента- рия SOC. Что обычно измеряют российские SOC? Вот небольшой пример мет- рик, с которыми мне приходи- лось сталкиваться в рамках про- ектов по аудиту SOC: l отсутствие незакрытых инци- дентов; l скорость реакции; l отсутствие претензий от служ- бы реагирования; l количество инцидентов или общее количество выявленных и пропущенных угроз (что-то вроде показателя уязвимости); l количество верно выявлен- ных угроз; l процент отработанных инци- дентов от их общего числа; l среднее время реагирова- ния; l контроль полноты; l количество ложных срабаты- ваний; l количество обработанных инцидентов; l количество выполненных гло- бальных задач в SOC. И конечно, российские SOC, как и многие другие по миру, измеряют временные парамет- ры: время обнаружения, время реагирования, время локализа- ции инцидента, количество новых выявленных угроз, а также количество разборов на новые угрозы. Мы прекрасно понимаем, что SOC – это не только технологи- ческий стек, наполненный боль- шим количеством очень инте- ресных продуктов и технологий. На самом деле центр монито- ринга – это также процессы и люди, деятельность которых тоже требует измерения. Мне приходилось сталкиваться и с иными метриками, назову самые значимые из них: 1. Число закрытых требова- ниями нормативных актов по безопасности критической информационной инфраструк- туры сегментов, бизнес-подраз- делений или устройств. Такие НПА требуют, чтобы мы мони- торили все объекты КИИ, так что это может быть интересной метрикой, если наш SOC соз- давался именно под выполне- ние ФЗ-187 и подзаконных актов ФСБ или ФСТЭК. 2. Число отправленных в НКЦКИ или ФинЦЕРТ инциден- тов. Метрика, больше говорящая нам о том, как мы выполняем 46 • УПРАВЛЕНИЕ Измерение эффективности SOC Часть 2 конце прошлого года в России прошел SOC Forum, на сайте которого был проведен опрос среди владельцев центров мониторинга ИБ. По результатам опроса стало очевидно, что число SOC, использующих метрики для измерения эффективности, совсем невелико. С первой частью обзора ситуации в этой сфере можно ознакомиться в предыдущем номере нашего журнала. Продолжим рассмотрение метрик, показывающих эффективность инвестиций в SOC. В Алексей Лукацкий, консультант по информационной безопасности Рис. 1