Журнал "Information Security/ Информационная безопасность" #6, 2025

Метрики SOC Традиционно метрики SOC ассоции- руются с такими показателями, как: l Time to Detect – время обнаружения угрозы, l Time to Contain – время локализации инцидента, l Time to Respond – время реагирования. Они фокусируются на обработке алер- тов и инцидентов, но это лишь верхушка айсберга. Система метрик SOC – мно- гоуровневая структура, охватывающая технические, процессные и бизнес-пока- затели. Универсального набора нет: у каждого SOC уникальная техническая архитектура и организационная струк- тура – успешно работающая система метрик одного центра мониторинга потребует серьезной адаптации для внедрения в другом. Фундаментальная ошибка Распространенная ошибка при построении системы оценки: начинать проработку с самих метрик, то есть с данных, которые легко собрать и визуа- лизировать. Такой подход снизу вверх дает набор разрозненных цифр, ото- рванных от бизнес-потребностей. Самым правильным является страте- гический подход сверху вниз. Он начи- нается с ответа на вопрос: "Достижение какой цели мы хотим измерить?". Только после определения высокоуровневых задач их можно декомпозировать в измеримые цели и KPI для SOC. Пирамида метрик Эффективная система оценки должна учитывать потребности всех сторон – от аналитиков L1 и тимлидов до руко- водителей уровня C-level. Для каждого управленческого уровня нужен опре- деленный набор метрик с разной сте- пенью детализации, поэтому целесо- образно структурировать их по уровням абстракции. l Технические метрики – наиболее дета- лизированные показатели, отражающие техническое состояние инфраструктуры SOC и различные статистические срезы, например объем обрабатываемых собы- тий в секунду и количество подключен- ных источников. Динамика этих показа- телей позволяет отслеживать рост нагрузки на SOC и планировать ресурсы: от штатной численности до вычисли- тельных мощностей и лицензий на ПО. l Операционные метрики показывают уровень эффективности повседневной работы команд, но в первую очередь аналитических и инженерных подразде- лений SOC. Если, например, сопоставить доступное время аналитиков в смене с интенсивностью потока алертов, то можно оценить загруженность персонала и выявить дефицит или избыток ресурсов. На основе исторических данных появляет- ся возможность прогнозировать нагрузку и гибко управлять расписанием смен. l Показатели эффективности и бизнес- метрики – вершина пирамиды метрик – это показатели, понятные руководству, и отвечающие на ключевой вопрос: "Какую ценность SOC создает для биз- неса?". Состав этой группы метрик суще- ственно различается в зависимости от модели SOC. Для MSSP – критически важны финансовые показатели: выруч- ка, операционные расходы, EBITDA, мар- жинальность услуг. Для корпоративных SOC фокус смещается на оценку пред- отвращенного ущерба, снижение вре- мени простоя критичных систем и соот- ветствие регуляторным требованиям. Принципы построения эффективной системы метрик Успешное внедрение многоуровневой системы метрик SOC должно базиро- ваться на нескольких фундаментальных принципах. 1. Метрики каждого уровня агреги- руются в показатели более высокого уровня, образуя логическую цепочку от технических деталей до бизнес-резуль- татов. Каждый уровень управления дол- жен получать релевантную информацию в понятном формате, без избыточных деталей или чрезмерного упрощения. 2. Количество метрик на каждом уров- не не должно быть избыточным: не более 10–12 показателей для каждого уровня. Избыток метрик усложняет их понимание. 3. Система метрик должна развиваться синхронно с ростом зрелости SOC – начиная с базовых операционных пока- зателей и постепенно включая более сложные KPI. Технический фундамент системы метрик Ключевая проблема при построении системы метрик – фрагментированность исходных данных. Информация для рас- чета даже базовых показателей рас- пределена по множеству систем: SIEM, SOAR, EDR, CMDB, TI-платформы и т. д. Простого объединения данных недоста- точно – необходимо трансформировать их в оптимальную для обработки структуру (схему данных), иначе выполнение анали- тических запросов может занимать десятки минут или требовать неоправданно боль- шого количества вычислительных ресур- сов. Решение проблемы – построение спе- циализированной аналитической инфра- структуры на базе проверенной архитек- турной связки, которая включает в себя: l хранилище подготовленных данных (Data Warehouse); l ETL-инструменты для извлечения, трансформации и загрузки данных из источников в хранилище; l системы Business Intelligence для визуализации, анализа и доставки мет- рик конечным пользователям. Вывод Оценка эффективности SOC состоит не только из измерения базовых показателей – важно проанализировать технические, операционные и бизнес-метрики. Много- уровневая система оценки позволит не только улучшить процессы в самом центре мониторинга, но и обосновать его значи- мость для бизнеса, повысив защищен- ность компании. l 36 • СПЕЦПРОЕКТ Эффективность SOC: от технических метрик к языку бизнеса омпания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена измерению эффективности – базо- вой потребности зрелого центра мониторинга. Рассмотрим, как построить целостную систему оценки для принятия обоснованных управленческих решений. К Андрей Шаляпин, Руководитель BI.ZONE TDR Фото: BI.ZONE Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcciXZR