Власний SOC (Security Operation Center) або на аутсорсі, що вигідніше?

0
1 017 views
Власний SOC (Security Operation Center) або на аутсорсі, що вигідніше?

Операційний центр безпеки (Security Operation Center, SOC) це як центральний командний пункт в організації, до якого входять люди, процеси та технології направлені на постійний моніторинг та покращення стану безпеки організації, одночасно запобігаючи, виявляючи, аналізуючи та реагуючи на інциденти кібербезпеки.

SOC приймає телеметрію з усієї ІТ-інфраструктури організації, включаючи її мережі, пристрої, обладнання та сховища інформації, де б ці активи не знаходилися. По суті, SOC є точкою кореляції для кожної події, зареєстрованої в організації, яка контролюється. Для кожної з цих подій SOC має вирішити, як ними керувати та діяти.

На певному етапі, організація приходить до намірів про створення SOC, та задається питанням – побудувати свій внутрішній центр безпеки чи скористатися SOC на аутсорсі, що краще і вигідніше? Експерти з кібербезпеки ESKA надають детальний розбір особливостей та переваг кожного з видів SOC.

Основні ресурси, які необхідні для створення внутрішнього Security Operation Center (SOC)

Створення внутрішнього центру безпеки (SOC) є проактивним заходом для зменшення ризиків безпеки. Однак створення ефективного SOC вимагає не лише стратегічного планування, але й залучення важливих ресурсів у вигляді кваліфікованого персоналу, технологічної інфраструктури та поточних витрат на технічне обслуговування. Розглянемо детально, які ресурси необхідно задіяти для створення власного SOC.

Кваліфікований персонал та його навчання

Наріжним каменем успішного SOC є досвід і вміння членів команди. Важливо наймати кваліфікованих фахівців з кібербезпеки, таких як: аналітики SOC (рівні 1, 2 і 3), мисливці за загрозами, служби реагування на інциденти та менеджери SOC. Такі спеціалісти повинні мати глибоке розуміння кіберзагроз, протоколів реагування на інциденти, криміналістики та стандартів відповідності. Команда SOC звітує перед CISO, який, у свою чергу, підпорядковується або CIO, або безпосередньо CEO.

Також, необхідне постійне навчання персоналу SOC щодо використання інструментів та рішень кібербезпеки, обробки інцидентів, полювання на загрози та дотримання стандартів. Постійне підвищення кваліфікації має вирішальне значення, щоб бути в курсі нових загроз та методів зламів, технологій кібератак тощо.

Підсумовуємо, в залежності від розміру компанії та її цілей як мінімум необхідно найняти:

  • Декілька SOC аналітиків щоб вони змогли чергуватись вдень і вночі
  • Мисливців за загрозами
  • CISO на чолі команди SOC

Технологічна інфраструктура

Інструменти, які використовує SOC, цілодобово сканують мережу, щоб помітити будь-які відхилення від норми або підозрілу діяльність. Цілодобовий моніторинг мережі дозволяє негайно сповіщати SOC про нові загрози, що дає їм найкращий шанс запобігти або зменшити шкоду.

Для надійного SOC потрібен комплексний пакет технологій. Це включає складні інструменти безпеки, такі як:

  • Security information and event management, SIEM (Управління інформацією та подіями безпеки): централізований інструмент для збору, кореляції та аналізу даних про події безпеки.
  • Endpoint Detection and Response, EDR (виявлення та реагування на кінцеві точки): технологія моніторингу та реагування на загрози на кінцевих пристроях.
  • Network Detection and response, NDR (Виявлення та реагування мережі): рішення для виявлення та реагування на загрози в мережевій інфраструктурі.
  • Honeypot (горнятко меду або медова приманка) –  так звані приманки для хакерів. Це інструменти, які використовуються для заманювання зловмисників і збору інформації про їхню тактику.
  • Vulnerability Assessment (рішення для оцінки вразливості)
  • Системи управління, ризиків і відповідності (GRC)
  • Сканери додатків і баз даних
  • Системи запобігання вторгнень (IPS)
  • Аналітика поведінки користувачів і об’єктів (UEBA)
  • Платформи аналізу загроз (TIP)
  • Приманки: оманливі інструменти, які використовуються для заманювання зловмисників і збору інформації про їхню тактику
  • Системи керування оцінкою вразливості: інструменти для виявлення, класифікації та пом’якшення вразливостей у мережі.

Інвестування в ці інструменти має важливе значення для моніторингу, аналізу та ефективного реагування на інциденти безпеки. Крім того, інфраструктура SOC повинна мати належне апаратне забезпечення, включаючи сервери, міжмережеві екрани та системи зберігання даних, що забезпечує безперебійну роботу та безпечне керування даними.

Фізичний і віртуальний простір

Для розміщення центру безпеки всередині організації необхідно виділити фізичний простір або віртуальне середовище для розгортання операцій і персоналу SOC.

Поточні витрати на технічне обслуговування

Створення внутрішнього SOC передбачає не лише початкові витрати на налаштування, але й поточні операційні витрати. Сюди входять зарплати кваліфікованого персоналу, плата за ліцензії на інструменти безпеки, витрати на обслуговування інфраструктури та витрати, пов’язані з навчанням і підвищенням кваліфікації. Регулярні оновлення, виправлення та оновлення інструментів безпеки та інфраструктури необхідні, щоб випереджати нові загрози, що збільшує загальні операційні витрати.

Підсумовуючи, створення внутрішнього SOC вимагає стратегічного розподілу ресурсів, включаючи найм спеціалізованого персоналу, впровадження передових технологій і планування поточних операційних витрат. Хоча він пропонує перевагу контролю та налаштування, необхідні інвестиції можуть бути значними. Компанії повинні ретельно зважити ці фактори зі своїми потребами в кібербезпеці та організаційними можливостями, перш ніж приступати до створення внутрішнього SOC.

Бюджет, який необхідно виділити на створення власного SOC

Бюджет на створення внутрішнього центру безпеки (SOC) може суттєво відрізнятися залежно від кількох факторів, зокрема необхідного рівня безпеки, розміру організації та конкретних інструментів і обраних ресурсів. Приводимо приблизний розподіл потенційних витрат:

Заробітна плата для кваліфікованих фахівців з кібербезпеки (аналітиків безпеки, служб реагування на інциденти, SOC-менеджера, CISO) –  ці витрати залежать від досвіду та кваліфікації та кількості найманих працівників.

Витрати на навчання та сертифікацію персоналу залежать від типу та частоти необхідного навчання.

Вартість інструментів безпеки та програмного забезпечення (SIEM, EDR, NDR, інструменти оцінки вразливості тощо): ціни значно відрізняються залежно від функцій, вибору постачальника та моделей ліцензування.

Вартість обладнання (сервери, пристрої зберігання даних, мережеве обладнання тощо): ціни залежать від масштабу та конкретних вимог SOC.

Ліцензійні збори: витрати, пов’язані з ліцензуванням і підпискою на різні інструменти безпеки.

Витрати на утримання інфраструктури (електрика, охолодження тощо) та на технічне обслуговування та оновлення апаратних і програмних компонентів.

Витрати на реагування на інциденти: бюджет на реагування на інциденти безпеки та пом’якшення їх наслідків.

Початкові витрати на налаштування та розгортання інструментів безпеки.

Витрати на проектування та налаштування фізичного або віртуального середовища SOC.

Витрати, пов’язані з аудитом відповідності, сертифікацією та дотриманням нормативних стандартів.

Витрати на консультаційні послуги, якщо під час налаштування або для постійної підтримки потрібен зовнішній експерт.

Для малого та середнього бізнесу, який прагне створити базовий SOC, бюджет може становити кілька сотень тисяч доларів на рік, залежно від обсягу потреб у безпеці, складності інструментів і кількості необхідного персоналу. Для малого та середнього бізнесу вкрай важливо виконати ретельний аналіз витрат і вигод, враховуючи як початкові інвестиції, так і поточні операційні витрати, щоб забезпечити відповідність бюджету пріоритетам кібербезпеки та фінансовим можливостям організації.

SOC as a Service: революція в кібербезпеці для бізнесу

У царині кібербезпеки поява Security Operations Center (SOC) as a Service змінила правила гри, пропонуючи альтернативний підхід до традиційних внутрішніх установок SOC. Ця модель надає організаціям доступ до SOC без навантаження на інфраструктуру, значних витрат фінансів та часу і має такі переваги:

1. Економічність:

Усуває витрати на інфраструктуру: SOC як послуга зводить нанівець потребу в інвестиціях в обладнання, програмне забезпечення та налаштування інфраструктури, значно скорочуючи початкові капітальні витрати.

Значна економія на оплаті праці спеціалістів SOC.

Модель на основі підписки: компанії можуть обрати тарифний план на основі підписки щомісячно або відразу здійснити оплату на рік, що забезпечує прогнозовані операційні витрати без значних початкових інвестицій.

2. Доступ до експертних послуг

Експертиза за запитом: доступ до команди кваліфікованих фахівців з кібербезпеки, включаючи аналітиків, мисливців за загрозами та служб реагування на інциденти, без потреби у внутрішньому наймі та навчанні.

Цілодобовий моніторинг і реагування: SOC як послуга забезпечує цілодобовий моніторинг, аналіз і реагування на інциденти безпеки.

Доступ до передових технологій: провайдер послуги постійно оновлюють і підтримують складні інструменти безпеки, забезпечуючи підприємствам доступ до новітніх технологій без додаткових витрат.

3. Масштабованість і гнучкість

Індивідуальні рішення. Постачальники послуги пропонують масштабовані рішення, що дозволяє компаніям налаштовувати послуги відповідно до своїх теперішніх потреб і можливих напрямків розвитку.

Швидке розгортання: на відміну від власних налаштувань, які вимагають трудомісткого розгортання інфраструктури, SOC як послугу можна впровадити швидко, мінімізуючи час простою.

4. Зниження операційного навантаження:

Організації можуть переорієнтувати свою увагу з управління безпекою на основні бізнес-функції, підвищуючи ефективність і продуктивність компанії.

Відповідність і звітність: Провайдери послуги SOC часто пропонують управління відповідністю та звітність, звільняючи підприємства від обтяжливого завдання забезпечення дотримання нормативних стандартів.

Підсумовуючи, SOC як послуга є досить переконливою альтернативою  побудові власного SOC, пропонуючи економічну ефективність, експертні послуги, масштабованість і зменшене операційне навантаження. Використовуючи цю модель, підприємства можуть ефективно зміцнити свою позицію в галузі кібербезпеки, одночасно розподіляючи ресурси більш стратегічно для своїх основних бізнес-цілей.

У підсумку, бачимо що внутрішній SOC вимагає більшого розподілу ресурсів з точки зору капіталу, часу та кваліфікованого персоналу, в той час я SOC як послуга пропонує економічну ефективність і негайний доступ до експертних ресурсів. А який вид SOC обрати вам, ESKA надасть всю необхідну інформацію та рекомендації, адже ми маємо весь спектр рішень та послуг для побудови власного Security Operation Center або надання послуг Центру безпеки на аутсорсі.