Вопрос XXI века. Нужен ли вам свой SOC и центр ГосСОПКА?

Вопрос XXI века. Нужен ли вам свой SOC и центр ГосСОПКА?

В 2021–2022 годах в России и мире значительно возросли риски, связанные с угрозами кибербезопасности. Тема ИБ стала особенно актуальной в начале 2022 года, когда хактивизм стал более распространённым явлением. На волне этих событий многие организации задумались о создании собственных центров мониторинга и реагирования на инциденты информационной безопасности (SOC, Security Operations Center), в том числе и для соблюдения требований законодательства.

Напомню, что 1 мая 2022 года вышел указ президента, прямо возлагающий персональную ответственность за киберинцидент, произошедший в субъекте критической информационной инфраструктуры (КИИ), на руководителя организации или его заместителя.

При этом в России давно функционирует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая в сознании многих ассоциируется с SOC на уровне предприятия, что не совсем верно.

А что не так-то?

ГосСОПКА действительно предназначена для выявления и обмена информацией о компьютерных атаках. Это иерархическая организационно-техническая структура, находящаяся в эксплуатации НКЦКИ (Национального координационного центра по компьютерным инцидентам). ГосСОПКА выполняет функции, схожие с функциями SOC, однако утверждать, что получение статуса центра ГосСОПКА автоматически означает, что у вас появился SOC, закрывающий все ваши потребности, неверно. И вот почему:

1. Основное назначение ГосСОПКА — выявлять атаки на объекты КИИ и проводить мероприятия по ликвидации последствий таких атак и снижению вероятности их повторного возникновения. SOC же должен реагировать на кибератаки, направленные на все ИТ-системы предприятия, а не только на КИИ.
2. ГосСОПКА — этокрупная организационная система, которая состоит из совокупности SOC. Они обмениваются информацией с вышестоящим или головным центром ГосСОПКА и покрывают разнообразные предприятия. При этом система не привязана к процессам конкретной организации и направлена на решение задач защиты только объектов КИИ. SOC предприятия— это организационная единица, тесно привязанная (в идеале) к процессам конкретной организации, задачи которого не ограничиваются только защитой объектов КИИ.

Получение статуса корпоративного центра ГосСОПКА даёт вам право взаимодействовать напрямую с НКЦКИ по ряду вопросов в рамках заключённого соглашения о взаимодействии. При этом в документе обычно явно прописываются конкретные зоны ответственности и права корпоративного центра ГосСОПКА. Но помимо прав, соглашение о взаимодействии накладывает и определённые обязанности. Поэтому, прежде чем делать дальнейшие шаги по созданию корпоративного центра ГосСОПКА, давайте ответим на вопрос…

Для чего вам нужен корпоративный центр ГосСОПКА?

Первый ответ обычно — для выполнения требований, определённых в № 187-ФЗ. Закон обязывает уведомлять об инциденте НКЦКИ (а для организаций кредитно-финансовой сферы — и ФинЦЕРТ Банка России).

Но обратите внимание, что нигде не приводится требование, что уведомлять НКЦКИ может толькокорпоративный центр ГосСОПКА!

Более того, создание корпоративного центра ГосСОПКА влечёт за собой большое количество организационно-методической работы и согласований как внутри организации, так и с НКЦКИ. Не исключено, что ваш SOC, который закрывает в текущей реализации все потребности организации, банально не будет удовлетворять всем требованиям, предъявляемым НКЦКИ к корпоративному центру ГосСОПКА. В итоге вам придётся выделять дополнительные бюджеты на увеличение ставок в подразделении, закупку новых технических средств и т. д. Не каждый бизнес готов на это пойти, ведь в конечном счёте это может быть неоправданно: получаемая выгода, такая как возможность работать по ряду вопросов с НКЦКИ напрямую, иногда может быть меньше затрат.

Кроме того, не следует забывать, что присвоение статуса корпоративного центра — это право, а не обязанность НКЦКИ. Они могут и отказать.

И как понять, нужен ли мне корпоративный центр ГосСОПКА или проще остаться в статусе SOC?

Итак, когда есть смысл создавать корпоративный центр ГосСОПКА? Смысл есть, если вы подходите хотя бы под два формализованных условия из перечисленных:

1. Вы — субъект КИИ (или станете в скором времени).
2. У вас крупная, территориально распределённая организация (филиальная сеть либо сеть с дочерними зависимыми обществами).
3. Вы находитесь в списке стратегических предприятий (см. ежегодно обновляемый Указ Президента РФ от 04.08.2004 № 1009).

В этом случае выгода от создания корпоративного центра ГосСОПКА для всех участников процесса перевешивает все трудности (перестройка внутренних процессов, дополнительные траты на приведение своего структурного подразделения в соответствие требованиям НКЦКИ, разработка, утверждение и согласование соответствующей методологии).

Во всех прочих вариантах — корпоративный центр вам не нужен. Выполнять требования законодательства вы можете либо путём заключения соответствующего соглашения с НКЦКИ (без получения статуса корпоративного центра), либо передавая данные через коммерческий SOC или ведомственный центр ГосСОПКА (который, в свою очередь, доведёт их до НКЦКИ).

Вы всё же решили строить корпоративный центр. Что дальше?

В любом случае, будете вы становиться корпоративным центром или нет, начать следует с создания собственно SOC.

А прежде чем строить, нужно решить ряд организационных вопросов.

• Тип SOC: будет он полностью на аутсорсингеили частично (гибридная модель)? Или целикомвнутри организации (in-house)?
• Готова ли организация в принципе к появлению SOC? Существуют ли соответствующие организационно-распорядительные документы? Готовы ли смежные подразделения к взаимодействию? Успех реагирования на инцидент во многом зависит от того, насколько чётко налажен процесс взаимодействия!
• Если отдаётся на аутсорсинг (целиком или частично), то что именно отдаётся? Какая целевая модель аутсорсинга?

Условно типы SOC можно представить так, как показано на рис. 1.

Рисунок 1. Условно типы SOC можно представить так

Основная разница между типами SOC приведена в таблице 1.

Таблица 1. Основная разница между типами SOC

С точки зрения организации, все подходы одинаково хорошо выглядят в глазах регулятора. Несмотря на это, многие начинают с ходу строить in-house, собирая следующие подводные камни.

Забыв о том, что «SOC = процессы + технологии + люди», начинают сразу с людей или покупки техники. В итоге получается перекос: люди и техника есть, а работа не идёт. Считайте, потеряли год сразу.

В процессе постройки SOC выясняется, что нужно провести кучу параллельных работ (инвентаризация, аудит, оценка текущего состояния защищённости, улучшение/дозакупка/донастройка СЗИ и т. д.). Но из-за отсутствия опыта построения SOC и очерёдности процессов глобальная задача разделяется на множество мелких процедур, и всё зависает в бесконечных согласованиях. Итог: руководство теряет интерес к этим начинаниям.

Упираясь в тот факт, что невозможно организовать какой-то поддерживающий процесс или сделать оптимальный Playbook'и, как следствие, Runbook, операционная деятельность проседает.

Проблемы удержания квалифицированного персонала. Всё упирается не только в зарплаты, но и в отсутствие интересных задач для второй или третьей линии. К примеру, если вы возьмёте высококвалифицированного специалиста по форензике, то долго его не удержите: при отлаженных процессах по мониторингу и реагированию на инциденты ИБ-задач, требующих работы форензера, будет от силы 2–3 в год. Остальное время специалист будет либо ничего не делать, либо выполнять неинтересную ему работу. И тогда начнёт искать другое место, где его навыки будут более востребованными.

Реальная отдача при полностью самостоятельной постройке SOC — не ранее, чем через 2–3 года. Вы уверены, что бизнес согласится столько ждать?

Вы уверены, что на пути постройки не совершите никаких иных ошибок, которые могут стать фатальными и свести на нет усилия по построению SOC?Например, неверная оценка числа событий, приходящих на SIEM, ошибки при проектировании архитектуры и иные.

Про получение статуса

С точки зрения получения статуса корпоративного центра ГосСОПКА всё просто. Вы пишете официальное письмо от имени руководителя организации либо его заместителя по контактам, указанным на сайте НКЦКИ (cert.gov.ru). В нём сообщаете о своём желании создать корпоративный центр ГосСОПКА и объясняете его необходимость. В случае если в НКЦКИ решат, что вы всё-таки можете в теории получить статус, вам пришлют необходимые методические рекомендации, по которым вы должны будете собрать необходимые данные и передать их в НКЦКИ, а также обеспечить проведение иных мероприятий. В процессе вы заключаете безвозмездное соглашение о взаимодействии с НКЦКИ и после успешного подписания получаете статус и обязанности корпоративного центра. Обязанности определяются соглашением о взаимодействии, а также иными документами НКЦКИ.

Повторно отмечу, что возможность заключения соглашения с НКЦКИ не коррелирует напрямую с получением статуса корпоративного центра ГосСОПКА: вы можете заключить соглашение о взаимодействии без этого статуса.

В тоже время получение статуса корпоративного центра ГосСОПКА накладывает обязанности по уровню технического оснащения и компетенции персонала, которые может быть трудно выполнить. Поэтому задача построения работоспособного SOC (который включает, в частности, проверку навыков сотрудников на киберполигонах — иначе как быть уверенным, что в нужный момент все будут знать, как действовать) встаёт особенно остро.

И как поступать?

Существует более-менее универсальный рецепт построения SOC, который позволяет соблюсти разумный баланс между временем создания, качеством функционирования и затратами, а также соответствием необходимым требованиям НКЦКИ.

Рецепт 1: отдать всё на аутсорсинг. Просто и быстро. Вопреки распространённому мнению, 99% инцидентов — типовые и не являются уникальными для какой-либо организации. Для выявления и защиты от таких атак выработаны соответствующие сценарии, а с учётом опыта аутсорсера сценарии многократно отработаны и выверены и подойдут для подавляющего большинства заказчиков. Работоспособный SOC'у вас возникнет в считаные недели, а персонала в вашей организации потребуется минимум.

Рецепт 2: пойти по пути создания гибридного SOC. В этом сценарии мы значительно сокращаем время и средства до появления нормального работающего SOC. Это считается в настоящее время оптимальным путём. Он заключается в следующих шагах:

Таблица 2. Путь создания гибридного SOC

Заключение

Итак, большинству организаций корпоративный центр ГосСОПКА не нужен, особенно если их основная цель — это формальное закрытие требований законодательства. Тут проще и дешевле отдать всё на аутсорсинг. Но если вы:

• в перечне стратегических организаций,
• имеете большую филиальную сеть либо ДЗО,
• и вы — субъект КИИ,

то смысл в собственном центре ГосСОПКА есть. При этом готовьтесь понести определённые затраты (как ресурсные, так и материальные), чтобы создаваемый центр соответствовал всем требованиям НКЦКИ. Если вы создаёте свой SOC, без получения статуса корпоративного центра ГосСОПКА, то вы можете применять разные практики. Но как только речь заходит о получении советующего статуса, готовьтесь строго учитывать все рекомендации и требования НКЦКИ.

Но в любом случае нужно, чтобы центр ГосСОПКА функционировал не на бумаге, а в реальности. А это процессы, техника, люди.

«Просто» SOC, напротив, нужен сейчас практически всем. Но современные реалии таковы, что построить его полностью in-house способны лишь крупные предприятия, которые смогут не только нанять, но и удержать дорогостоящих специалистов в компании.

Кроме того, как показала практика, для расследования серьёзных инцидентов всё равно привлекается сторонний подрядчик, у которого есть — внезапно — свой MSS/MDRSOC.

Нужно отметить, что концепция полного in-house SOC постепенно изживает себя именно из-за того, что трудно удержать ценные кадры.

Поэтому оптимальный вариант — гибридный SOC с передачей ряда дорогостоящих функций, требующих высококвалифицированных специалистов,— на аутсорсинг в коммерческий SOC, обладающий всеми необходимыми лицензиями и опытом. Кроме того, использование гибридной модели значительно упростит процесс повышения компетенций ваших специалистов за счёт проведения тренировок на киберполигонах (эту услугу обычно предлагают современные коммерческие SOC), а также вы всегда можете быть уверены, что вас поддержат при реагировании на сложные инциденты и при их расследовании.