Формализация и автоматизация процессов в SOC: от хаоса к зрелости

It-world

Введение

Формализация и автоматизация процессов в SOC: от хаоса к зрелости
© It-world

В различных компаниях SOC строится по-разному: кто-то создает его с нуля, кто-то расширяет функции существующего подразделения, а кто-то передает мониторинг на аутсорс. От подхода к созданию зависит, какие процессы появятся в SOC и в каком порядке. Со временем они проходят путь от разрозненных действий до четко формализованных и автоматизированных механизмов.

В статье разберем основные сценарии создания SOC, ключевые процессы, стадии их зрелости и подходы к автоматизации. А также детально проанализируем пример автоматизации постанализа инцидентов.

Сценарии создания SOC: от технологий к процессам или наоборот

В последние два года в РФ и СНГ растет тенденция к созданию собственных SOC. Рассмотрим два основных подхода к их построению: первый применяет большинство компаний, а второй — те, у кого есть необходимые условия.

Сценарий «сначала технологии»

Если рассматривать SOC в классическом понимании как три ключевых компонента — люди, процессы и технологии, — можно выделить следующие шаги, которые компании используют при его создании:

Технологии. Сначала приобретают и внедряют инструменты мониторинга и реагирования. Люди. Затем нанимают и обучают персонал. Процессы. И только на последнем этапе выстраивают процессы: разрабатывают их, внедряют и совершенствуют.

Большая часть компаний успешно справляется с первым этапом (рис. 1), ведь в России и СНГ нет дефицита технологий, а их функциональность позволяет решать базовые задачи мониторинга и реагирования.

Рис. 1. Доля компаний, которые доходят до каждого этапа развития SOC

Чуть сложнее обстоят дела с персоналом. В целом отрасль кибербезопасности испытывает дефицит кадров, но в контексте внутренних SOC эта проблема становится с каждым годом все менее критичной. Вот основные причины:

Решая собственные задачи, коммерческие MSSP SOC готовят кадры. Однако в некоторых случаях часть персонала переходит в in-house SOC, чтобы сменить вектор карьерного развития. Технологии становятся более стабильными и требуют меньшей квалификации для работы с ними. За последние пять лет SOC-сообщество значительно расширило компетенции и опыт, что позволяет решать многие задачи, опираясь на проверенные методики и успешные практики. Активно внедряются технологии ML и AI для агрегации данных и принятия решений по однотипным инцидентам или выполнения рутинных действий.

Если же говорить о процессах SOC, только единицы компаний в РФ и СНГ добрались до этого этапа. Среди них особенно выделяются коммерческие MSSP SOC, поскольку перед ними стоит задача постоянно масштабировать сервисы без потери качества. Это возможно благодаря наличию единых алгоритмов действий, измерению эффективности процессов и высокой степени автоматизации. При подключении клиента автоматизируется инсталляция компонентов, а уже в процессе работы SOC автоматизация помогает, например, при сборе артефактов инцидента с конечных устройств. Без этих мер при росте числа клиентов SOC столкнется с нехваткой ресурсов — тогда гарантировать единый уровень качества будет невозможно.

В SOC, созданных для собственных нужд, задача формализации не всегда приоритетна. Однако когда возникает необходимость измерять результаты, отслеживать прогресс, минимизировать человеческие ошибки и снижать нагрузку на сотрудников, чтобы предотвратить выгорание, переход на третий этап — выстраивание процессов SOC — становится критически важным.

В таких случаях часто приходится действовать интуитивно, например, пересматривая функциональность используемых технологий. Нередко оказывается, что они либо не полностью покрывают операционные потребности SOC, либо, наоборот, включают избыточные возможности, за которые приходится переплачивать. Это приводит не только к лишним затратам, но и к простоям, которые также влекут за собой расходы.

Сценарий «сначала процессы»

Некоторые компании, например холдинги и организации с крупной территориально распределенной инфраструктурой, выбирают иной путь (рис. 2):

Оценивают кадровые, финансовые и другие возможности. Определяют ключевые процессы SOC, которые целесообразно организовать для компании. Подбирают технологии и людей, исходя из бизнес-задач.

Рис. 2. Этапы создания SOC при сценарии «сначала процессы»

Применить этот подход можно в одном из случаев:

у компании есть опытные специалисты, умеющие выстраивать процессы SOC, но на рынке таких мало;  организация привлекает компании-консультанты, которые уже прошли этот путь и готовы делиться опытом.

Такой подход позволяет:

значительно сократить время на запуск функций SOC, а значит, и снизить финансовые затраты;  выбрать технологии под задачи SOC только с требуемой функциональностью, при этом не переплачивая за избыточные возможности.

Реальный опыт решения проблем помогает быстро достичь результата, а не утонуть в процессах и задачах.

Операционная модель: основные процессы SOC

На каждом этапе развития SOC формируется набор процессов, необходимых для эффективной работы. Не существует универсального перечня для всех SOC, поскольку состав процессов зависит от их структуры, специфики бизнеса и ценности защищаемых активов. Например, некоторые процессы компания готова создать внутри, а выполнение других решает передать внешним MSSP SOC.

Если рассматривать процессы, которые должны присутствовать в зрелом SOC, их можно объединить в 11 групп (рис. 3).

Рис. 3. Пример процессов в зрелом SOC

Однако можно выделить ключевые процессы, без которых SOC, скорее всего, не будет эффективно функционировать (рис. 4).

Рис. 4. Обязательные процессы для любого SOC

Выделение минимального набора процессов и их грамотная организация позволяют SOC функционировать эффективно, обеспечивая безопасность в условиях постоянных угроз. При этом важно не только внедрять процессы, но и регулярно оптимизировать их, чтобы достичь максимальной эффективности.

Стадии зрелости процессов SOC

Как показывает практика, компании не подходят к созданию процессов SOC с чистого листа. Даже если процессы не формализованы, они чаще всего уже существуют, причем иногда несколько лет.

Однако формализация приносит пользу, только если отражает реальное положение дел, а не выполнена для галочки. Без регулярного измерения результатов любые процессы SOC со временем теряют эффективность.

Рассмотрим стадии зрелости процессов на примере подключения источников событий к мониторингу (рис. 5) — эта деятельность часто становится регулярным процессом в крупных холдинговых или MSSP SOC.

Рис. 5. Стадии зрелости процесса подключения нового источника событий

Процесс подключения источников событий можно разделить на пять стадий зрелости.

Стадия 1. В SOC ведется работа по подключению источников событий. Каждый специалист SOC выполняет задачу по-своему, без какой-либо стандартизации.

Стадия 2. В команде SOC появляется единый алгоритм для подключения источников. Однако пока он не формализован и передается между специалистами в устной форме.

Стадия 3. Алгоритм по подключению источников фиксируется в базе знаний SOC, и все специалисты обязаны следовать ему. Каждый новый сотрудник также выполняет задачи согласно описанию.

Стадия 4. Появляются метрики для оценки эффективности выполнения задачи, например:

правильно ли настроен аудит событий на источнике; поступают ли все необходимые типы событий в SIEM-систему; верно ли настроена агрегация и фильтрация событий и т. п.

На этом этапе результаты подключения источников начинают активно оцениваться.

Стадия 5. Собираются метрики выполнения процессов (чаще всего с помощью средств автоматизации). На основе этих данных принимаются решения по улучшению процесса и оцениваются компетенции персонала.

Автоматизации процессов SOC

Многие процессы можно и нужно автоматизировать, чтобы снизить нагрузку на специалистов и повысить скорость реагирования.

Автоматизация — ключевая составляющая успешной работы SOC, которая решает несколько важных задач:

Пошаговая обработка инцидентов. Минимизирует ошибки персонала и обеспечивает контроль за выполнением каждого этапа. В том числе важно для многосоставных процессов, таких как обработка инцидента первой линией мониторинга SOC и сбор метрик. Быстрое решение задач и масштабирование. Позволяет автоматически или автоматизированно выполнять конкретные действия — например, по техническому реагированию, значительно ускоряя работу. А при необходимости — масштабировать эти действия на инфраструктуру без потери качества. Обогащение инцидентов контекстом и сбор данных по дельта-окрестности. Помогает собирать дополнительные данные для инцидента — например, информацию об активе и функционирующих на нем СЗИ, сокращая при этом количество рутинных операций.

Задачу автоматизации процессов SOC успешно решают различные технологии и платформы. В том числе:

Сбор и анализ событий. SIEM, EDR, NTA, песочница. Обогащение данными. SOAR и TI, которые позволяют интегрировать данные из внешних систем (например, об активах, ошибках в конфигурации) и информацию об индикаторах компрометации. Автоматизация работы аналитиков. Решения класса SOAR позволяют автоматизировать все шаги обработки инцидента, контролировать их выполнение, а также автоматизировать конкретные действия по реагированию.

На рис. 6 приведен пример технологий, которые позволяют автоматизировать деятельность SOC.

Рис. 6. Технологии автоматизации процессов SOC

Пример автоматизации: постанализ инцидента

На примере постанализа инцидентов рассмотрим, как автоматизация применяется на практике. Этот процесс часто присутствует в зрелых SOC, однако ему все равно уделяют недостаточно внимания.

Суть процесса

Раз в неделю у аналитиков первой линии мониторинга отбираются 10–15% от общего количества закрытых инцидентов. Эти инциденты проходят верификацию у более опытных аналитиков, например второй линии.

Хотя отбор инцидентов происходит случайным образом, в алгоритм автоматизации заложена логика приоритизации. В первую очередь выбирают:

инциденты высокой критичности; инциденты с большой агрегацией алертов; другие значимые события, требующие дополнительной проверки.

Алгоритм

Процесс выглядит следующим образом (рис. 7):

Выбор инцидентов. Раз в неделю средства автоматизации отбирают 10–15% закрытых инцидентов у аналитиков первой линии мониторинга. Создание задачи. Система автоматически формирует задачу на проверку инцидентов для аналитика второй линии. Оценка инцидента. Аналитик второй линии в отведенное SLA время оценивает корректность анализа инцидента, собранные данные по дельта-окрестности и т. п. Обнаружение ошибок: если ошибок нет, задача закрывается; если ошибки есть, запускается процесс обнаружения ошибки в алерте или инциденте. Если ошибка найдена в работе правила, формируется задача на его модификацию или исправление. Только после этого задача закрывается.

На каждом этапе средства автоматизации собирают метрики, такие как количество ошибок при анализе инцидента или алерта, общее число ошибок и т. д.

Рис. 7. Алгоритм автоматизации постанализа

Отчетность

На основе собранных метрик составляется отчетность, а данные визуализируются (рис. 8). Это позволяет:

регулярно оценивать команду; разбирать частые ошибки и принимать решения по изменению процессов.

Рис. 8. Пример визуализации собранных метрик

Заключение

На разных этапах зрелости SOC сталкивается с множеством задач, среди которых:

улучшение результатов и мониторинг прогресса; четкое определение зон ответственности и последовательности действий команды; подготовка к масштабированию и повышению эффективности работы; выстраивание онбординга новых сотрудников для ускоренной адаптации; предотвращение выгорания специалистов за счет автоматизации рутинных задач.

Рано или поздно каждое из этих решений превращается в формализованный процесс. Мы рассмотрели ключевые процессы, которые формируют зрелый SOC, однако их конкретный состав и приоритеты зависят от модели SOC и особенностей инфраструктуры компании.

У каждого SOC своя дорога к зрелости, но структурированный подход, системная автоматизация и развитие команды позволяют пройти этот путь быстрее и эффективнее.

Компании