Mihail_Klimov 10 мар в 10:30

Руководство по выбору SOC: на что обратить внимание

9 мин

2.1K

Блог компании МТСИнформационная безопасность*

+16

Комментарии 2

hitmany 10 мар в 20:51

Спасибо большое за статью.

Вопросы в тему SOC на аутсорс:

1) в начале вы упомянули что важно видеть полную картину. То есть кроме мониторинга, нужен thread intelligence и NTA. Но нигде ниже про это не написали про критерий выбора.

К сожалению многие компании такие опции не предлагают вообще, а когда начинаешь обсуждать например NTA, они говорят, хорошо мы подключим к siem, заплатите сверху ещё кучу денег, мы займёмся разработкой интеграции. Но похоже работать они с этим и учитывать как комплекс не будут.

Песочницы сетевые тоже у многих отсутствуют

2) вы так и не описали, как выбрать soc, те критерии что вы описали есть у всех российских soc. Но это не критерий качества. Как выбрать качественный, не будете же вы тратить год на пилот всех SOC России и тратить на пентест каждого.

Почему то ни у кого в качестве гаранта качества нет SLA по penetration. Например если SOC по своей вине пропустил атаку, то он платит штраф заказчику.

3) слышал такую фразу от одного известного блогера в сфере ИБ: в небольшой компании, примерно в 1000 хостов, не нужен SOC: ставьте EDR, XDR и не тратьте десятки миллионов на SOC.

У меня конечно сразу вопрос, как это все соединить и коррелировать.

А вы что скажите?)

Mihail_Klimov 12 мар в 12:22

Добрый день! Отвечу по пунктам:

1. Такие процессы, как TI (с фидами и песочницами), TH, углубленный анализ трафика, должны быть у MSSP-провайдеров и они, как правило, предоставляют их в виде дополнительных опций или включают в основный сервис. Другое дело, что не у всех заказчиков есть NTA-решение, с помощью которого аутсорсовый SOC будет анализировать сетевые соединения для выявления сетевых атак и признаков компрометации. Мы, например, предлагаем внедрить наше NTA-решение на время оказания услуги - это на порядок проще и дешевле чем покупать и внедрять самостоятельно.

2. Критериев на самом деле больше и у каждого они свои. Многим важно не SLA а доверие, страховка на случай ущерба от пропущенного инцидента, выделенный специалист, красивый личный кабинет, покрытие MITRE ATT&CK и т.п.

3. Чтобы регулярно просматривать сработки EDR и своевременно реагировать, нужен выделенный аналитик, значит, SOC все равно нужен. Хотя SOC может быть не на основе SIEM, а на основе *DR-решений. Все зависит от конкретных потребностей компании по охвату мониторинга и бюджету. Где-то будет дешевле и проще организовать мониторинг через SIEM, где-то через EDR.

4. Все соединить действительно задача не простая, но она решаемая.

Мы предлагаем мониторинг на SIEM, на EDR, на NTA и поддерживаем всевозможные гибриды и комбинации - все зависит от потребности заказчика.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий