3 września 2019

Jakość i dojrzałość usług SOC

Od kilku lat niesamowitą popularność zyskują usługi SOC.
Przez lata widać było pośród największych podmiotów szereg trendów w cyberbezpieczeństwie. Masowe kupowanie antywirusów w drugiej połowie lat dziewięćdziesiątych, masowe zakupy firewall ok 2000 i kilka lat później dołączanie do nich IDS/IPS. Potem masowo zaczęliśmy kupować biblioteki taśmowe i tworzyć centra zapasowe
Był róœnież "run" na webproxy i SIEM'y... Trochę chyba mniejsze zainteresowanie było systemami DLP, SSLi i zaawansowanymi antymalware, a ciągle na swoje 15 minut sławy czekają systemy EDR i MDM...
To co w tym momencie jest na topie, tym co każdy chce mieć, jest SOC.

By Security Operations Center dobrze działało potrzebna jest synergia 3 kluczowych składników - ludzi, procesów i technologii (PPT - People, Process, Technology).
Ludzi - brak. A ci, którzy są dostępni na rynku (słusznie) odpowiednio wyceniają swoją wiedzę.
Procedury to IMHO jeszcze większy problem. Na rynku są dosłownie pojedyncze osoby, które potrafią zorganizować i zarządzać tymi naprawdę skomplikowanymi usługami. Robić nie tylko po to by coś było zrobione, ale by wygenerować jeszcze wyraźną dla klienta (też. wewnętrznego) wartość.
Technologia na szczęście jest dostępna. Można ją kupować "na pęczki. Tylko skonfigurować i obsługiwać nie ma jej komu, więc co rusz można spotkać wielomilionowe rozwiązania "wdrożone" ale zupełnie nie wykorzystywane.

Pojawia się też coraz więcej podmiotów, które zaczynają świadczyć tego typu usługi. Wymagania KSC powodują, że popyt na tego typu usługi jest na tyle duży, że czasem mam wrażenie, że niektóre z mikro-podmiotów próbują na siłę wcisnąć mniej świadomym klientom cokolwiek. Fakt, że za koszt często analogiczny do świadczonej jakości, ale nie w tym rzecz. Patrząc z perspektywy mniej dojrzałego podmiotu, kupuje "lipę" i

  • albo robi to w sposób świadomy (powodując, że idea KSC ulega wypaczeniu i cyberbezpieczeństwo usług kluczowych znów staje się fikcją), 
  • albo też najzwyczajniej w świecie daje się oszukiwać przez gładkich sprzedawców i łudzi się, że usługa za przysłowiowe 500pln naprawdę wpłynie pozytywnie na jego bezpieczeństwo. O etyce podmiotów świadczących takie usługi nie będę się wypowiadać.

Te obserwacje skłoniły mnie do zastanowienia się jak można wykazać JAKOŚĆ oraz DOJRZAŁOŚĆ usług SOC. Spójrzmy więc na PPT z tej perspektywy i popatrzmy na moje, przykładowe wyznaczniki jakości i dojrzałości.

Ludzie (People)

  • czy ilość pracowników odpowiada wymaganiom Kodeksu Pracy dla wybranego zakresu usług? (przykładowo 3 osobami trudno jest świadczyć usługi 24x7 realizowane w sposób ciągły)
  • czy organizacja wie jak zapewnić minimalną obsługę przez cały czas trwania kontraktu? ("Pan się nie martwi, jakoś sobie poradzimy niekoniecznie jest oczekiwaną odpowiedzią)
  • czy SOC zatrudnia osoby z wiedzą wystarczającą do świadczenia usługi - rozpoznawania ataków? (choć wiem, że student 2 roku jest w stanie nauczyć się wszystkiego to jednak wolałbym widzieć przynajmniej podstawowy certyfikat dot. cyberbezpieczeństwa)
  • czy SOC zatrudnia osoby w doświadczeniem wystarczającym do rozpoznania wpływu naruszenia? (jak ktoś nigdy niczym nie administrował to IMHO niekoniecznie dobrze rozpozna skalę problemu)
  • czy SOC zatrudnia osoby dające jakąkolwiek rękojmię tego, że zachowają szczegóły naruszeń bezpieczeństwa w tajemnicy? (obcokrajowcy z wyrokami (bo kto sprawdza) przebywający w PL na rocznej wymianie studentów zatrudnieni w ramach działalności gospodarczej lub na zlecenie)
  • czy prowadzone są jakiekolwiek czynności rozwijające wiedzę i umiejętności pracowników SOC? (nawet prosta biblioteka, lista dobrych kanałów youtube, prowadzone projekty wewnętrzne, szkolenia wewnętrzne i szkolenia i konf. zewnętrzne, powiązane z celami, potrafią natchnąć personel SOC do rozwoju)
  • ile z podstawowych rodzajów usług SOC organizacja jest w stanie świadczyć (przez personel, nie automatami) i w ramach jakiego SLA? (monitorowanie zdarzeń/ odsiewanie false possitive/ realizacja uzgodnionych scenariuszy / threat hunting / analiza malware / analiza włamań / zarządzanie incydentem)

Procesy (Process)

  • czy SOC ma przygotowane scenariusze reakcji dla typowych (sprzedawanych) reguł?
  • czy SOC ma plany zapewniające funkcjonowanie w sytuacjach awaryjnych?
  • czy SOC ma  przygotowane standardowe szablony raportów? Czy w ogóle ma miejsce raportowanie?
  • czy SOC jest w stanie powiedzieć jakie systemy potrafi monitorować a których nie, lub wymaga to dużego nakładu pracy? (twierdzenie, że "monitorujemy wszystko" może wskazywać na brak doświadczenia, bo są systemy biznesowe, które po prostu nie logują) 
  • czy SOC jest w stanie powiedzieć (konkretnie) jakich informacji potrzebuje by ustalić, czy dany system nadaje się do monitorowania i ile czasu zajmie jego podłączenie?
  • czy istnieją zasady testowania reguł, informowania z zmianach personelu SOC, komunikacji kryzysowej, dostępu klienta do szczegółowych danych dot naruszeń
  • czy SOC posiada znormalizowany sposób klasyfikowania incydentów?
  • czy SOC ma jakkolwiek uporządkowane procesy wewnętrzne (zbiór procedur lub też objęcie spójnym systemem zarządzania)?
  • czy SOC posiada standardową dokumentację powdrożeniową? (czy jeszcze nie, bo będzie ją przygotowywać pierwszy raz w życiu?)

Technologie (Technology)

  • czy SOC zapewnia, że klienci nie są w stanie widzieć cudzych danych?
  • czy SOC ma doświadczenie w technologiach, na bazie których świadczy usługi?
  • czy SOC ma doświadczenie w systemach, które ma monitorować (lub przynajmniej czy ma plan jak zdobyć te kompetencje)?
  • czy SOC ma wiedzę merytoryczną (bądź odpowiedni pakiet supportowy) by reagować na awarie rozwiązań, na bazie których świadczy usługi?
  • czy SOC uczestniczy w programach wymiany informacji o cyberincydentach?
  • czy SOC posiada na bieżąco aktualizowane informacje o IoT?
  • czy SOC potrafi samodzielnie wdrażać rozwiązania na bazie których świadczy usługi? (nie jest to IMHO mus (bo podczas wdrożenia nie ma jeszcze wymiany danych o incydentach), ale warto by klient miał tego świadomość)
  • czy SOC potrafi samodzielnie wdrażać rozwiązania na bazie których świadczy usługi? (to jednak uważam, że SOC powinien sam robić, np by móc sprawnie zareagować na awarię u swojego klienta wiążącą się z dostępem do danych o naruszeniach)

Wiem doskonale, że powyższa lista nie jest kompletna. Nie takie było moja założenia by dać "gotowca" podmiotom, które będą zamawiać lub świadczyć tego typu usługi. Zależy mi jednak na tym by na bazie tych przykładów "rozbudzić wyobraźnię" i spowodować, że usługi SOC zaczną być zamawiane z głową. A podmioty "przypadkowe" albo znikną z rynku, albo też (co bym wolał jako miłośnik wolnej konkurencji) zaczną świadczyć swoje usługi w sposób dojrzały.
Na koniec podpowiem, że można już znaleźć standardy, które mówią jak świadczyć usługi monitorowania bezpieczeństwa. Mimo, że nakierowane jednak bardziej na CSIRT też mogą stanowić dobre źródło inspiracji. Mam na myśli oczywiście SIM3 przygotowany przez Open CSIRT Foundation i promowany przez ENISA.

A już zupełnie na koniec zauważę, że żaden SOC nie pomoże, jak organizacja ma bałagan w IT i procesach wewnętrznych. Jeżeli 80% załogi to lokalni administratorzy pracujący na XP i stawiający nowe usługi IT w sposób samodzielny i nieuporządkowany, bez rozsądnej segregacji sieci wew., polityk haseł i innych podstawowych dobrych praktyk usługi SOC będą zwykłym marnowaniem pieniędzy. By skorzystać z usługi trzeba wpierw samemu do tego dojrzeć. Choć dobry usługodawca powinien w tym pomóc.

Brak komentarzy:

Publikowanie komentarza

Dzień dobry. Komentarze na tym forum są moderowane