Собственный Центр мониторинга безопасности – тренд в ИБ. Пока одни компании в России только решают создать SOC или рассматривают команду аналитиков на аутсорсе, другие уже оценивают их работу.
На какие метрики деятельности SOC стоит обращать внимание? Как часто проводить тренировки команды? И почему SOC может работать неэффективно? Об этом порталу Cyber Media рассказал Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».
Cyber Media: Какие критерии и метрики, на ваш взгляд, наиболее наглядно демонстрируют уровень эффективности SOC?
Сергей Солдатов: Наиболее важным критерием успешности SOC является его способность предотвращать атаки. Если не получилось остановить, то хотя бы обнаружить, чем раньше, тем лучше. Скорость обнаружения определяется уровнем автоматизации, поэтому она никогда не бывает избыточной. Возможности обнаружения определяются базой правил, а эффективность и результативность этих правил определяются много чем, как минимум номенклатурой событий телеметрии, обработкой на сенсоре и в облаке, имеющимися данными об угрозах. Чтобы все эти технологии приносили максимальную ценность, нужен квалифицированный и опытный персонал, а для эффективной работы большой команды нужны выстроенные процессы.
Метрики – это наш инструмент понимания, что наши люди, процессы и технологии работают, и работают так, как мы от них ожидаем.
Если обсуждать конкретные примеры метрик, то следует начать со стандартных: время, требуемое для обнаружения атаки, и время, требуемое для локализации атаки. В части правил обнаружения обязательно нужно считать конверсию – как часто конкретное правило срабатывает не ложноположительно, и вклад – какой процент всех обнаруженных инцидентов выявлен именно этим правилом. Эти же метрики можно считать и для источников событий телеметрии.
Метрик может быть великое множество, так как прежде чем решать, любую проблему надо измерить. За долгую практику может накопиться множество проблем и множество их решений. Для понимания, что наши решения по-прежнему эффективно и результативно решают проблему, мы и будем использовать метрики.
Надо очень внимательно относиться к пропущенным инцидентам – их надо тщательно исследовать и разбирать на правила обнаружения, на новые события телеметрии и их облачную обработку. Причем не обязательно ждать пропусков, можно брать интересные инциденты из своей же практики и анализировать, что еще можно было бы придумать. Также можно брать практику подразделений расследования инцидентов и анализа защищенности и разбирать ее на идеи для телеметрии и правил обнаружения. Профессиональный Red teaming – отличный инструмент проверки эффективности SOC.
Cyber Media: Если говорить о типовых и наиболее распространенных проблемах, какие из них чаще всего лежат в основе неэффективности SOC?
Сергей Солдатов: В основе неэффективности SOC лежит все та же триада из людей, процессов и технологий. Мой личный хит-парад: на первом месте – люди. Наиболее частая проблема – отсутствие квалифицированного и, самое главное, опытного персонала. Работа аналитика SOC очень трудная, поэтому опытных аналитиков сложно удержать. Вопрос не только в аналитиках, но и в специалистах по обнаружению угроз, командах DevOps и многих других. Видимо, начитавшись модных книжек по карьерному росту, буквально все стремятся «вырасти до уровня своей некомпетентности». Ни о каком опыте, который можно приобрести только в течение продолжительной работы в конкретной роли, речи уж и нет.
На втором месте – технологии. Чем более сложные угрозы мы стремимся обнаруживать, тем более сложные технологии нам нужны. Сложные технологии трудны и в использовании, это головная боль вендора, его операционные затраты на поддержку. Поэтому, если поставщик услуг безопасности хочет обнаруживать сложные угрозы, он обречен делать это на технологическом стеке, на который он полностью влияет. Идеально, если пишет сам под себя, где для него нет никаких искусственных ограничений.
В части процессов обычно все совсем неплохо, однако зачастую полный провал в людях и технологиях сводят совокупный успех SOC к нулю.
Cyber Media: Как компании понять, в чем заключаются причины неэффективности SOC?
Сергей Солдатов: Обычно анализ эффективности центра кибербезопасности и делается для понимания этих причин. Это, собственно, и есть цель анализа. Выше мы выяснили, что успех – это возможности обнаружения атак. Поэтому в рамках анализа надо собрать все пропуски и тщательнейшим образом проанализировать, понять проблемы, а потом по каждой проблеме составить план действий. Где-то может быть нехватка событий телеметрии – надо добавить события или источники событий. Где-то нехватка правил обнаружения – добавить правила, где-то ошибки аналитиков – корректируем процессы и занимаемся обучением команды. Технически это делается в рамках Red teaming. По окончании работ «красные» передают полный лог своей работы, а «синие» по каждому этапу помечают: были ли события, были ли алерты, корректно ли отработали аналитики и что можно со всем этим сделать.
Cyber Media: На ваш взгляд, какие меры могут помочь компании увеличить уровень эффективности внутреннего SOC?
Сергей Солдатов: Назову три основных меры. Во-первых, надо постоянно проводить киберучения и разбирать результаты, на выходе становятся заметны улучшения по всем трем направлениям – технологии, процессы, люди. Во-вторых, надо проводить ревью работы аналитиков, как минимум выявленных инцидентов. Нужно анализировать, правильно ли была интерпретирована активность, все ли действия атакующих были выявлены и представлены в карточке инцидента, есть ли ошибки в классификации и оформлении инцидента.
Также следует анализировать алерты, классифицированные аналитиками как ложные срабатывания. Эти алерты надо выборочно перепроверять, находить ошибки и делать работу над ошибками. Все ошибки аналитиков надо разбирать с командой, закреплять во внутренних процедурах и использовать при онбординге новичков.
Cyber Media: Какими знаниями должен обладать SOC-аналитик?
Сергей Солдатов: У нас много специфики и поэтому для каждого нового аналитика мы организуем онбординг с выделенным ментором из числа опытных аналитиков. На собеседованиях с новыми аналитиками мы обычно обсуждаем три темы: сетевые операционные системы – это Windows, Mac, Linux, так как мы обслуживаем клиентов на этих трех системах, далее сети и сетевые протоколы, в основном прикладного уровня, наиболее часто встречающиеся в корпоративных сетях.
Третья тема – это любой опыт взлома сетей, так как наши продукты вполне эффективно отрабатывают атаки роботов и на долю аналитиков SOC в основном выпадают атаки с активным участием хакера, а лучший способ отслеживать хакера – это самому быть по сути белым хакером. Отчасти поэтому почти все наши аналитики успешно сдали OSCP.
Cyber Media: Как часто должны проводиться учения и тренировки в SOC?
Сергей Солдатов: Хочется ответить: «Чем чаще, тем лучше!». Однако очевидно, что не стоит делать одну и ту же работу и находить постоянно одни и те же проблемы. Чтобы так не было, надо, во-первых, чтобы выявленные на прошлых тестированиях проблемы успевали решиться, а, во-вторых, offensive-команда должна обладать достаточной степенью креативности, чтобы проверять разные техники. Но на практике я не встречал такого, чтобы пентестерам не удалось сломать. Я бы даже сказал, что, если вас не сломали, это не повод возгордиться собой, а сменить команду этичных хакеров.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
