Сергей Жидков, руководитель SOC Ozon, рассказал порталу Cyber Media о специфике построения центров мониторинга и реагирования, а также об особенностях работы со стажерами в blue team.
Cyber Media: Поделитесь вашим опытом построения SOC-центра: с какими сложностями вы столкнулись, как их преодолевали?
Сергей Жидков: Наш SOC-центр появился три года назад, когда он выделился в самостоятельное подразделение в департаменте информационной безопасности. Уже тогда было понимание, что для развития ИБ SOC очень важен.
Как мы развивались? В начале в SOC вместе со мной работали еще два сотрудника, и мы выполняли функцию «всё в одном». Но мы быстро поняли, что есть необходимость процессного и численного роста нашего подразделения. Для этого нужно было решить четыре задачи:
Cyber Media: На ваш взгляд, что отличает ваш центр мониторинга от «стандартных» или типовых центров?
Сергей Жидков: Сложно оценивать себя по общепринятым бенчмаркам, потому что мы развивались самобытно, а не по шаблону. В целом сложно сказать, что можно выделить «стандартные» центры — они всегда создаются под особенности инфраструктуры каждой отдельной структуры и компании.
Из-за роста киберугроз компании стали более серьезно подходить к информационной безопасности. Можно сказать, что 90% SOC-ов в крупных энтерпрайзах были созданы за последние пять лет и лишь около 10% — раньше.
Для этого в первую очередь выстраиваются первичные процессы по защите информации, постоянно проводится работа по инфраструктурной безопасности, по обучению сотрудников. В этом контексте SOC — проактивное реагирование, инструмент, характерный для организаций и компаний со зрелым ИБ.
Cyber Media: Из-за дефицита кадров очень сложно полностью насытить крупный SOC только опытными специалистами, и это в принципе требуется не всегда. На ваш взгляд, какой баланс между стажерами и опытными специалистами оптимален? Поделитесь вашим опытом работы со стажерами, на что руководителю SOC стоит обратить внимание?
Сергей Жидков: Мы принимаем на стажировки абсолютно разных людей: студентов начальных курсов технических вузов, старшекурсников в гуманитарных вузах, ребят без высшего образования в IT.
У нас очень хорошо прослеживается вертикальный рост и много кейсов, которые это доказывают. Например, нашу первую линию SOC возглавляет сотрудница, которая пришла стажером два года назад. С этой точки зрения мы очень гордимся тем, что даем возможность молодым специалистам показать себя.
Как и у любого энтерпрайза, у нас уникальный SOC с собственной экспертизой, инструментами и потребностями. Ребята-стажеры с горящими глазами, как правило, врываются даже активнее, чем те, кто уже имел за плечами большой бэкграунд по работе в крупных корпорациях, или в каких-нибудь MSSP SOC-ах. На горизонте в полгода мы со стажерами успешно выходим на сотрудничество в долгосрочной перспективе.
У нас индивидуальный подход ко всем ребятам, но обычно стажировка проходит в четыре этапа:
Отвечая на вопрос о соотношении стажеров и опытных специалистов, для нас важно создать условия, в которых распределение времени на обучение ребят будет сбалансировано для обеих сторон. В этом случае все зависит от группы: например, в первой линии подготовка стажеров не такая трудоемкая для специалистов, и здесь мы уверенно можем распределить по два стажера на одного сотрудника — это комфортный баланс как для опытных коллег, так и для стажеров. В то же время в продуктовых группах мы стараемся руководствоваться таким правилом: два стажера в единицу времени на пять сотрудников.
Cyber Media: Ozon — зрелая с точки зрения ИБ компания, которая использует множество способов анализа защищенности от багбаунти до redteam-проектов. Как это влияет на работу центра мониторинга и реагирования, можете ли вы поделиться какими-то интересными кейсами взаимодействия с «красными» командами?
Сергей Жидков: Анализ защищенности происходит в нескольких форматах. Во-первых, это классический целевой пентест или аудит безопасности веб-приложения. Если раньше этот процесс всегда сопровождался предупреждением всех сотрудников SOC, то сейчас мы пришли к тому, что сотрудники SOC намеренно не информируются о проведении аудита. Так мы можем проверить работу наших процессов и технических средств.
Здесь разворачивается классическая схема: мы проводим мониторинг, замечаем активность «красных» команд. Как правило, спустя пару недель после начала пентеста уже весь SOC в курсе проверки, потому что по стандартному сценарию эскалации выявленных инцидентов необходимо проинформировать сотрудника SOC о причине возникновения ИБ-события. Далее, не дожидаясь отчета от пентестеров, мы готовим таймлайн, чтобы максимально емко и обширно описать действия «красных команд» в нашей инфраструктуре. Получив отчет, мы анализируем результаты работы и проводим обсуждение, чтобы ретроспективно понять, где мы можем технически либо процессно усилить мониторинг.
Во-вторых, это работа «красных» команд в bug bounty: сейчас все отчеты оперативно в любое время дня и ночи обрабатываются сотрудниками SOC.
В-третьих, участие в соревнованиях по информационной безопасности. Здесь SOC участвует уже как «синяя» команда. И у нас уже есть классный опыт такого взаимодействия: мы участвовали во внешних соревнованиях, где команда Ozon, состоящая из сотрудников SOC и инфраструктурной безопасности, показала самое быстрое время предоставления отчета расследования инцидента. Это хорошая возможность попробовать себя против сразу нескольких опытных команд. Мы получили много опыта и планируем принимать участие в подобных активностях в будущем.
Cyber Media: Вы работаете в условиях, когда инфраструктура компании постоянно растет: появляются новые сервисы, обновляются уже существующие. Как обеспечивается масштабируемость SOC’а?
Сергей Жидков: SOC растет и развивается вместе со всем Ozon. Наши инженеры на постоянной основе поддерживают, администрируют и развивают всю инфраструктуру. А она огромна. Благодаря разработанным метрикам и команде аналитиков мы успешно работаем с трендами роста и понимаем, сколько нам понадобится ресурсов: сотрудников, железа или альтернативных технических средств. Помимо SIEM-системы есть множество разных собственноручно написанных автоматизаций, которые помогают нам в аналитике и мониторинге.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться