Сергей Жидков, Ozon: 90% SOC-ов в крупных энтерпрайзах были созданы за последние пять лет и лишь около 10% — раньше

Сергей Жидков, руководитель SOC Ozon, рассказал порталу Cyber Media о специфике построения центров мониторинга и реагирования, а также об особенностях работы со стажерами в blue team.

Cyber Media: Поделитесь вашим опытом построения SOC-центра: с какими сложностями вы столкнулись, как их преодолевали?

Сергей Жидков: Наш SOC-центр появился три года назад, когда он выделился в самостоятельное подразделение в департаменте информационной безопасности. Уже тогда было понимание, что для развития ИБ SOC очень важен.

Как мы развивались? В начале в SOC вместе со мной работали еще два сотрудника, и мы выполняли функцию «всё в одном». Но мы быстро поняли, что есть необходимость процессного и численного роста нашего подразделения. Для этого нужно было решить четыре задачи:

• во-первых, увеличить ресурсы на найм новых членов команды и развитие инфраструктуры для поддержки нашей работы. Мы стали расти и выделили три основные команды: группа развития и поддержки технических инструментов, аналитики и так называемая «первая линия» SOC, с помощью которой мы обрабатываем события ИБ и управляем ими;
• во-вторых, обеспечить высокое и стабильное качество внутренних процессов. Для этого мы их структурировали: у нас появилась лаборатория, в которой мы моделируем угрозы и уязвимости, чтобы сгенерировать алерты и все следы, необходимые для обнаружения ИБ-события. Также у нас есть процессы, которые анализируют качество правил, на которые срабатывают автоматизированные оповещения: соотношение False Positive\True Positive\Legitimate True Positive срабатываний непрерывно анализируется, чтобы выявить правила, которые требуют пересмотра или дополнительного внимания со стороны аналитиков;
• в-третьих, создать систему управления изменениями. Мы реализовали уникальный формат описания обнаруженных событий: помимо того, что в алерте содержится само правило корреляции событий и информации, мы также описываем в нем некоторое количество данных в виде метадаты, которое помогает нам прозрачно работать с событиями. Вся работа идет в едином подходе Ozon Tech Everything As Code, поэтому все, что является продуктом SOC, мы представляем в виде кода. Это позволяет нам следить за изменениями в системе контроля версий и управлять ими в соответствии с нашими процессами;
• в-четвертых, отслеживать эффективность работы подразделения и его прозрачность. Для этого мы построили и реализовали огромное количество метрик. Преимущественно это показатели качественного и количественного измерения нашей работы, например, SIEM и метрики первой линии — по разбору и реагированию на алерты.

Cyber Media: На ваш взгляд, что отличает ваш центр мониторинга от «стандартных» или типовых центров?

Сергей Жидков: Сложно оценивать себя по общепринятым бенчмаркам, потому что мы развивались самобытно, а не по шаблону. В целом сложно сказать, что можно выделить «стандартные» центры — они всегда создаются под особенности инфраструктуры каждой отдельной структуры и компании.

Из-за роста киберугроз компании стали более серьезно подходить к информационной безопасности. Можно сказать, что 90% SOC-ов в крупных энтерпрайзах были созданы за последние пять лет и лишь около 10% — раньше.

Для этого в первую очередь выстраиваются первичные процессы по защите информации, постоянно проводится работа по инфраструктурной безопасности, по обучению сотрудников. В этом контексте SOC — проактивное реагирование, инструмент, характерный для организаций и компаний со зрелым ИБ.

Cyber Media: Из-за дефицита кадров очень сложно полностью насытить крупный SOC только опытными специалистами, и это в принципе требуется не всегда. На ваш взгляд, какой баланс между стажерами и опытными специалистами оптимален? Поделитесь вашим опытом работы со стажерами, на что руководителю SOC стоит обратить внимание?

Сергей Жидков: Мы принимаем на стажировки абсолютно разных людей: студентов начальных курсов технических вузов, старшекурсников в гуманитарных вузах, ребят без высшего образования в IT.

У нас очень хорошо прослеживается вертикальный рост и много кейсов, которые это доказывают. Например, нашу первую линию SOC возглавляет сотрудница, которая пришла стажером два года назад. С этой точки зрения мы очень гордимся тем, что даем возможность молодым специалистам показать себя.

Как и у любого энтерпрайза, у нас уникальный SOC с собственной экспертизой, инструментами и потребностями. Ребята-стажеры с горящими глазами, как правило, врываются даже активнее, чем те, кто уже имел за плечами большой бэкграунд по работе в крупных корпорациях, или в каких-нибудь MSSP SOC-ах. На горизонте в полгода мы со стажерами успешно выходим на сотрудничество в долгосрочной перспективе.

У нас индивидуальный подход ко всем ребятам, но обычно стажировка проходит в четыре этапа:

1. Собеседования, найм и составление индивидуального плана развития с тремя контрольными точками для проведения промежуточной оценки.
2. Первичный план адаптации. У нас в SOC сформирован определенный чек-лист нового сотрудника, в котором помимо знакомства с локальными НПА он проходит все стандартные курсы по охране труда, ИБ и так далее, знакомится с нашими обучающими материалами.
3. Выполнение заданий во время стажировки. Поначалу стажер овладевает первичными навыками работы с SIEM-системой. Она построена как звенья одной цепи, от простого к сложному, чтобы стажер воспользовался сначала минимальным функционалом, а по итогу смог провести работу аналитика, необходимую при событии ИБ.
4. Финал — небольшой скрининг, во время которого мы подводим итоги, оцениваем работу, hard skills и самостоятельность. И в результате принимаем решение, готовы ли мы к дальнейшему сотрудничеству.

Отвечая на вопрос о соотношении стажеров и опытных специалистов, для нас важно создать условия, в которых распределение времени на обучение ребят будет сбалансировано для обеих сторон. В этом случае все зависит от группы: например, в первой линии подготовка стажеров не такая трудоемкая для специалистов, и здесь мы уверенно можем распределить по два стажера на одного сотрудника — это комфортный баланс как для опытных коллег, так и для стажеров. В то же время в продуктовых группах мы стараемся руководствоваться таким правилом: два стажера в единицу времени на пять сотрудников.

Cyber Media: Ozon — зрелая с точки зрения ИБ компания, которая использует множество способов анализа защищенности от багбаунти до redteam-проектов. Как это влияет на работу центра мониторинга и реагирования, можете ли вы поделиться какими-то интересными кейсами взаимодействия с «красными» командами?

Сергей Жидков: Анализ защищенности происходит в нескольких форматах. Во-первых, это классический целевой пентест или аудит безопасности веб-приложения. Если раньше этот процесс всегда сопровождался предупреждением всех сотрудников SOC, то сейчас мы пришли к тому, что сотрудники SOC намеренно не информируются о проведении аудита. Так мы можем проверить работу наших процессов и технических средств.

Здесь разворачивается классическая схема: мы проводим мониторинг, замечаем активность «красных» команд. Как правило, спустя пару недель после начала пентеста уже весь SOC в курсе проверки, потому что по стандартному сценарию эскалации выявленных инцидентов необходимо проинформировать сотрудника SOC о причине возникновения ИБ-события. Далее, не дожидаясь отчета от пентестеров, мы готовим таймлайн, чтобы максимально емко и обширно описать действия «красных команд» в нашей инфраструктуре. Получив отчет, мы анализируем результаты работы и проводим обсуждение, чтобы ретроспективно понять, где мы можем технически либо процессно усилить мониторинг.

Во-вторых, это работа «красных» команд в bug bounty: сейчас все отчеты оперативно в любое время дня и ночи обрабатываются сотрудниками SOC.

В-третьих, участие в соревнованиях по информационной безопасности. Здесь SOC участвует уже как «синяя» команда. И у нас уже есть классный опыт такого взаимодействия: мы участвовали во внешних соревнованиях, где команда Ozon, состоящая из сотрудников SOC и инфраструктурной безопасности, показала самое быстрое время предоставления отчета расследования инцидента. Это хорошая возможность попробовать себя против сразу нескольких опытных команд. Мы получили много опыта и планируем принимать участие в подобных активностях в будущем.

Cyber Media: Вы работаете в условиях, когда инфраструктура компании постоянно растет: появляются новые сервисы, обновляются уже существующие. Как обеспечивается масштабируемость SOC’а?

Сергей Жидков: SOC растет и развивается вместе со всем Ozon. Наши инженеры на постоянной основе поддерживают, администрируют и развивают всю инфраструктуру. А она огромна. Благодаря разработанным метрикам и команде аналитиков мы успешно работаем с трендами роста и понимаем, сколько нам понадобится ресурсов: сотрудников, железа или альтернативных технических средств. Помимо SIEM-системы есть множество разных собственноручно написанных автоматизаций, которые помогают нам в аналитике и мониторинге.