Czy powinieneś zbudować elitarny zespół SOC, czy wynająć gotowy?

Załóżmy, że Twój biznes kwitnie. Wprowadzenie nowego produktu idzie dobrze, firma rozszerza się na nowe rynki, a duże pozyskanie klienta oznacza wzrost zatrudnienia w przyszłości. Morale w całej organizacji są wysokie i krążą plotki o ekscytującym przejęciu, które pobudzi kolejną rundę szybkiego wzrostu. Ale wraz ze wzrostem rośnie także zakres obowiązków – zwłaszcza dla zespołu ds. bezpieczeństwa. Rosnąca powierzchnia ataków i zagrożeń wywierają presję na zespół, aby zapewnić ciągłą, zawsze dostępną ochronę, gdziekolwiek prowadzisz działalność. Niestety, czasy, gdy do ochrony wystarczył podstawowy antywirus, już dawno minęły. Dlatego w tym artykule przedstawimy zalety tworzenia własnego zespołu SOC oraz korzystania z usług zewnętrznych firm.

Czym są zespoły SOC?

Wiele organizacji zwraca się do SOC (centrum operacji bezpieczeństwa), aby scentralizować monitorowanie bezpieczeństwa, zwiększyć szybkość i skuteczność reagowania na incydenty oraz zachować zgodność, a także uzyskać inne korzyści. Jednak to pragnienie prowadzi do kluczowego pytania: czy należy zbudować SOC, czy kupić SOC w formie usługi bezpieczeństwa, takiej jak MDR (zarządzane wykrywanie i reagowanie)?

W procesie decyzyjnym ważne jest, aby przyjrzeć się wyzwaniom związanym z budową w pełni operacyjnego, całodobowego zespołu SOC, który będzie szybko i inteligentnie reagował na zagrożenia cyberbezpieczeństwa próbujące zakłócić działanie kluczowych systemów.

Wyzwania związane z budowaniem zespołu SOC

Jeśli porozmawiasz z kimś, kto założył wewnętrzny SOC, prawdopodobnie powie ci, że obsada i utrzymanie 24-godzinnego SOC jest zniechęcające, wymaga dużych zasobów i jest drogie. Jednak jest to możliwe. Oto kilka ważnych rzeczy, które należy wziąć pod uwagę w tym procesie.

SOC: Tworzenie doświadczonego zespołu

Jednym z największych wyzwań w budowaniu zespołu SOC jest zebranie grupy o zróżnicowanej wiedzy specjalistycznej i znaczącym doświadczeniu w zakresie zagrożeń, aby skutecznie osiągnąć swoje cele. Dzisiejsi cyberprzestępcy są coraz bardziej biegli w ukrywaniu swoich działań i omijaniu starszych środków bezpieczeństwa, dlatego wiedza analityka odgrywa kluczową rolę. Ważne jest również znalezienie osób z doświadczeniem śledczym — szczególnie w obronie, środowisku akademickim lub organach ścigania. Ci analitycy muszą wychodzić poza proste wykrywanie i wykorzystywać umiejętności śledcze i raportujące, aby przedstawiać zalecenia oparte na starannej, szczegółowej analizie.

Budowanie poza analitykami

Znalezienie wykwalifikowanej grupy analityków nie jest końcem Twojej podróży w zakresie personelu SOC, to tak naprawdę początek. Po zbudowaniu solidnej bazy analityków, będziesz musiał dodać specjalistyczną wiedzę — taką jak osoby reagujące na incydenty, inżynierowie wykrywania i łowcy zagrożeń. Ten personel SOC wypełnia wiele luk, które pozostały, w tym ocenę i naprawę podatności, badanie zagrożeń i proaktywną konserwację. W miarę rozwoju organizacji i rozszerzania się powierzchni zagrożeń ważne jest dodawanie tych specjalistycznych ról.

Zatrudnienie i utrzymanie całodobowego SOC przez cały rok

Większość z nas, zajmujących się cyberbezpieczeństwem, doskonale zdaje sobie sprawę z poważnych braków w kompetencjach w tej dziedzinie, które utrudniają znalezienie wykwalifikowanych i niedrogich członków zespołu. Staje się to szczególnie widoczne, gdy zaczynamy budować, utrzymywać i zarządzać całodobowym zespołem SOC.

Jednym z głównych wyzwań jest fakt, że obsada SOC nie jest tak prosta, jak stworzenie trzech ośmiogodzinnych zmian dla pełnego pokrycia. Przepisy prawa pracy ograniczają tygodnie pracy do 40 godzin i gwarantują dodatkowy czas wolny. Minimalne wymagania do zapewnienia 24-godzinnego pokrycia to pięciu analityków — a nawet pięcioosobowy zespół byłby rozciągnięty, aby pokryć PTO i służyć jako krytyczne wsparcie. Działanie z tak szczupłym personelem wymaga znacznego budżetu na nadgodziny, aby wszystko działało.

Aby zbudować niezawodny, całodobowy, całodobowego SOC (24/7/365), idealnie potrzeba co najmniej 10 pracowników, aby uwzględnić zmiany, PTO i kopie zapasowe. Koszty szybko rosną. Na przykład, jeśli płacisz pensję plus pakiet świadczeń w wysokości 150 000 USD rocznie, patrzysz na 1,5 miliona USD samych kosztów personelu. Ta liczba nie obejmuje licencji oprogramowania, szkoleń i certyfikatów branżowych, sprzętu sieciowego, powierzchni biurowej, podróży i innych wydatków związanych z działem bezpieczeństwa.

Planowanie rotacji

Ciągła harówka związana z obsadzaniem personelu w SOC przez całą dobę i ściganiem fałszywych wyników pozytywnych może zaszkodzić morale, ponieważ zespół może czuć, że stoi w obliczu niekończącego się cyklu ścigania zagrożeń, które okazują się nieistniejące. W dłuższej perspektywie może to prowadzić do wypalenia zawodowego i odejść, dlatego należy zaplanować rotację zespołu SOC. Niestety, odejścia pracowników mają konsekwencje wykraczające poza samo zatrudnienie nowych osób. Szacuje się, że przejście przez cały proces wdrażania — w którym nowi pracownicy w pełni integrują się z kulturą, procesami i procedurami firmy — zajmuje do 12 miesięcy. Przechodzenie przez ten długi, żmudny wysiłek za każdym razem, gdy dochodzi do rotacji lub gdy decydujesz się na skalowanie operacji, jest nie do utrzymania dla większości organizacji.

Potrzeba standaryzowanych procedur

Ustanowienie znormalizowanych procesów i procedur w celu zarządzania SOC jest zarówno kluczowe, jak i trudne — szczególnie jeśli robisz to po raz pierwszy. Jesteś już zajęty bezpieczeństwem, projektami IT i umożliwianiem systemom zasilania Twojej podstawowej działalności. Ważne jest, aby zbadać, jakie zasoby i wiedzę specjalistyczną możesz realistycznie realokować z bieżących operacji, jednocześnie skalując je, aby sprostać wzrostowi firmy.

Ważne jest również, aby starannie wdrożyć najlepsze praktyki oparte na ustalonych ramach cyberbezpieczeństwa, takich jak MITRE ATT&CK lub NIST 2.0. Te sprawdzone standardy są skutecznym sposobem na upewnienie się, że Twoje bazy są objęte w możliwie najbardziej efektywny sposób, a Ty możesz skalować swój SOC w miarę rozwoju firmy. Ważne jest również, aby dostosować te standardy do swoich indywidualnych celów biznesowych, zapewniając, że rzeczywiste ryzyko biznesowe jest uwzględniane poprzez operacje bezpieczeństwa.

To dopiero początek kluczowych aspektów do przeanalizowania, gdy planujesz zbudować wewnętrzne centrum operacji bezpieczeństwa 24x7x365. Jest to jednak możliwe, jeśli masz cierpliwość, budżet i czas, aby przeznaczyć je od obecnych pracowników.

Alternatywa dla SOC: Kupuj zamiast budować

Wiele organizacji uważa, że współpraca z dostawcą usług zarządzania wykrywaniem i reagowaniem (MDR) jest bardziej opłacalnym i szybszym sposobem na poprawę bezpieczeństwa. Bardzo doświadczeni eksperci MDR z różnych środowisk uzupełniają Twój zespół ds. bezpieczeństwa, a poziom wsparcia jest skalowalny, dzięki czemu możesz utrzymać ochronę 24×7 x365 niezależnie od wielkości Twojej organizacji. Outsourcing tej krytycznej funkcji bezpieczeństwa pozwala Ci skupić się na projektach IT i bezpieczeństwa oraz pomaga Ci bezpiecznie włączyć swoją firmę z pewnością siebie.

Korzystanie z doświadczenia MDR

Jedną z rzeczy, które słyszymy, jest to, że klienci MDR są mile zaskoczeni tym , jak szybko MDR zmniejszyło ich ryzyko i uprościło ich procesy. Twój dostawca MDR będzie już działał zgodnie z praktykami i procedurami udoskonalanymi przez lata współpracy z różnorodnym zestawem organizacji. Wydali miliony dolarów na opracowanie i połączenie najlepszych narzędzi z najlepszymi praktykami i zbudowali solidne relacje z dostawcami rozwiązań cyberbezpieczeństwa i grupami rzeczniczymi, z których mogą skorzystać, jeśli pojawi się nietypowe zagrożenie. A Twoja organizacja korzysta z tego doświadczenia przez całą dobę.

Uproszczenie tego, co złożone

Bezpieczeństwo jest często złożoną i wyizolowaną praktyką z wieloma narzędziami monitorującymi, które przesyłają swoje dane do rozwiązania Security Information and Event Management (SIEM). Nadążanie za napływem danych dotyczących bezpieczeństwa przepływających przez te narzędzia może być przytłaczające , umożliwiając legalnym atakom ukrycie się wśród szumu, gdy rozprzestrzeniają się one bocznie w sieci.

Twój zespół MDR zbiera i konsoliduje dane z istniejących narzędzi bezpieczeństwa w scentralizowanym systemie, korelując informacje, aby lepiej identyfikować i reagować na podejrzane lub złośliwe zachowania oraz powiadamiając Cię tylko o rzeczach, które naprawdę zasługują na zbadanie. Takie podejście usprawnia podejmowanie decyzji, usprawnia raportowanie, poprawia pomiary i ostatecznie prowadzi do bardziej efektywnych wyników bezpieczeństwa.

Decyzja SOC: zbudować czy skorzystać z gotowych zespołów?

Czy Twoja organizacja powinna zbudować wewnętrzny SOC czy go kupić? Budowa i utrzymanie SOC od podstaw to podróż pełna przeszkód i wyzwań — od zatrzymania najlepszych talentów po skalowanie w celu zaspokojenia wzrostu biznesu. Można to jednak zrobić skutecznie, jeśli przyjmiesz właściwe podejście i zadbasz o efektywne zarządzanie operacjami.

Współpraca z dostawcą usług MDR jest o wiele prostszym i bardziej opłacalnym podejściem. Pozwala korzystać z doświadczenia SOC za ułamek kosztów stworzenia własnego zespołu. Aby uzyskać więcej informacji, zapoznaj się z pełnymi szczegółami Bitdefender MDR lub produktami z linii Bitdefender GravityZone.