Lepszy SOC własnej roboty czy kupny?

Wstęp

Kogo by nie zapytać, to powie, że SOC własnej roboty jest dużo lepszy niż ten ze sklepu. W końcu własny smakuje lepiej. Można go zrobić, z czego się chce, jak się chce, dosłodzić, ba nawet przesłodzić, jednym słowem po swojemu. Dużym plusem jest to, że wiemy dokładnie, z czego nasz SOC został zrobiony. Idealnie byłoby mieć swoje owoce, takie no wiecie, samodzielnie wyhodowane, niepryskane. Cholera, ale te ekologiczne, to jednak kosztują i to bardzo, bardzo dużo.

Inne opcja? SOC ze sklepu? Pytanie brzmi: czy jest gorszy, czy lepszy? Zapewne jest tańszy lub takim się wydaje. Koszty produkcji SOC’u rozłożone są na więcej klientów. Bardziej filozoficzne pytanie, jakie można postawić to: ile w tym SOC’u jest SOC’u? Ile tam marketingu, a ile prawdziwego SOC’u? Minus jest więc taki, że nie do końca wiadomo, co właściwie pijemy i czy ostatecznie nie odbije się nam solidną czkawką?

Efekt NIS2 i UKSC

A teraz trochę poważniej, ale tylko trochę. Analogia do soku jest nieprzypadkowa. Nie wiem jak Wam, ale dla mnie budowanie własnego Security Operations Center vs zakup usługi od dostawcy w modelu Managed Security Service Provider (MSSP) jest właśnie takim wyborem. Mówię o tym, bo już niedługo wejdzie w życie implementacja dyrektywy NIS2 w postaci Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która sporo namiesza, ale myślę, że ostatecznie wyjdzie to wszystkim na dobre.

Wiele opracowań powstało na temat NIS2UKSC, tak więc nie ma sensu się powtarzać. Co jest istotne, to firmy objęte UKSC będą miały obowiązek wdrożenia mechanizmów zapewniających ciągłe monitorowanie systemów i sieci w zakresie, chociażby: wykrywania anomalii sieciowych, analizy zagrożeń w czasie rzeczywistym. Co to w praktyce oznacza? Firmy będą zmuszone w tej czy innej formie uruchomić SOC – mniejsze, większe, własne czy w modelu MSSP. Swoją drogą dla firm świadczących usługi SOC, to może być prawdziwe „socobranie” – pojawi się bowiem spory popyt na te usługi.

Trudna decyzja

Jak więc widzisz, firmy, które muszą dostosować się do NIS2UKSC, a szacuje się, że jest ich około 8 tysięcy, stają przed bardzo trudną decyzją. Budować własny SOC – drogo czy kupić coś na rynku – w sumie to nie wiadomo czy drogo, czy nie? Każda z opcji ma mocne i słabe strony jak to w życiu. Każda opcja niesie ze sobą jakieś konsekwencje. Z każdą związane jest poniesienie nakładów finansowych. Koszty to jedno. Naturalnie są ważne. Raczej ze słabym budżetem żaden CISO czy inny C odpowiedzialny za security daleko nie zajedzie. Załóżmy więc, że finanse nie stanowią dla nas większego problemu, tak żeby ułatwić analizę przypadku, aczkolwiek nie jest tak, że worek z kasą jest bez dna. Przeanalizujmy więc dwie opcje: własny SOC vs MSSP. Którą opcję wybierzecie, ostatecznie pozostawiam Wam.

Własny SOC

Decydując się na własny SOC, będziemy musieli zmierzyć się z pewnymi wyzwaniami, których nie doświadczylibyśmy w takiej samej skali w wariancie MSSP i są to:

  • brak na rynku zmotywowanych pracowników do pracy w SOC,
  • zapewnienie ciągłego monitoringu,
  • rotacja pracowników,
  • wypalenie zawodowe pracowników.

Nie są to wszystkie kwestie, a raczej te, które uważam za istotne. Przeanalizujmy je zatem po kolei. Jeszcze jedna uwaga. Celem tego artykułu nie jest w żaden sposób zniechęcenie Was do budowy własnego SOC, raczej wywołanie refleksji. Żeby nie było. Wariant MSSP, wracając do analogii soku ze sklepu, też nie jest idealny, ale o tym później.

Brak na rynku zmotywowanych pracowników

Panuje przekonanie, że na rynku pracy brakuje specjalistów. Wspominałem o tym problemie  przy okazji wpisu o trwałości zespołu cyberbezpieczeństwa. Dla przypomnienia połowa badanych firm w Polsce boryka się z problemem pozyskania i utrzymania pracowników. Uważam, że właśnie utrzymanie pracownika w dłuższym okresie jest sednem problemu, a nie liczba pracowników na rynku. Specjalistów w obszarze security operations generalnie przybywa. Ja mam przynajmniej takie wrażenie. Może nie pojawiają się jak grzyby po deszczu, ale jest ich coraz więcej. Sądzę więc, że wyzwaniem jest raczej znalezienie takich pracowników, którzy będą zmotywowani wewnętrznie do pracy w SOC ze względu na charakter tej pracy, a nie jest ona łatwa.

Praca analityka SOC

Zapewne wiecie, że jednym z podstawowych zadań analityka SOC jest reagowanie na wszelkiego rodzaju alerty. Co w przypadku gdy tych alertów, dzień w dzień jest spora liczba, a ostatecznie większość z nich okazuje się false positives – fałszywe detekcje? To jest właśnie rzeczywistość SOC, zwłaszcza przy zbyt wyśrubowanych regułach detekcji. Skutek? W przeciągu relatywnie krótkiego czasu może nastąpić znudzenie pracą, a przy braku odpowiednich działań ochronnych ze strony pracodawcy, w dalszej konsekwencji wypalenie zawodowe i odejście z pracy. Warto również pamiętać, że praca w SOC jest obciążająca psychicznie, zwłaszcza w przypadku poważnych incydentów. Dodatkowo praca na zmiany, typowa dla SOC, nie jest dla każdego. Nie każda firma może sobie pozwolić na model „follow the sun” (czyli globalne monitorowanie 24/7).

Oczywiście od każdej reguły jest wyjątek. Tak, wiem. Mogą się zdarzyć i zdarzają się osoby, którym powyższe kwestie kompletnie nie przeszkadzają. I to jest super. Zajdź te osoby i zatrudnij je do SOC, a nie będziesz żałować. Mała dygresja. Warto byłoby, przy okazji zatrudnienia pracowników do SOC, badać ich predyspozycje osobiste do pracy w SOC. Tu polecam skorzystanie z usług profesjonalnych psychologów biznesu, którzy mogą wesprzeć Was w takiej ocenie.

Jak przeciwdziałać ?

  • dbaj o dobrostan pracowników SOC – ich zdrowie psychiczne i fizyczne jest kluczowe,
  • automatyzuj powtarzalne czynności i angażuj pracowników w bardziej ambitne zadania,
  • usprawniaj reguły detekcji, aby zminimalizować liczbę fałszywych detekcji. 

Ciągły monitoring

Dyrektywa NIS2 wymusza na organizacjach, by te objęły ciągłym nadzorem systemy i sieci, co oznacza konieczność pracy zmianowej. Nie ważne w tym momencie czy przyjmiemy klasyczny podział na pierwszą, drugą czy trzecią linię wsparcia, czy inny model i tak będziemy potrzebować odpowiednią liczbą personelu, aby zapewnić nieprzerwaną ochronę. Tu wracamy do pierwszego punktu, czyli dostępności specjalistów na rynku pracy, bo co by nie robić i jak robić i tak na końcu potrzebujesz kogoś, kto będzie w stanie zareagować na alerty.

To, co z pewnością może nam pomóc, zgodnie z filozofią SOC nowej generacji, tak wyczytałem gdzieś w Internecie, chodzi o nazwę, a nie samą koncepcję, jest automatyzacja procesów SOC. Potencjalnie może to pozwolić na zmniejszenie liczby analityków SOC. Wymaga to jednak bardzo dobrego zdefiniowania procesów no i oczywiście możliwości automatyzacji samych procesów. Z kolei będziesz potrzebował dobrego inżyniera od automatyzacji.

Rotacja pracowników

Z punktu widzenia funkcjonowania SOC rotacja pracowników stanowi istotny problem i to z kilku powodów:

  • wdrożenie nowego pracownika to koszt dla organizacji.
  • osiągniecie pełnej gotowości do działania, wymaga czasu i to często bardzo dużo,
  • w okresie nauki nowego pracownika może dochodzić do większej liczby popełnianych przez niego błędów.

Należałoby się zastanowić, dlaczego pracownicy się rotują? Czy to wypalenie zawodowe, chęć rozwoju, kiepska atmosfera w zespole, lepsze pieniądze w innej firmie, a może wszystko po trochu, albo może coś innego? Uważam, że odpowiedź możecie znaleźć w  lekturze moich ostatnich wpisów – trwały zespół cyberbezpieczeństwa czy negatywne zjawiska grupowe w zespole cyberbezpieczeństwa.

Wypalenie zawodowe pracowników

Zjawisko to niestety jest bardzo powszechne i może dotyczyć każdego rodzaju pracy. Niestety praca w SOC sprzyja wypaleniu zawodowemu. Jest kilka czynników, o których warto wspomnieć:

  • Przeciążenie pracą – zbyt duża liczba alertów do obsłużenia, funkcjonowanie w stanie permanentnej niepewności z uwagi na niewystarczającą ilość informacji wymaganych do podjęcia decyzji,
  • Brak kontroli – przestrzeganie procedur może budować w pracownikach poczucie bezrefleksyjnego wykonywania poleceń, na zasadzie rób zgodnie z procedurą i nie dyskutuj. Ma to miejsce zwłaszcza, gdy na przykład przełożony(a) nie liczy się ze zdaniem pracownika. Choć to o czym właśnie napisałem jest samo w sobie patologią.
  • Monotonia w pracy – wiele czynności z czasem jest opanowywanych w stopniu pozwalającym wykonywać je prawie automatycznie, co może wywołać poczucie monotonii.
  • Długotrwały stres – tzw. cichy zabójca. Praca w SOC, zwłaszcza w branżach o podwyższonym ryzyku: sektor finansowy, medyczny, może wywoływać u pracowników SOC długotrwały stres. Stresorów jest długa lista. Oto niektóre z nich:
    • toksyczne relacje w pracy,
    • konieczność podejmowania trudnych decyzji,
    • brak odpowiedniej liczby godzin snu, przemęczenie
    • konieczność nadążenia za nowinkami technologicznymi,
    • konieczność ciągłego szkolenia i podnoszenia swoich kompetencji

Jak przeciwdziałać ?

  • dbaj o optymalizację liczby alertów i wdrażaj automatyzację tam, gdzie jest to możliwe.
  • twórz bardziej zróżnicowane i rozwijające zadania dla pracowników,
  • wspieraj zespół w radzeniu sobie ze stresem poprzez zwykłą rozmowę, zapewnij odpowiednie szkolenia w obszarze radzenia sobie ze stresem,
  • jeśli nawet potrzeba skieruj pracownika do psychologa.

MSSP

No dobrze. Model MSSP staje się coraz bardziej popularnym rozwiązaniem w kontekście wdrażania SOC, zwłaszcza w świetle wymogów wynikających z dyrektywy NIS2 i Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wybór MSSP oznacza outsourcing odpowiedzialności za bezpieczeństwo operacyjne na zewnętrznych dostawców, którzy oferują usługi monitorowania, detekcji i reakcji na zagrożenia w trybie 24/7. Dla firm, które nie mają zasobów lub doświadczenia w budowie i utrzymaniu własnego SOC, MSSP stanowi atrakcyjną opcję, pozwalającą na szybkie wdrożenie systemu ochrony.

Zalety

Jest dużo zalet tego modelu. Praktycznie pozbywamy się problemów, o których wspomniałem wcześniej. Wszystko staje się teraz odpowiedzialnością dostawcy. To nie jest tak, że tych problemów nie ma. Po prostu kupujemy sobie trochę więcej spokoju. Dla firmy korzystającej z MSSP oznacza to odciążenie wewnętrznych zasobów i większy spokój w kwestii ciągłości działań biznesowych.

Wady

Jeśli chodzi o wady, to tracimy częściową kontrolę nad operacjami SOC. To dostawca decyduje o wielu aspektach związanych z codziennym funkcjonowaniem SOC – od ustawień systemów detekcji, przez priorytetyzację zagrożeń, po podejmowane decyzje operacyjne. Co więcej, firmy korzystające z MSSP mogą nie mieć pełnej wiedzy na temat tego, jak efektywnie świadczona jest usługa i czy rzeczywiście odpowiada ona ich oczekiwaniom – co prowadzi do obaw, czy sok dostarczany przez MSSP faktycznie zawiera tyle „soku”, ile firma potrzebuje, a ile w nim jest jedynie marketingu, czyli mowa o poziomie świadczonej usługi.

Wyzwania

W przypadku modelu MSSP firma musi zaufać dostawcy, że zapewni on odpowiednią jakość usług i spełni wszystkie wymagania bezpieczeństwa, na które firma sama nie ma już bezpośredniego wpływu. Brak pełnej kontroli nad operacjami SOC oraz konieczność polegania na raportach i wskaźnikach dostarczanych przez dostawcę może budzić niepewność. Jak w przypadku wcześniej przytoczonej analogii z sokiem – ile w usługach MSSP jest rzeczywistej ochrony, a ile marketingowej narracji? Czy SOC dostarczany przez MSSP rzeczywiście działa tak efektywnie, jak się zakłada, czy jest to tylko „opakowanie”, które na pierwszy rzut oka wydaje się odpowiednie, ale przy bliższej analizie może okazać się mniej skuteczne?

Ważna uwaga na koniec

Na koniec należy pamiętać, że nawet przy tym modelu potrzebne są osoby po stronie organizacji, które:

  • będą w stałym dialogu z MSSP, by kontrolować jakość świadczonej usługi,
  • będą odpowiadały na eskalacje zgłaszane przez MSSP,
  • będą w stanie jak równy z równym wymieniać kwestie techniczne,
  • będą obsługiwały wszystkie pozostałe incydenty, których nie obsłuży MSSP, bo najzwyczajniej w świecie, będą one poza zakresem świadczonej usługi.

Podsumowanie

Decyzja o wyborze między budową własnego SOC a skorzystaniem z modelu MSSP to wyzwanie, które wymaga dokładnego rozważenia wielu czynników. Własny SOC daje pełną kontrolę nad operacjami, ale wiąże się z dużymi kosztami, problemami kadrowymi oraz ryzykiem rotacji i wypalenia zawodowego pracowników. Z kolei model MSSP, choć oferuje elastyczność, szybsze wdrożenie i odciążenie firmy od wielu trudności operacyjnych, wymaga oddania częściowej kontroli w ręce zewnętrznego dostawcy. Kluczowe jest znalezienie równowagi między potrzebą bezpieczeństwa a zasobami, jakimi dysponuje firma. Wybór odpowiedniego modelu SOC, czy to własny, czy zarządzany przez MSSP, powinien być oparty na dokładnej analizie, uwzględniając specyfikę organizacji, jej wymagania oraz długoterminowe cele w zakresie cyberbezpieczeństwa.

Jeśli podobał Wam  się ten wpis, zostawcie komentarz, podzielcie się swoją opinią, udostępnijcie go innym lub napiszcie do mnie na adres marcin.sikorski@ctrust.me. Jestem ciekawy jakie Wy macie spostrzeżenia. Zachęcam również do współpracy.

Related Posts: