Comments 7
Статья понравилась, спасибо :-)
Небольшой вопрос — вы ранжируете инциденты только по 2-м уровням или это просто для примера?
Жду следующих выпусков!
Небольшой вопрос — вы ранжируете инциденты только по 2-м уровням или это просто для примера?
Жду следующих выпусков!
Спасибо за комментарий.
Внутренняя приоретизация инцидентов у нас ведется от 0 до 10, для каждого свои параметры SLM. Внешняя ведется по трем уровням: высокий, средний и низкий. По нашему опыту, это наиболее комфортная схема для клиентов.
Следующий выпуск планируем в течении двух недель, следите за нашим блогом :)
Внутренняя приоретизация инцидентов у нас ведется от 0 до 10, для каждого свои параметры SLM. Внешняя ведется по трем уровням: высокий, средний и низкий. По нашему опыту, это наиболее комфортная схема для клиентов.
Следующий выпуск планируем в течении двух недель, следите за нашим блогом :)
Спасибо за статью, ждем продолжения.
Разрешите задать пару вопросов:
1. На чей опыт опирались при построении SOC и формировании структуры команды или строили исходя из своего видения и практического понимания, что должно быть именно так?
2. Каков уровень доверия со стороны клиентов аутсорсинговому SOC?
3. Подписываются какие-либо документы сотруднками SOC о не разглашении информации? Возможно, раз в какой-то период проходят проверку на полиграфе? Может отчасти надуманно, основное, что хочется понять, какие еще требования предъявляются к кандидатам, помимо технической компетенции?
4. Кто послужил драйвером появления коммерческого SOC в Jet? «Жирный» клиент, который захотел сервис и готов был платить или все же сначала строили, потом ходили по рынку? Расскажите об этом немного поподробнее.
5. Сталкиваетесь с ситуациями, когда дежурный инженер работает 24x7, а клиент нет, при этом события происходят глубокой ночью? Как в таких случаях происходит реагирование на инциденты?
Разрешите задать пару вопросов:
1. На чей опыт опирались при построении SOC и формировании структуры команды или строили исходя из своего видения и практического понимания, что должно быть именно так?
2. Каков уровень доверия со стороны клиентов аутсорсинговому SOC?
3. Подписываются какие-либо документы сотруднками SOC о не разглашении информации? Возможно, раз в какой-то период проходят проверку на полиграфе? Может отчасти надуманно, основное, что хочется понять, какие еще требования предъявляются к кандидатам, помимо технической компетенции?
4. Кто послужил драйвером появления коммерческого SOC в Jet? «Жирный» клиент, который захотел сервис и готов был платить или все же сначала строили, потом ходили по рынку? Расскажите об этом немного поподробнее.
5. Сталкиваетесь с ситуациями, когда дежурный инженер работает 24x7, а клиент нет, при этом события происходят глубокой ночью? Как в таких случаях происходит реагирование на инциденты?
Отвечу по порядку.
1. Я бы сказал, что оба ответа верны. Естественно, опыт западных SOC мы учитывали, но в итоге постарались построить нечто свое, адаптированное под российскую специфику. И «шлифовка» текущего сервиса не прекращается ни на секунду.
2. Как ни банально, но очень разный. Одни клиенты готовы сотрудничать с нами в рамках кейсов инфраструктурной безопасности или задач compliance, с другими мы выстраиваем модель по контролю инцидентов в бизнес-системах и выявлении нарушений в бизнес-процессах и поиску внутреннего мошенничества. К тому же своим клиентам мы с радостью устраиваем экскурсии: как в ЦОД, так и в сам центр мониторинга и реагирования. Возможность лично увидеть команду, которая тебя обслуживает, снимает большой слой недоверия.
3. Безусловно подписываются. Способы контроля можно применять разные, и я, к сожалению, не готов освещать эту тему в деталях. Вопрос подбора, обучения и контроля персонала очень тонкий и объемный, по объему тянет на отдельную статью. Возможно, через какое-то время буду готов об этом написать.
4. Одного специального клиента не было. Было общее ощущение, что рынок к этому готов. Если еще два-три года назад при упоминании терминов «аутсорсинг ИБ» клиенты демонстрировали явное неприятие этой идеи, то сейчас как минимум обсуждать тематику готовы многие. И спрос рынка и наших клиентов в том числе и породил необходимость запуска услуги.
Можно отметить, что западные MSS получили свой бурный рост примерно 4-5 лет назад. Теперь востребованность тематики дошла и до России.
5. В этом и смысл нашего сервиса. Если у клиентов есть свой 24*7, его потребность в наших услугах существенно ниже.
Для этого с клиентов на старте согласовывается профиль оповещения: какие инциденты готовы ждать до утра и по ним можно отправить почтовое уведомление, а по каким необходимо будить специалистов ASAP в не зависимости от дня недели и времени суток.
Возможен и второй вариант — когда клиент доверяет нам управление своими активными средствами защиты и тогда предотвращение/блокирование инцидента мы можем провести в режиме единого окна — команда разбора инцидентов передает информацию команде администрирования.
1. Я бы сказал, что оба ответа верны. Естественно, опыт западных SOC мы учитывали, но в итоге постарались построить нечто свое, адаптированное под российскую специфику. И «шлифовка» текущего сервиса не прекращается ни на секунду.
2. Как ни банально, но очень разный. Одни клиенты готовы сотрудничать с нами в рамках кейсов инфраструктурной безопасности или задач compliance, с другими мы выстраиваем модель по контролю инцидентов в бизнес-системах и выявлении нарушений в бизнес-процессах и поиску внутреннего мошенничества. К тому же своим клиентам мы с радостью устраиваем экскурсии: как в ЦОД, так и в сам центр мониторинга и реагирования. Возможность лично увидеть команду, которая тебя обслуживает, снимает большой слой недоверия.
3. Безусловно подписываются. Способы контроля можно применять разные, и я, к сожалению, не готов освещать эту тему в деталях. Вопрос подбора, обучения и контроля персонала очень тонкий и объемный, по объему тянет на отдельную статью. Возможно, через какое-то время буду готов об этом написать.
4. Одного специального клиента не было. Было общее ощущение, что рынок к этому готов. Если еще два-три года назад при упоминании терминов «аутсорсинг ИБ» клиенты демонстрировали явное неприятие этой идеи, то сейчас как минимум обсуждать тематику готовы многие. И спрос рынка и наших клиентов в том числе и породил необходимость запуска услуги.
Можно отметить, что западные MSS получили свой бурный рост примерно 4-5 лет назад. Теперь востребованность тематики дошла и до России.
5. В этом и смысл нашего сервиса. Если у клиентов есть свой 24*7, его потребность в наших услугах существенно ниже.
Для этого с клиентов на старте согласовывается профиль оповещения: какие инциденты готовы ждать до утра и по ним можно отправить почтовое уведомление, а по каким необходимо будить специалистов ASAP в не зависимости от дня недели и времени суток.
Возможен и второй вариант — когда клиент доверяет нам управление своими активными средствами защиты и тогда предотвращение/блокирование инцидента мы можем провести в режиме единого окна — команда разбора инцидентов передает информацию команде администрирования.
Не подскажете, где можно узнать поподробней о том, что должно выполняться при отнесении к тому или иному уровню SOMM именно в контекте SOC-ов? Т.е. чтобы были не общие формулировки «Level 2 = Выполнение нормативных и бизнес требований», а конкретные показатели — к чему стремиться; что такое ключевые составляющие SOC и т.п.
Добрый день.
Задержался с ответом, извиняюсь. У HP есть сервис по оценке зрелости существующего SOC, в рамках него они проводят очень детальный аудит — www8.hp.com/h20195/v2/GetPDF.aspx%2F4AA4-4144ENN.pdf
Полного перечня показателей SOMM и методологии/формул оценки я в открытом доступе не видел. Готов поделиться личными знаниями и подходами, но лучше за рамками общих комментариев.
Задержался с ответом, извиняюсь. У HP есть сервис по оценке зрелости существующего SOC, в рамках него они проводят очень детальный аудит — www8.hp.com/h20195/v2/GetPDF.aspx%2F4AA4-4144ENN.pdf
Полного перечня показателей SOMM и методологии/формул оценки я в открытом доступе не видел. Готов поделиться личными знаниями и подходами, но лучше за рамками общих комментариев.
А почему остановили свой выбор на Arcsight? Среди каких сием-систем выбирали? Расскажите, пожалуйста, что не понравилось (не хватало) в той же QRadar или сием от макафи? Вопрос стоимости был не во главе (или арксайт по совокупности не намного дороже других сием)?
Sign up to leave a comment.
JSOC: опыт молодого российского MSSP