Информационная безопасность
Security at Scale
WannaCry 2017. NHS (National Health Service, UK). 80 000 устройств. Больницы отменяли операции. Пациентов перенаправляли в другие учреждения. Причина: нет IR playbook, нет изоляции сети, нет backup политики. Организации с зрелым SOC и playbooks: isolated infected системы за минуты. NHS recovery: недели.
- WannaCry NHS 2017: 80 000 устройств, операции отменены. Нет playbook = недели recovery. С playbook = минуты isolation
- IBM Security 2023: среднее время обнаружения без SOC = 80 дней. С зрелым SOC = 3 дня. Разница в ущербе: ~$1.5M
- Cloudflare Security: обрабатывает триллионы DNS запросов в день через автоматизированные threat response системы без L1 alert fatigue
SOC: Security Operations Center
Google имеет один из крупнейших в мире SOC - Project Zero плюс внутренний security operations. Meta SOC обрабатывает миллиарды событий в день. 2023 год. Mandiant (Google) отчёт: среднее время обнаружения breach 16 дней. Организации с зрелым SOC: 3 дня. Без SOC: 80+ дней. SOC - не просто технология, это организационная структура: L1 аналитики (triaging), L2 (расследование), L3 (threat hunting), инженеры (правила, инфраструктура).
MSSP (Managed Security Service Provider) - аутсорсинг SOC. Подходит для малого/среднего бизнеса: Secureworks, Arctic Wolf, CrowdStrike Falcon Complete. Стоимость in-house SOC 24x7: 6+ аналитиков x $80-120K = $600K+/год без учёта технологий. MSSP: $5-20K/месяц. Enterprise часто гибрид: MSSP для L1, in-house для L2/L3.
SOC L1 аналитик получает SIEM алерт: failed login x5 для admin аккаунта. Следующий шаг?
Security Automation: SOAR и Playbooks
2023 год. IBM Security: средний SOC получает 1 000 000+ security events в день. L1 аналитик может обработать 50-100 алертов в день. Автоматизация - единственный путь к масштабированию. SOAR (Security Orchestration, Automation and Response): автоматические playbooks обрабатывают 80-90% L1 работы. Slack/PagerDuty интеграция. ServiceNow для ticketing. Человек - для принятия решений, автоматика - для сбора данных и рутинных действий.
Palo Alto XSOAR, Splunk SOAR (ex-Phantom), Microsoft Sentinel Playbooks (Logic Apps), Google Chronicle SOAR - enterprise SOAR платформы. n8n или Tines - более доступные альтернативы для небольших команд. Playbooks в code (YAML/Python) -> version control -> CI/CD для security automation.
SOAR автоматически quarantine emails с VT score > 80. Риск false positive = 5%. 10 000 emails/день. Сколько легитимных писем заблокировано в день?
Security Data Lake: анализ в масштабе
Cloudflare обрабатывает 3.5 триллиона DNS запросов в день. Google Chronicle (SIEM) был создан именно для такого объёма - petabyte-scale security analytics. Традиционный SIEM (Splunk): $150K+/год за хранение TB данных. Security Data Lake: хранить всё в S3/GCS дёшево ($23/TB/месяц), анализировать по требованию. Snowflake Cybersecurity, Databricks Security Analytics - аналитика поверх data lake.
OCSF (Open Cybersecurity Schema Framework): стандарт нормализации security событий от Amazon, Splunk, IBM и других. Решает проблему vendor-specific форматов: AWS CloudTrail, Azure Monitor, GCP Logging имеют разные схемы. OCSF = общий язык для security data lake. Athena/Databricks запрос одинаков для разных cloud провайдеров при использовании OCSF.
Splunk хранит 1TB/день логов. Цена $150K/год. Необходимо хранить 2 года для compliance. Как оптимизировать?
Response Playbooks: стандартизация реагирования
2017 год. WannaCry. Организации без IR playbooks тратили дни на решение базовых вопросов: изолировать или не изолировать? Кому сообщать? Как восстановить? Организации с playbooks: решения принимались в первые минуты по заранее утверждённым процедурам. CERT/CC, CISA публикуют готовые playbook шаблоны. Playbook - это не скрипт который всё делает, это decision tree для людей в стрессовой ситуации.
Tabletop Exercise (TTX): имитация инцидента за столом переговоров без реального взлома. CISO, Legal, IR Team, PR разыгрывают сценарий по playbook. Находит пробелы: 'кто принимает решение о выключении payment сервера?' Проводить 2-4 раза в год. FEMA G-2300 - методология для government TTX, применима и к корпоративному IR.
SOC - это дорогая опция только для крупного бизнеса
SOC может быть реализован разными способами в зависимости от бюджета: MSSP для малого бизнеса ($5-20K/мес), hybrid для среднего, full in-house для enterprise. Отсутствие SOC = MTTD 80+ дней
Mandiant 2023: без SOC среднее время обнаружения breach 80 дней. За 80 дней атакующие в большинстве случаев выполняют свою цель (экфильтрация, ransomware). Стоимость одного breach ($4.45M в среднем, IBM 2023) многократно превышает стоимость MSSP за год.
Ransomware зашифровал 70% файлов. Backup 48-часовой давности доступен. Злоумышленники требуют $1M. Что рекомендует playbook?
Итоги
- SOC: L1 triage -> L2 investigation -> L3 threat hunting -> Engineering. KPI: MTTD < 1ч, MTTR < 4ч
- SOAR Playbooks: автоматизируют 80-90% L1 работы. Phishing -> enrich -> risk score -> auto-response
- Security Data Lake: S3 + Parquet + Athena. 200x дешевле Splunk для cold data. Hot/warm/cold tiering
- Response Playbooks: decision trees для стрессовых ситуаций. Tabletop Exercise 2-4 раза в год для тренировки
Связанные темы
Security at Scale реализует архитектурные принципы и инструменты в enterprise контексте:
- SIEM и мониторинг — SIEM - центральный инструмент SOC, основа для Data Lake и SOAR
- Security Architecture Design — Security at Scale реализует принципы Defense in Depth и Zero Trust в enterprise
- Security на собеседовании — SOC, SOAR, Data Lake - типичные вопросы FAANG system design интервью
Вопросы для размышления
- Почему hybrid подход (SIEM + Data Lake) лучше чем только SIEM для хранения 2+ лет данных?
- Как SOAR automation изменяет роль L1 аналитика SOC?
- Что должен содержать ransomware playbook чтобы быть полезным в первые 15 минут инцидента?