Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Что нам стоит SOC построить?

Александр Дворянский, 10/12/20

Алексей Юдин, директор центра мониторинга компании “Инфосекьюрити” (ГК Софтлайн)
Александр Дворянский, директор по маркетингу компании “Инфосекьюрити” (ГК Софтлайн)

– Расскажите, пожалуйста, немного о вашей биографии. Алексей, давайте начнем с вас.

Алексей Юдин: Я закончил факультет прикладной математики в Московском государственном университете леса. После выпуска работал в различных компаниях отрасли: почти десять лет проработал в Positive Teсhnologies, где занимался развитием и созданием продуктов, после чего был техническим директором по развитию продуктов в Bi.ZONE и директором Центра кибербезопасности и защиты в "Ростелекоме". Сейчас я являюсь директором центра мониторинга и реагирования на инциденты в "Инфосекьюрити".

Александр Дворянский: Я в этой отрасли уже больше пятнадцати лет, начинал с защиты дистанционного банковского обслуживания в компании BCC. В компании "Инфосекьюрити" работаю с 2015 года. В 2018 году, когда мы стали частью группы компаний "Софтлайн", я стал курировать стратегические коммуникации: маркетинг, PR и взаимодействие с ключевыми партнерами. Однако по образованию я гуманитарий. Первое образование – Высшая школа экономики, менеджмент организаций, а второе – Финансово-юридическая академия, банковское дело. Специального ИТ- или ИБ-образования у меня нет, однако могу с уверенностью сказать, что в теме я разбираюсь.

– А как вы считаете, какими навыками должны обладать современные специалисты по информационной безопасности?

Алексей Юдин: Все зависит от специализации. Если речь о глубоко технических экспертах, у которых нет необходимости общаться непосредственно с заказчиками, то они, безусловно, должны отлично владеть Hard Skills и экспертными техническими знаниями. Если же мы говорим о специалистах, которые в процессе своей деятельности в том числе взаимодействуют с заказчиками, то им, помимо технической базы, необходимо еще иметь хороший уровень Soft Skills для правильных и грамотных коммуникаций.

– Переходя к основной теме, расскажите, при каких обстоятельствах вы пришли к решению построить собственный SOC?

Алексей Юдин: Необходимость построения собственного SOC возникла после нескольких высококритичных инцидентов, возникших в рамках нашей работы с большим финансовым холдингом. Процессы выявления инцидентов и попытки их оперативного расследования у заказчика были осложнены внутренними распорядками и регламентами холдинга. Например, не было точного понимания, к кому необходимо обращаться для блокировки учеток или изолирования узлов в сети, что серьезно отражалось на скорости реакции на серьезные инциденты.

В какой-то момент нам потребовалось собирать, обрабатывать и хранить все происходившие события в течение пяти лет. Как вы понимаете, это очень большой объем данных, требующий соответствующей инфраструктуры. Сначала мы тестировали типовые решения, присутствовавшие на рынке, но рано или поздно мы упирались в их функциональные ограничения. Причем ни одно SIEM-решение не могло справиться с таким масштабом, а если и гипотетически могло, то обходилось в огромные деньги, которые заказчик не был готов вкладывать. В дополнение к этому возникали проблемы с оперативными запросами в базу событий, когда на простой запрос, например "На какие серверы входил пользователь за три месяца?", система не могла выдать ответ в течение нескольких дней.

Также для выявления вредоносных активностей требовался сбор информации с рабочих станций и серверов, при этом часть действий в процессе должен был осуществлять администратор. Но бывают ситуации, в которых даже малейшее промедление может привести к серьезным последствиям. Поэтому в своем продукте мы решили автоматизировать этот процесс. В то время мы были одними из первых, кто активно внедрил эту технологию. Теперь это отдельный класс продуктов, который называется Endpoint Detection and Response.

Вся совокупность этих факторов окончательно убедила нас в необходимости создания собственного центра реагирования на инциденты информационной безопасности на базе технологий больших данных (Big Data). Сейчас наше решение основывается на стеке технологий Hadoop и механизме пассивного сбора событий, который в автоматическом режиме отправляет нам информацию о событиях, исключая временные затраты на проверку сетевых доступов, учетных записей и т.д.

– Какие еще подходы и технологии вы используете?

Алексей Юдин: С точки зрения технологий мы выбрали не совсем стандартный путь, отличающийся от тех, по которым обычно идут производители программных решений и поставщики сервисов. Для большей части наших компонентов мы использовали открытое ПО, так называемые Open Source решения. Мы определили два критерия: использовать то, что есть и поддерживается на рынке, не изобретая велосипед, и то, что беспроблемно встраивается в наши процессы. Основной целью было сделать удобный инструмент, который при необходимости можно масштабировать и на который мы не будем тратить ресурсы своих или сторонних разработчиков.

Особенность и сложность нашей работы состоит в интеграции всех компонентов в единую цепочку обработки, выявлении инцидентов в потоке событий и, соответственно, их расследовании. Эти задачи как раз для SOC, а не для SIEM.

– Вы используете MSSP-модель предоставления сервиса. Насколько она применима в России?

Александр Дворянский: MSSP – это модель управляемых сервисов, когда услуга предоставляется по подписке, при этом объем оказываемых сервисов заказчик может регулировать самостоятельно. Эта модель пришла к нам из-за рубежа и постепенно становится востребованной. В высокотехнологичных компаниях, например, эта технология уже входит в привычную практику, позволяя передавать на аутсорсинг большую часть своих бизнес-процессов. Со временем рынок пришел к тому, что теперь и услуги SOC стали предоставляться по модели MSSP. Это более чем удобный формат, поскольку провайдер предоставляет исключительно необходимый вам объем высокотехнологичных услуг с четко обозначенным уровнем сервисного обслуживания (SLA), не говоря об отсутствии у заказчика капитальных затрат и необходимости поиска и найма команды профессионалов. Думаю, что в ближайшее время мы увидим полноценный расцвет направления MSSP в России.

– Вы согласны с тем, что SOC – это не только технологии, но еще и люди, команда?

Алексей Юдин: SOC – это и процессы, и люди, и технологии вместе. Причем в большинстве случаев люди важнее, чем инструменты.

Александр Дворянский: SOC – это экосистема, где все работает совместно: процессы, люди и технологии.

Алексей Юдин: Самое основное, на мой взгляд, – это четко выстроенные процессы и обученная команда.

Александр Дворянский: К примеру, если в автоматическом режиме выявлен инцидент, он попадает к определенному сервис-инженеру, у которого есть четкий алгоритм и план действий: заблокировать учетную запись, вынести в карантин, сообщить заказчику. То есть выстроен процесс, когда инцидент автоматически классифицируется, а человек на него реагирует.

– В чем ключевые различия внутреннего SOC, SOC as a Serviсe и гибридного SOC?

Александр Дворянский: Если говорить простым языком, то внутренний SOC – это построение собственного полноценного центра мониторинга и реагирования на инциденты информационной безопасности у заказчика. Обычно построение собственного SOC неразлучно с огромными капитальными затратами и кадровыми вопросами, как сложностями в создании команды, так и высокими рисками потери ключевых сотрудников. Наверное, такой формат SOC могут позволить себе крупные госструктуры либо очень крупный бизнес.

SOC as a Serviсe – это подключение к уже существующему центру мониторинга и реагирования на инциденты одного из ключевых провайдеров рынка ИБ. Глобально это и есть модель управляемых сервисов, которые в большинстве случаев заказчик получает из облака. Обычно это самый простой и менее затратный вариант реализации SOC.

Гибридный SOC – это вариант, когда происходит разделение функционала и зон ответственности между провайдером и заказчиком. В этом случае, помимо подключения к SOC от провайдера, частично задействуется собственная инфраструктура заказчика. Например, на существующее у заказчика SIEM-решение накладываются процессы, регламенты, прописываются процедуры реагирования. В результате на базе этого SIEM достраиваются процессы SOC.

– Решение каких задач и какие возможности получает потребитель услуг SOC?

Алексей Юдин: Это очень зависит от заказчика, его желаний, возможностей и даже от зрелости внутренних процессов. Большая часть заказчиков, которые еще не пробовали такой сервис, но которым нужно достаточно быстро решить задачу мониторинга (причиной могут быть регуляторные или внутренние требования), настаивает просто на получении уведомлений. То есть мы подключаем инфраструктуру заказчика к своей системе, настраиваем правила выявления инцидентов, и заказчику начинают приходить уведомления об инцидентах. Роль SOC на этом заканчивается, и заказчик дальше уже сам решает, как реагировать на инцидент. Это базовый уровень сервиса, который мы оказываем.

Второй уровень – это первичное реагирование. То есть заказчику не просто поступает уведомление об инциденте на электронную почту, но и начинается обработка этого инцидента специалистом первой или второй линии, который определяет степень важности и критичности инцидента. В этом же уведомлении приходят рекомендации о том, что нужно сделать заказчику на своей стороне, чтобы либо собрать дополнительные данные для понимания критичности инцидента, либо снизить последствия инцидента. Достаточно большое количество компаний работают именно в этом режиме.

Третий уровень – действительно комплексный. Когда присутствует определенный уровень доверия к провайдеру услуг, заказчик предоставляет доступ в свою инфраструктуру для частичного управления средствами защиты, ОС, сетевым оборудованием и т.д. Это делается для того, чтобы, во-первых, снизить нагрузку на ИТ-специалистов, а во-вторых, чтобы ускорить реагирование. Но таких заказчиков пока не очень много, хотя, на наш взгляд, этот вариант сервиса самый оптимальный.

– Если компания решила, что нужен SOC, с чего следует начать?

Алексей Юдин: Сначала нужно ответить себе на вопрос: зачем? Потому что то время, когда иметь SOC было модно, уже прошло.

Подход несколько лет назад был следующим: а давайте соберем все данные, будем их хранить и они нам потом, возможно, когда-нибудь пригодятся или давайте включим 300 правил корреляции и будем реагировать на все. Но через некоторое время обязательно возникал вопрос: деньги мы потратили, а что в итоге получили?

К счастью, ситуация изменилась. Сейчас в основном все компании понимают, что SOC – это необходимость, а основные вопросы касаются окупаемости затрат на построение и эксплуатацию SOC.

А начать всегда можно с формулировки целей SOC, какой выделен бюджет, на каких решениях он будет построен, какие регуляторные требования должен закрыть, кто его будет эксплуатировать, с какими внутренними системами его нужно интегрировать, кто будет выявлять и реагировать на инциденты и в каком режиме.

– Можете ли вы рассказать о публичных внедрениях вашего решения?

Александр Дворянский: На сегодняшний день мы имеем возможность рассказать лишь о двух, но зато интересных, кейсах. Гибридную схему подключения к SOC использует государственная транспортная лизинговая компания, ПАО "ГТЛК". Проект интересен тем, что в 2017 году компания купила PT SIEM. Затем вместе с развитием компании появилась необходимость контролировать несколько разрозненных площадок, включая международные, а следовательно пришло понимание, что простого SIEM уже недостаточно. То есть нужны регламенты, методология, структурированные и отлаженные процессы реагирования на инциденты, а главное – сотрудники под эти задачи. В результате в середине 2020 года мы официально завершили подключение ПАО "ГТЛК" к центру реагирования на инциденты SOC.

И второй кейс – это подключение к нашему облачному сервису SBI Bank, одного из крупнейших японских банков, который работает в России.

– Есть ли практика обмена опытом российскими и зарубежными коллегами?

Алексей Юдин: Да, безусловно. Мы входим в международную ассоциацию FIRST, которая объединяет группы по выявлению инцидентов. Наша команда на постоянной основе обменивается информацией и опытом с иностранными коллегами. Основное направление деятельности FIRST – это участие в расследовании и реагирование на наиболее масштабные инциденты, затрагивающие не одного заказчика, а группу или даже отрасль.

Мы плотно работаем с регистраторами доменных имен и другими организациями в части блокировки подозрительных и вредоносных серверов и доменов.

На российском рынке мы также сотрудничаем с большим количеством игроков в отрасли: обмениваемся информацией об угрозах, делимся опытом расследований инцидентов, взаимодействуем по вопросам выявления новых экземпляров вредоносного ПО и другим моментам.

– Возможно ли прогнозирование угроз? От чего будем защищаться в дальнейшем?

Алексей Юдин: Каждый год ситуация достаточно сильно меняется. Но если немножко заглянуть в будущее, то одной из критичных угроз окажется вредоносное ПО, которое шифрует данные. У злоумышленников появились большие возможности монетизировать такую деятельность. И это очень серьезная проблема. Если раньше все часто заканчивалось выведением инфраструктуры из строя и, как следствие, для бизнеса это было чревато простоями и потерей времени, но не потерей данных, то сейчас ситуация изменилась. Самая основная проблема – не пропустить шифровальщика, который может украсть и зашифровать данные. Инфраструктуру восстановить можно, а вот данные чаще всего проблематично. Причем с ускорением темпов цифровизации эта проблема становится все более актуальной.

Ну а традиционные риски, в общем-то, как были, так и останутся. Это целевые атаки на топ-менеджеров или на критически важных сотрудников компании с целью опять же кражи данных или получения доступа к ресурсам компании.

Александр Дворянский: Если еще десять лет назад злоумышленники были "любителями", которым было интересно себя показать, то сейчас это полноценные группировки, хорошо финансируемые и снабжаемые. Сейчас это бизнес, криминальный бизнес.

Алексей Юдин: Стоит также учитывать и историю с коронавирусом, которая перевела большую часть компаний на работу в удаленном формате. При этом мало кто знает, как правильно сохранить контроль над данными. Если раньше все находилось в закрытом периметре, можно было поставить антивирус, межсетевой экран и спать спокойно. Сейчас же компании сильно задумались над тем, как это безопасно организовать и контролировать.

– Видите ли вы перспективы продвижения российских решений и сервисов на зарубежные рынки?

Алексей Юдин: Перспективы движения на зарубежные рынки есть всегда, вопрос – на какие. Потому что есть достаточно зрелые рынки Америки и Европы, на которых уже давно и успешно работает большое количество компаний. Есть рынки Азии, Латинской Америки и других развивающихся стран, где уровень зрелости в части информационной безопасности отстает от лидирующих рынков приблизительно на пять лет. Сейчас до них тоже доходит необходимость создания центров SOC.

– Но вы уже имеете представление, на какие рынки выходить в ближайшем будущем?

Алексей Юдин: Мы работаем в направлении Индии и других стран Азии и в части заказчиков, и в части технологических партнеров – мы идем туда вместе с решениями от Microsoft.

Но есть большая проблема – трансграничная передача данных. Зарубежные заказчики не доверяют российским компаниям, особенно если инфраструктура и данные заказчиков находятся в дата-центрах России. К счастью, есть страны, которые относятся к этому более спокойно, например Филиппины, Индонезия. Там нет предубеждений насчет того, где будут храниться данные, для них самое важное – это функциональность сервиса, его качество и стоимость.

– Какие у вас планы развития SOC?

Алексей Юдин: Помимо развития основного направления сервиса в России, есть планы по развитию сервиса в Индии и созданию полноценного деливери-центра не только для Индии, но и для стран Европы. Возможно создание аналогичных центров в странах Латинской Америки по похожей технологии.

Отдельно мы также выделяем направление по созданию SOC на базе разработанного нами технологического стека, мы готовы начать активную работу по этому направлению уже в следующем году. Дело в том, что на российском рынке есть решения класса SIEM, IRP, сканеры безопасности и другие инструменты, но готового комплекса решений для построения SOC мы, к сожалению, на нашем рынке не видим. Получается, нужно покупать множество продуктов, собирать из них мозаику, нанимать архитектора, который будет этот комплекс интегрировать. А квалифицированных архитекторов на рынке можно буквально пересчитать по пальцам, их очень мало. Особенно остро этот вопрос стоит для регионов с их традиционно более низким уровнем зарплат по сравнению с Москвой.

Александр Дворянский: Я бы хотел добавить еще один важный момент. Мы обсудили Латинскую Америку, обсудили Европу, но в последнее время достаточно большой интерес к вопросам кибербезопасности проявляют и страны СНГ. У нас уже есть несколько совместных проектов, поскольку менталитет, уровень зрелости и характер угроз в России и странах СНГ достаточно схожи.

По сути, технологии у нас плюс-минус одни и те же. Беларусь, например, очень сильно похожа на Россию инфраструктурой и технологиями, и в этот регион мы тоже планируем продвигаться.

– Нельзя не задать вопрос по поводу изменения бизнеса из-за пандемии. Как ваша компания отреагировала на эти изменения?

Александр Дворянский: Понятно, что мир стал другим. Но у нас в этой ситуации не возникло никаких проблем, потому что технология удаленной работы нами давно использовалась. И поэтому увеличить количество сотрудников, которые будут работать удаленно, для нас не составило труда, к этому были готовы и технологии, и процессы. Мы понимаем, как нужно работать, как мониторить сотрудников и что необходимо для их мотивации и решения возникающих вопросов.

Алексей Юдин: Мы достаточно быстро перестроились на работу в удаленном режиме с использованием современных технологий и гибких практик, перешли на механизмы онлайн-митингов и голосовых чатов, с ежедневной синхронизацией команд.

Александр Дворянский: Более того, мы старались помочь как можно большему числу других компаний, которые оказались не готовыми к такому переходу с точки зрения защиты их подключения, защиты каналов, контроля эффективности работы пользователей.

Темы:ПерсоныSOCЖурнал "Информационная безопасность" №5, 2020

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...