Коммерческие SOC в 2023 году: мотивация и развитие
Редакция журнала "Информационная безопасность", 11/12/23
Какая мотивация приводит заказчиков в SOC? Где должна проходить граница между SOC и заказчиком? На эти и другие вопросы редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.
Эксперты:
Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Валерия Суворова, заместитель руководителя технической дирекции по продвижению, “Инфосистемы Джет”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE
Какая мотивация приводит заказчиков к использованию услуг коммерческого SOC?
Теймур Хеирхабаров, BI.ZONE:
Осознание того, что только превентивных мер защиты сегодня уже недостаточно. Важно еще быть готовыми к своевременному выявлению угроз, от которых превентивные решения безопасности защитить не смогли. Если заказчик четко взвешивает свои возможности и понимает, что построение собственного SOC потребует большого количества времени, усилий и денежных затрат, ему гораздо проще и быстрее здесь и сейчас закрыть потребность коммерческим SOC.
Максим Акимов, Innostage CyberART:
- Осознанная потребность. С организациями-заказчиками, которые сами созрели до решения усилить кибербезопасность, у нас выстраивается наиболее продуктивная работа. Ведь клиенты понимают, что сервисы SOC минимизируют бизнес-риски и что без обеспечения киберустойчивости дальнейшее развитие компании под угрозой. Таких заказчиков на рынке около 30%.
- Выполнение обязательных регуляторных требований и нормативных правовых актов, прежде всего 187-ФЗ, 152-ФЗ и Указа Президента РФ № 250. Сюда же относятся отраслевые регламенты, например для финансовой сферы. Доля заказчиков с такой мотивацией – 60%.
- Следование тренду. Еще у 10% заказчиков техническая потребность в SOC не выражена. Они приходят с запросом на сервисы, потому что увидели их работу у партнеров или конкурентов. Это самая слабая мотивация, которой желательно дозреть до первого варианта.
Андрей Дугин, МТС RED:
Эффективность мониторинга и выявления киберугроз зависит от объема экспертизы аналитиков. Если компании нужен быстрый результат и она не готова постепенно наращивать собственную экспертизу, коммерческий SOC – это оптимальный вариант. Для сравнения создание собственного SOC займет более одного года, в то время как подключение SOC от MSSP-провайдера – два месяца с учетом всех оформлений.
При этом многие компании понимают, что им необходимо иметь возможность блокировать кибератаки на ранних этапах, а для этого требуется круглосуточный мониторинг. Это ставит вопрос о найме большого числа опытных специалистов, что в текущей кадровой ситуации – очень сложная задача. Людей нужной квалификации трудно найти, легко потерять и невозможно забыть. Их нужно не только найти, но и мотивировать интересной высокооплачиваемой работой в профессиональной команде.
Валерия Суворова, Инфосистемы Джет:
К использованию услуг коммерческого SOC приходят по разным причинам. Иногда заказчиков приводит негативный опыт серьезных инцидентов, которые не были обнаружены своевременно. Часто подключение к центру мониторинга вызвано потребностью бизнеса в повышении уровня реальной защищенности при отсутствии собственных ресурсов и экспертизы для строительства in-house SOC. Нередко компании используют услуги коммерческого SOC на первом этапе создания собственного центра мониторинга, а далее постепенно наращивают экспертизу и переводят все больше функций в зону ответственности своей команды. Что касается мотивации, то преимуществом коммерческого SOC является финансовая экономия и возможность подключить сервис быстрее, а также цель построить in-house SOC.
Даниил Вылегжанин, RuSIEM:
Коммерческие SOC обладают высококвалифицированными специалистами, обученными и опытными в области кибербезопасности. Заказчики могут использовать их экспертизу и знания для разработки и реализации эффективных стратегий безопасности, сокращения времени простоя и минимизации ущерба за счет оперативного реагирования на инциденты. Использование услуг коммерческих SOC позволяет заказчикам снизить расходы, ведь владение и поддержка собственного внутреннего SOC достаточно затратны и сложны. Заказчики могут отдать предпочтение коммерческому SOC, чтобы избежать затрат на обучение персонала, приобретение и поддержку необходимого оборудования и программного обеспечения. В любом случае мотивация заказчиков может различаться в зависимости от их конкретных потребностей и целей.
Александр Матвеев, IZ:SOC:
В текущих реалиях это, безусловно, запрос на реальную безопасность, которую необходимо обеспечить быстро, качественно и эффективно. Стоит также выделить такие классические и понятные факторы, как требования законодательства, отсутствие единой картины происходящего в инфраструктуре, отсутствие собственной команды мониторинга ИБ или невозможность обеспечения круглосуточного оперативного мониторинга и реагирования собственными силами.
Артём Савчук, ПМ:
В основном это требования законодательства. Сейчас это 187-ФЗ и Указ Президента РФ № 250. Второй вариант – реально понесенные убытки в результате компьютерных атак и инцидентов.
Сергей Солдатов, Лаборатория Касперского:
Коммерческий SOC предоставляет все преимущества аутсорсинга: динамическое масштабирование, высокий уровень компетенции на старте, возможность использования глобального TI, минимальные собственные капитальные инвестиции, возможность максимально фокусироваться на собственном ключевом бизнесе, не распыляясь на второстепенные задачи сопровождения, простая смена поставщика.
Где проходит граница между тем, что можно отдать на сторону внешнего SOC, а что оставить в своей инфраструктуре?
Максим Акимов, Innostage CyberART:
Разделительная полоса пролегает там, где требуется большая экспертиза в ИБ, которую можно и нужно делегировать экспертам. Мы предлагаем заказчикам три типа взаимодействия: полный аутсорсинг ИБ-услуг, модели гибридного формата (например, первая линия – на заказчике, а вторая линия и выше – на стороне SOC), а также предоставление единичных сервисов, при наличии у заказчика собственного SOC, например предоставление контента и индикаторов компрометации. Но даже в случае с полным аутсорсингом в компании должен быть специалист, разбирающийся в сфере ИБ, который должен понимать бизнес-процессы компании, контролировать подрядчика (SOC) и принимать взвешенные решения.
Артём Савчук, ПМ:
Сейчас огромное множество вариаций оказания услуг SOC, и граница функций и полномочий коммерческих SOC определяется в первую очередь законодательными требованиями вкупе с бюджетом заказчика. Поэтому отдать на так называемый аутсорсинг и/или аутстаффинг возможно практически все, кроме конечной ответственности. Но зачастую работу с чувствительными данными или активные действия в ИТ-инфраструктуре клиенты предпочитают не отдавать на сторону.
Даниил Вылегжанин, RuSIEM:
Граница между тем, что можно отдать на сторону SOC, а что оставить в своей инфраструктуре, определяется на основе оценки уникальных потребностей заказчика. Если, к примеру, у вас есть данные, которые являются особо чувствительными или содержат конфиденциальную информацию, вы можете предпочесть хранить их в своей инфраструктуре. В то же время более общие данные или данные, которые не являются критическими для вашей организации, могут быть переданы на сторону SOC. Решение о том, что в конечном счете оставить в своей инфраструктуре, а что передать на сторону SOC, может быть принято и на основе ваших финансовых возможностей и карты рисков вашей организации. Если у вас ограниченный бюджет, вы можете выбрать передачу лишь некоторых функций на сторону SOC, чтобы снизить затраты на оборудование и персонал.
Александр Матвеев, IZ:SOC:
Граница проходит там, где начинаются зоны ответственности за результат тех или иных действий, в частности в рамках реагирования на инциденты ИБ. Многое зависит от уровня зрелости как самого заказчика, его команд ИБ и ИТ, так и от уровня зрелости внешнего SOC, понимания им внутренних процессов и инфраструктуры заказчика. В том числе крайне важен фактор доверия, выстроенного в рамках долгосрочного сотрудничества. Если эти факторы достаточно зрелы, процессы выстроены и согласованы между командами, а зоны ответственности четко разделены, то можно говорить о довольно тесном сотрудничестве и расширении функционала внешнего SOC в сторону активного реагирования.
Сергей Солдатов, Лаборатория Касперского:
Как и в случае любого аутсорсинга, требуется учитывать следующее:
- Критичность для корневого бизнеса. Чем больше сервисы SOC завязаны на ключевые бизнес-процессы, тем менее возможно их передать внешней команде, так как: а) SOC не может быть достаточно погружен в особенности бизнеса; б) глубокое погружение требует больших внутренних коммуникаций, которые надо максимально формализовать; в) усиливаются риски конфиденциальности.
- Наличие зрелого конкурентного предложения на рынке.
- Наличие внутренних компетенций.
- Стоимость управления и контроля.
Теймур Хеирхабаров, BI.ZONE:
Граница проходит по уровню необходимого погружения во внутренние бизнес-процессы компании. Те задачи и функции, которые требуют глубокого погружения во внутренние процессы и понимания специфики внутренних информационных потоков, безусловно, нужно оставлять в своей инфраструктуре: никакой коммерческий SOC не сделает этого лучше собственных специалистов. Пример таких функций – мониторинг и аналитика инцидентов, зафиксированных DLP-системой, вопросы кадровой безопасности, риск-менеджмент.
Андрей Дугин, МТС RED:
Как правило, заказчики оставляют на своей стороне реагирование на кибератаки. В таком случае мы стараемся наладить максимально быструю и эффективную коммуникацию с ИТ- и ИБ-специалистами заказчика и помогаем в разработке плейбуков, чтобы процесс реагирования был максимально простым и оперативным.
Валерия Суворова, Инфосистемы Джет:
Принимая решение о передаче какой-либо функции SOC на аутсорс, важно объективно оценивать собственные ресурсы и компетенции, а также стратегическую важность функций ИБ для бизнеса. Многие компании стремятся обеспечивать часть функций SOC самостоятельно, для развития компетенций специалистов, интеграции ИБ и бизнеса, а также поддержания независимости от подрядчиков. Тем не менее для реализации узких направлений, таких как расследование инцидентов, проактивный поиск угроз и развитие корреляционной базы, целесообразно привлекать партнеров, специализирующихся на оказании таких услуг.