Контакты
Подписка 2025
Статьи по информационной безопасности

Коммерческие SOC в 2023 году: мотивация и развитие

Редакция журнала "Информационная безопасность", 11/12/23

Какая мотивация приводит заказчиков в SOC? Где должна проходить граница между SOC и заказчиком? На эти и другие вопросы редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.

ris1-Dec-11-2023-09-31-21-1701-AM

Эксперты:

Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART 
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC 
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского” 
Валерия Суворова, заместитель руководителя технической дирекции по продвижению, “Инфосистемы Джет”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

Какая мотивация приводит заказчиков к использованию услуг коммерческого SOC?

Теймур Хеирхабаров, BI.ZONE:

Осознание того, что только превентивных мер защиты сегодня уже недостаточно. Важно еще быть готовыми к своевременному выявлению угроз, от которых превентивные решения безопасности защитить не смогли. Если заказчик четко взвешивает свои возможности и понимает, что построение собственного SOC потребует большого количества времени, усилий и денежных затрат, ему гораздо проще и быстрее здесь и сейчас закрыть потребность коммерческим SOC.

Максим Акимов, Innostage CyberART:

  1. Осознанная потребность. С организациями-заказчиками, которые сами созрели до решения усилить кибербезопасность, у нас выстраивается наиболее продуктивная работа. Ведь клиенты понимают, что сервисы SOC минимизируют бизнес-риски и что без обеспечения киберустойчивости дальнейшее развитие компании под угрозой. Таких заказчиков на рынке около 30%.
  2. Выполнение обязательных регуляторных требований и нормативных правовых актов, прежде всего 187-ФЗ, 152-ФЗ и Указа Президента РФ № 250. Сюда же относятся отраслевые регламенты, например для финансовой сферы. Доля заказчиков с такой мотивацией – 60%.
  3. Следование тренду. Еще у 10% заказчиков техническая потребность в SOC не выражена. Они приходят с запросом на сервисы, потому что увидели их работу у партнеров или конкурентов. Это самая слабая мотивация, которой желательно дозреть до первого варианта.

Андрей Дугин, МТС RED:

Эффективность мониторинга и выявления киберугроз зависит от объема экспертизы аналитиков. Если компании нужен быстрый результат и она не готова постепенно наращивать собственную экспертизу, коммерческий SOC – это оптимальный вариант. Для сравнения создание собственного SOC займет более одного года, в то время как подключение SOC от MSSP-провайдера – два месяца с учетом всех оформлений.

При этом многие компании понимают, что им необходимо иметь возможность блокировать кибератаки на ранних этапах, а для этого требуется круглосуточный мониторинг. Это ставит вопрос о найме большого числа опытных специалистов, что в текущей кадровой ситуации – очень сложная задача. Людей нужной квалификации трудно найти, легко потерять и невозможно забыть. Их нужно не только найти, но и мотивировать интересной высокооплачиваемой работой в профессиональной команде.

Валерия Суворова, Инфосистемы Джет:

К использованию услуг коммерческого SOC приходят по разным причинам. Иногда заказчиков приводит негативный опыт серьезных инцидентов, которые не были обнаружены своевременно. Часто подключение к центру мониторинга вызвано потребностью бизнеса в повышении уровня реальной защищенности при отсутствии собственных ресурсов и экспертизы для строительства in-house SOC. Нередко компании используют услуги коммерческого SOC на первом этапе создания собственного центра мониторинга, а далее постепенно наращивают экспертизу и переводят все больше функций в зону ответственности своей команды. Что касается мотивации, то преимуществом коммерческого SOC является финансовая экономия и возможность подключить сервис быстрее, а также цель построить in-house SOC.

Даниил Вылегжанин, RuSIEM:

Коммерческие SOC обладают высококвалифицированными специалистами, обученными и опытными в области кибербезопасности. Заказчики могут использовать их экспертизу и знания для разработки и реализации эффективных стратегий безопасности, сокращения времени простоя и минимизации ущерба за счет оперативного реагирования на инциденты. Использование услуг коммерческих SOC позволяет заказчикам снизить расходы, ведь владение и поддержка собственного внутреннего SOC достаточно затратны и сложны. Заказчики могут отдать предпочтение коммерческому SOC, чтобы избежать затрат на обучение персонала, приобретение и поддержку необходимого оборудования и программного обеспечения. В любом случае мотивация заказчиков может различаться в зависимости от их конкретных потребностей и целей.

Александр Матвеев, IZ:SOC:

В текущих реалиях это, безусловно, запрос на реальную безопасность, которую необходимо обеспечить быстро, качественно и эффективно. Стоит также выделить такие классические и понятные факторы, как требования законодательства, отсутствие единой картины происходящего в инфраструктуре, отсутствие собственной команды мониторинга ИБ или невозможность обеспечения круглосуточного оперативного мониторинга и реагирования собственными силами.

Артём Савчук, ПМ:

В основном это требования законодательства. Сейчас это 187-ФЗ и Указ Президента РФ № 250. Второй вариант – реально понесенные убытки в результате компьютерных атак и инцидентов.

Сергей Солдатов, Лаборатория Касперского:

Коммерческий SOC предоставляет все преимущества аутсорсинга: динамическое масштабирование, высокий уровень компетенции на старте, возможность использования глобального TI, минимальные собственные капитальные инвестиции, возможность максимально фокусироваться на собственном ключевом бизнесе, не распыляясь на второстепенные задачи сопровождения, простая смена поставщика.

Где проходит граница между тем, что можно отдать на сторону внешнего SOC, а что оставить в своей инфраструктуре?

Максим Акимов, Innostage CyberART:

Разделительная полоса пролегает там, где требуется большая экспертиза в ИБ, которую можно и нужно делегировать экспертам. Мы предлагаем заказчикам три типа взаимодействия: полный аутсорсинг ИБ-услуг, модели гибридного формата (например, первая линия – на заказчике, а вторая линия и выше – на стороне SOC), а также предоставление единичных сервисов, при наличии у заказчика собственного SOC, например предоставление контента и индикаторов компрометации. Но даже в случае с полным аутсорсингом в компании должен быть специалист, разбирающийся в сфере ИБ, который должен понимать бизнес-процессы компании, контролировать подрядчика (SOC) и принимать взвешенные решения.

Артём Савчук, ПМ:

Сейчас огромное множество вариаций оказания услуг SOC, и граница функций и полномочий коммерческих SOC определяется в первую очередь законодательными требованиями вкупе с бюджетом заказчика. Поэтому отдать на так называемый аутсорсинг и/или аутстаффинг возможно практически все, кроме конечной ответственности. Но зачастую работу с чувствительными данными или активные действия в ИТ-инфраструктуре клиенты предпочитают не отдавать на сторону.

Даниил Вылегжанин, RuSIEM:

Граница между тем, что можно отдать на сторону SOC, а что оставить в своей инфраструктуре, определяется на основе оценки уникальных потребностей заказчика. Если, к примеру, у вас есть данные, которые являются особо чувствительными или содержат конфиденциальную информацию, вы можете предпочесть хранить их в своей инфраструктуре. В то же время более общие данные или данные, которые не являются критическими для вашей организации, могут быть переданы на сторону SOC. Решение о том, что в конечном счете оставить в своей инфраструктуре, а что передать на сторону SOC, может быть принято и на основе ваших финансовых возможностей и карты рисков вашей организации. Если у вас ограниченный бюджет, вы можете выбрать передачу лишь некоторых функций на сторону SOC, чтобы снизить затраты на оборудование и персонал.

Александр Матвеев, IZ:SOC:

Граница проходит там, где начинаются зоны ответственности за результат тех или иных действий, в частности в рамках реагирования на инциденты ИБ. Многое зависит от уровня зрелости как самого заказчика, его команд ИБ и ИТ, так и от уровня зрелости внешнего SOC, понимания им внутренних процессов и инфраструктуры заказчика. В том числе крайне важен фактор доверия, выстроенного в рамках долгосрочного сотрудничества. Если эти факторы достаточно зрелы, процессы выстроены и согласованы между командами, а зоны ответственности четко разделены, то можно говорить о довольно тесном сотрудничестве и расширении функционала внешнего SOC в сторону активного реагирования.

Сергей Солдатов, Лаборатория Касперского:

Как и в случае любого аутсорсинга, требуется учитывать следующее:

  1. Критичность для корневого бизнеса. Чем больше сервисы SOC завязаны на ключевые бизнес-процессы, тем менее возможно их передать внешней команде, так как: а) SOC не может быть достаточно погружен в особенности бизнеса; б) глубокое погружение требует больших внутренних коммуникаций, которые надо максимально формализовать; в) усиливаются риски конфиденциальности.
  2. Наличие зрелого конкурентного предложения на рынке.
  3. Наличие внутренних компетенций.
  4. Стоимость управления и контроля.

Теймур Хеирхабаров, BI.ZONE:

Граница проходит по уровню необходимого погружения во внутренние бизнес-процессы компании. Те задачи и функции, которые требуют глубокого погружения во внутренние процессы и понимания специфики внутренних информационных потоков, безусловно, нужно оставлять в своей инфраструктуре: никакой коммерческий SOC не сделает этого лучше собственных специалистов. Пример таких функций – мониторинг и аналитика инцидентов, зафиксированных DLP-системой, вопросы кадровой безопасности, риск-менеджмент.

Андрей Дугин, МТС RED:

Как правило, заказчики оставляют на своей стороне реагирование на кибератаки. В таком случае мы стараемся наладить максимально быструю и эффективную коммуникацию с ИТ- и ИБ-специалистами заказчика и помогаем в разработке плейбуков, чтобы процесс реагирования был максимально простым и оперативным.

Валерия Суворова, Инфосистемы Джет:

Принимая решение о передаче какой-либо функции SOC на аутсорс, важно объективно оценивать собственные ресурсы и компетенции, а также стратегическую важность функций ИБ для бизнеса. Многие компании стремятся обеспечивать часть функций SOC самостоятельно, для развития компетенций специалистов, интеграции ИБ и бизнеса, а также поддержания независимости от подрядчиков. Тем не менее для реализации узких направлений, таких как расследование инцидентов, проактивный поиск угроз и развитие корреляционной базы, целесообразно привлекать партнеров, специализирующихся на оказании таких услуг.
Темы:Круглый столSOCЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"