Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Валерия Суворова, заместитель руководителя технической дирекции по продвижению, “Инфосистемы Джет”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE
Осознание того, что только превентивных мер защиты сегодня уже недостаточно. Важно еще быть готовыми к своевременному выявлению угроз, от которых превентивные решения безопасности защитить не смогли. Если заказчик четко взвешивает свои возможности и понимает, что построение собственного SOC потребует большого количества времени, усилий и денежных затрат, ему гораздо проще и быстрее здесь и сейчас закрыть потребность коммерческим SOC.
Эффективность мониторинга и выявления киберугроз зависит от объема экспертизы аналитиков. Если компании нужен быстрый результат и она не готова постепенно наращивать собственную экспертизу, коммерческий SOC – это оптимальный вариант. Для сравнения создание собственного SOC займет более одного года, в то время как подключение SOC от MSSP-провайдера – два месяца с учетом всех оформлений.
При этом многие компании понимают, что им необходимо иметь возможность блокировать кибератаки на ранних этапах, а для этого требуется круглосуточный мониторинг. Это ставит вопрос о найме большого числа опытных специалистов, что в текущей кадровой ситуации – очень сложная задача. Людей нужной квалификации трудно найти, легко потерять и невозможно забыть. Их нужно не только найти, но и мотивировать интересной высокооплачиваемой работой в профессиональной команде.
К использованию услуг коммерческого SOC приходят по разным причинам. Иногда заказчиков приводит негативный опыт серьезных инцидентов, которые не были обнаружены своевременно. Часто подключение к центру мониторинга вызвано потребностью бизнеса в повышении уровня реальной защищенности при отсутствии собственных ресурсов и экспертизы для строительства in-house SOC. Нередко компании используют услуги коммерческого SOC на первом этапе создания собственного центра мониторинга, а далее постепенно наращивают экспертизу и переводят все больше функций в зону ответственности своей команды. Что касается мотивации, то преимуществом коммерческого SOC является финансовая экономия и возможность подключить сервис быстрее, а также цель построить in-house SOC.
Коммерческие SOC обладают высококвалифицированными специалистами, обученными и опытными в области кибербезопасности. Заказчики могут использовать их экспертизу и знания для разработки и реализации эффективных стратегий безопасности, сокращения времени простоя и минимизации ущерба за счет оперативного реагирования на инциденты. Использование услуг коммерческих SOC позволяет заказчикам снизить расходы, ведь владение и поддержка собственного внутреннего SOC достаточно затратны и сложны. Заказчики могут отдать предпочтение коммерческому SOC, чтобы избежать затрат на обучение персонала, приобретение и поддержку необходимого оборудования и программного обеспечения. В любом случае мотивация заказчиков может различаться в зависимости от их конкретных потребностей и целей.
В текущих реалиях это, безусловно, запрос на реальную безопасность, которую необходимо обеспечить быстро, качественно и эффективно. Стоит также выделить такие классические и понятные факторы, как требования законодательства, отсутствие единой картины происходящего в инфраструктуре, отсутствие собственной команды мониторинга ИБ или невозможность обеспечения круглосуточного оперативного мониторинга и реагирования собственными силами.
В основном это требования законодательства. Сейчас это 187-ФЗ и Указ Президента РФ № 250. Второй вариант – реально понесенные убытки в результате компьютерных атак и инцидентов.
Коммерческий SOC предоставляет все преимущества аутсорсинга: динамическое масштабирование, высокий уровень компетенции на старте, возможность использования глобального TI, минимальные собственные капитальные инвестиции, возможность максимально фокусироваться на собственном ключевом бизнесе, не распыляясь на второстепенные задачи сопровождения, простая смена поставщика.
Разделительная полоса пролегает там, где требуется большая экспертиза в ИБ, которую можно и нужно делегировать экспертам. Мы предлагаем заказчикам три типа взаимодействия: полный аутсорсинг ИБ-услуг, модели гибридного формата (например, первая линия – на заказчике, а вторая линия и выше – на стороне SOC), а также предоставление единичных сервисов, при наличии у заказчика собственного SOC, например предоставление контента и индикаторов компрометации. Но даже в случае с полным аутсорсингом в компании должен быть специалист, разбирающийся в сфере ИБ, который должен понимать бизнес-процессы компании, контролировать подрядчика (SOC) и принимать взвешенные решения.
Сейчас огромное множество вариаций оказания услуг SOC, и граница функций и полномочий коммерческих SOC определяется в первую очередь законодательными требованиями вкупе с бюджетом заказчика. Поэтому отдать на так называемый аутсорсинг и/или аутстаффинг возможно практически все, кроме конечной ответственности. Но зачастую работу с чувствительными данными или активные действия в ИТ-инфраструктуре клиенты предпочитают не отдавать на сторону.
Граница между тем, что можно отдать на сторону SOC, а что оставить в своей инфраструктуре, определяется на основе оценки уникальных потребностей заказчика. Если, к примеру, у вас есть данные, которые являются особо чувствительными или содержат конфиденциальную информацию, вы можете предпочесть хранить их в своей инфраструктуре. В то же время более общие данные или данные, которые не являются критическими для вашей организации, могут быть переданы на сторону SOC. Решение о том, что в конечном счете оставить в своей инфраструктуре, а что передать на сторону SOC, может быть принято и на основе ваших финансовых возможностей и карты рисков вашей организации. Если у вас ограниченный бюджет, вы можете выбрать передачу лишь некоторых функций на сторону SOC, чтобы снизить затраты на оборудование и персонал.
Граница проходит там, где начинаются зоны ответственности за результат тех или иных действий, в частности в рамках реагирования на инциденты ИБ. Многое зависит от уровня зрелости как самого заказчика, его команд ИБ и ИТ, так и от уровня зрелости внешнего SOC, понимания им внутренних процессов и инфраструктуры заказчика. В том числе крайне важен фактор доверия, выстроенного в рамках долгосрочного сотрудничества. Если эти факторы достаточно зрелы, процессы выстроены и согласованы между командами, а зоны ответственности четко разделены, то можно говорить о довольно тесном сотрудничестве и расширении функционала внешнего SOC в сторону активного реагирования.
Как и в случае любого аутсорсинга, требуется учитывать следующее:
Граница проходит по уровню необходимого погружения во внутренние бизнес-процессы компании. Те задачи и функции, которые требуют глубокого погружения во внутренние процессы и понимания специфики внутренних информационных потоков, безусловно, нужно оставлять в своей инфраструктуре: никакой коммерческий SOC не сделает этого лучше собственных специалистов. Пример таких функций – мониторинг и аналитика инцидентов, зафиксированных DLP-системой, вопросы кадровой безопасности, риск-менеджмент.
Как правило, заказчики оставляют на своей стороне реагирование на кибератаки. В таком случае мы стараемся наладить максимально быструю и эффективную коммуникацию с ИТ- и ИБ-специалистами заказчика и помогаем в разработке плейбуков, чтобы процесс реагирования был максимально простым и оперативным.
Принимая решение о передаче какой-либо функции SOC на аутсорс, важно объективно оценивать собственные ресурсы и компетенции, а также стратегическую важность функций ИБ для бизнеса. Многие компании стремятся обеспечивать часть функций SOC самостоятельно, для развития компетенций специалистов, интеграции ИБ и бизнеса, а также поддержания независимости от подрядчиков. Тем не менее для реализации узких направлений, таких как расследование инцидентов, проактивный поиск угроз и развитие корреляционной базы, целесообразно привлекать партнеров, специализирующихся на оказании таких услуг.