Контакты
Подписка 2025

Коммерческие SOC в 2023 году: мотивация и развитие. Часть 2

Редакция журнала "Информационная безопасность", 13/12/23

Каким должен быть первый шаг для подключения к SOC, если принципиальное решение уже принято, и что SOC точно не сделает за заказчика? На эти и другие вопросы редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.

ris2-Dec-13-2023-02-23-33-5192-PM

Что SOC точно не сделает за заказчика?

Александр Матвеев, IZ:SOC:

  1. Внешний SOC может помочь повысить эффективность и модернизировать внутренние процессы заказчика, но никогда не сможет их поменять без его участия.
  2. Внешний SOC может помочь с поиском и обучением собственных аналитиков заказчика, но никогда не сможет гарантировать целостность данной команды.
  3. Внешний SOC может идеально осуществлять мониторинг и реагирование на инциденты, но никогда не сможет помочь повысить уровень ИБ заказчика, если его специалисты не следуют предоставленным рекомендациям.

Валерия Суворова, Инфосистемы Джет:

  1. SOC не ответит на вопрос, какие внутренние процессы, плейбуки и регламенты в области ИБ не работают, однако сможет подсветить проблемные места.
  2. Принятие решений о том, куда инвестировать ресурсы (деньги, время, силы) для развития системы защиты, всегда остается на стороне заказчика. SOC может указать на некоторые слабые места, требующие особого внимания.
  3. Техническое реагирование на инциденты и донастройка средств защиты – эти работы не каждый SOC может взять на себя. В Jet CSIRT такая опция доступна при необходимости.

Андрей Дугин, МТС RED:

SOC не может в одиночку выставить значения критичности для всех типов инцидентов, поскольку некоторые из них напрямую зависят от бизнеса и того, насколько те или иные кибератаки влияют на его непрерывность и устойчивость. Выявление аномалий в бизнес-процессах также требует взаимодействия с заказчиком, так как только он знает, какие этапы должен включать процесс, что является легитимными действиями, а что – нарушением. Кроме того, полномочия по принятию управленческих решений по результатам расследования инцидента – прерогатива заказчика.

Сергей Солдатов, Лаборатория Касперского:

  1. SOC не обоснует необходимость инвестирования в ИБ перед руководством.
  2. Безопасность работает, только если ею занимаются все подразделения, поэтому CISO – это в первую очередь эффективный переговорщик. Внешний SOC не сможет построить эффективные внутренние коммуникации с подразделениями, с которыми нет договоренностей.
  3. SOC не оценит бизнес-ценность своих услуг для заказчика. SOC – это инструмент достижения одной из целей корпоративной безопасности, насколько он эффективен и результативен с позиции руководства компании, решать CISO.

Максим Акимов, Innostage CyberART:

Нельзя делегировать SOC-центру административную и уголовную ответственность, то есть принимать риски по локализации инцидента и механизму реагирования должен заказчик. К примеру, мы можем заблокировать скомпрометированный IP-адрес, но при этом встанет банкинг или процессинг и организация понесет финансовые потери, превышающие риски ИБ. В случае промышленной организации может остановится производство.

Теймур Хеирхабаров, BI.ZONE:

SOC точно не организует за заказчика взаимодействие между ИТ-подразделением и отделом кибербезопасности, которое крайне важно для качественного и своевременного реагирования на инциденты. SOC также не построит за заказчика систему кибербезопасности, не будет выполнять за него Hardening инфраструктуры, не выстроит внутренние процессы. Безусловно, коммерческий SOC может выступать консультантом, давать рекомендации в рамках инцидентов по усилению системы безопасности, но их непосредственное выполнение остается за заказчиком.

Артём Савчук, ПМ:

SOC не примет на себя полномочия и ответственность работников организаций, четко определенных нормативно-правовыми актами Российской Федерации.

Даниил Вылегжанин, RuSIEM:

SOC не решит задачи управления сетевой инфраструктурой, управления физической безопасностью предприятия и решением физических проблем, таких как отказ оборудования или проблемы с подключением. В таких случаях без специалистов "на месте" просто не обойтись. То же касается и принятия стратегических решений: SOC может предоставлять данные и аналитику о безопасности, но принятие стратегических решений по обеспечению безопасности остается ответственностью заказчика.

Каким должен быть первый шаг для подключения к SOC, если принципиальное решение уже принято?

Сергей Солдатов, Лаборатория Касперского:

  1. Определение объема услуг, передаваемых в SOC, требований к их качеству (SLA), шаблоны отчетности, порядок коммуникации, матрица ответственности.
  2. Построение эффективного взаимодействия внутренних служб (ИБ, ИТ, HR, PR, руководство и пр.) в рамках процесса управления инцидентами.

Александр Матвеев, IZ:SOC:

  1. Конечно же, проконсультироваться с экспертами, которые годами занимаются предоставлением услуги SOC.
  2. Определить функции, которые планируется возложить на внешнюю команду SOC.
  3. Определить элементы инфраструктуры, мониторинг которой планируется осуществлять.
  4. Воспользоваться услугой пробного бесплатного периода, который предоставляет внешний SOC, чтобы понять, устраивает ли качество, стоимость и экспертиза услуги именно выбранной команды. Желательно параллельно сравнить несколько SOC, если есть такая возможность.
  5. Делать выводы, основываясь не на маркетинговых материалах, а на основе комплекса факторов, включая стоимость услуги, полученный результат, экспертизу и комфорт работы с внешней командой.

Руслан Амиров, Инфосистемы Джет:

Если речь идет о принятом принципиальном решении, первым шагом может быть запуск процедуры выбора поставщика услуг. Рынок коммерческих SOC в России представлен множеством организаций, и выбор можно провести по качественным и объективным критериям. В процессе взаимодействия с коммерческим SOC заказчик получит исчерпывающую информацию об услугах, технических особенностях подключения и определит область покрытия мониторинга. Пилотный запуск услуг SOC полезен как для проверки компетентности поставщика, так и для готовности заказчика к получению и использованию результатов.

Даниил Вылегжанин, RuSIEM:

В этом случае однозначно выбор поставщика услуг, оптимального по бюджету и SLA.

Андрей Дугин, МТС RED:

Первый этап – подготовка взаимодействия инфраструктур MSSP-провайдера и заказчика, инвентаризация ИТ-активов в контуре мониторинга SOC. Без четкого понимания защищаемой инфраструктуры и сервисов полноценно обеспечить их безопасность крайне затруднительно.

Теймур Хеирхабаров, BI.ZONE:

Определиться с границами подключения инфраструктуры к SOC, а также с набором услуг и функций, ожидаемых от коммерческого SOC. Это позволит очертить круг возможных сервис-провайдеров, а также оценить требуемый бюджет. При этом если у компании не было до этого опыта потребления услуг коммерческого SOC либо планируется смена сервис-провайдера, то крайне рекомендуется провести пилотный проект с одним-двумя игроками рынка. Это нужно для того, чтобы ожидания сошлись с возможностями рассматриваемых партнеров.

Артём Савчук, ПМ:

  1. Формирование ТЗ.
  2. Сбор ТКП.
  3. Определение НМЦ.
  4. Возможно, пилотное подключение к различным SOC, для сравнения.
  5. Выбор подрядчика или подрядчиков.

Максим Акимов, Innostage CyberART:

Наш подход к приему в работу нового проекта включает последовательные шаги:

  1. Запрос сведений об инфраструктуре заказчика.
  2. Построение защищенного канала.
  3. Подготовка инфраструктуры заказчика.
  4. Подготовка инфраструктуры SOC. 5. Внедрение контента.
  5. Согласование SLA-параметров сервиса.
  6. Инвентаризация.
  7. Наполнение базы знаний.
  8. Настройка источников.
  9. Обогащение индикаторами компрометации (IoC, TI).
  10. Сдача приемочных испытаний. Передача на сервис.

 

Темы:Круглый столSOCЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Тонкие клиенты для гибкой информационной безопасности
    В современном бизнес-ландшафте тонкие клиенты становятся важным элементом инфраструктуры благодаря своей способности обеспечивать эффективное управление ресурсами и высокую степень безопасности данных. Использование тонких клиентов способствует повышению безопасности, так как данные хранятся на сервере, а не на пользовательских устройствах, что минимизирует риски потери или краж. Редакция поинтересовалась у экспертов, как наиболее эффективно использовать такую инфраструктуру и как уберечься от типовых ошибок.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • О роли SOC, EDR и XDR на пути к оптимальной безопасности
    Артем Кириллин, Заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
    Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...