Вендорская поддержка в выявлении угроз
Екатерина Данилина, 24.06.19
Играет ли роль в выявлении новых угроз вендорская поддержка? Каким образом и насколько она действенна?
Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies
Ландшафт угроз меняется столь быстро, что уследить за изменениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплектованным SOC в больших корпорациях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора.
Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами компрометации (например, IP командного центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения злоумышленников в уже скомпрометированной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора).
Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")
Заказчики сейчас не хотят покупать коробочные решения, им нужна услуга. В компаниях чаще всего один-два человека, которые могут заниматься моделями информационной безопасности, поэтому для них полезен аудит от вендора, который имеет богатый опыт в области расследования инцидентов у других заказчиков и знает свой продукт.
Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компаниях много задач и мало времени, и они ограничены своими компетенциями. Чаще всего им сложно выйти за эти пределы. Таким образом, совместная работа с заказчиками в области аналитики очень полезна для обеих сторон.
Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"
Каждый случай индивидуален. Есть ряд факторов, от которых зависит уровень взаимодействия с вендором в рамках технической поддержки:
- наличие у вендора опыта и компетенции в выявлении и предотвращении новых угроз;
- уровень детальности существующего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон;
- однородность применяемых решений в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ;
- кем и каким образом происходит выбор решений в филиалах и дочерних обществах компании (централизованно из оловного офиса, или же у ффилиалов и ДО есть полномочия по принятию решений в выборе поставщиков).
Сергей Рысин, эксперт по информационной безопасности
Вендорская поддержка, безусловно, оказывает значительную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по продуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющихсяна сегодняшний момент, и это даст качественный толчок для отечественного рынка средств безопасности, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при наличии обратной связи от клиента, в случае ее отсутствия она не может помочь сферической информационной системе в вакууме.
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?