Контакты
Подписка 2024

Вендорская поддержка в выявлении угроз

Екатерина Данилина, 24.06.19

Играет ли роль в выявлении новых угроз вендорская поддержка? Каким образом и насколько она действенна?

 

Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies

Ландшафт угроз меняется столь быстро, что уследить за изменениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплектованным SOC в больших корпорациях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора.
Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами компрометации (например, IP командного центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения злоумышленников в уже скомпрометированной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора).

 

Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")

Заказчики сейчас не хотят покупать коробочные решения, им нужна услуга. В компаниях чаще всего один-два человека, которые могут заниматься моделями информационной безопасности, поэтому для них полезен аудит от вендора, который имеет богатый опыт в области расследования инцидентов у других заказчиков и знает свой продукт. 
Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компаниях много задач и мало времени, и они ограничены своими компетенциями. Чаще всего им сложно выйти за эти пределы. Таким образом, совместная работа с заказчиками в области аналитики очень полезна для обеих сторон.

 

Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"

Каждый случай индивидуален. Есть ряд факторов, от которых зависит уровень взаимодействия с вендором в рамках технической поддержки:

  • наличие у вендора опыта и компетенции в выявлении и предотвращении новых угроз;
  • уровень детальности существующего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон;
  • однородность применяемых решений в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ;
  • кем и каким образом происходит выбор решений в филиалах и дочерних обществах компании (централизованно из оловного офиса, или же у ффилиалов и ДО есть полномочия по принятию решений в выборе поставщиков).

 

Сергей Рысин, эксперт по информационной безопасности

Вендорская поддержка, безусловно, оказывает значительную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по продуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющихсяна сегодняшний момент, и это даст качественный толчок для отечественного рынка средств безопасности, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при наличии обратной связи от клиента, в случае ее отсутствия она не может помочь сферической информационной системе в вакууме.

Читать полную версию

SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?

Темы:Positive TechnologiesStaffCopСО ЕЭСЛев ПалейЕлена НагорнаяТехснабэкспортДмитрий КандыбовичSIEMВладимир БенгинСергей РысинUEBA

Еще темы...