Интервью с Дмитрием Овчинниковым («Газинформсервис») про коммерческий SOC

Редакция CISOCLUB поговорила с Дмитрием Овчинниковым, руководителем Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис». В интервью мы обсудили ключевые аспекты работы коммерческих SOC (Security Operations Centers), их отличия от собственных SOC, а также критерии выбора и требования к таким центрам для обеспечения максимальной защиты информации.

Дмитрий подробно рассказал о том, какие технологии и инструменты необходимы для успешного функционирования коммерческого SOC. Он выделил минимальный набор — SIEM, SOAR и кабинет заказчика, а также подчеркнул важность интеграции анализаторов сетевого трафика, песочниц, EDR/XDR, TI и других решений. Спикер также указал на значительную роль команд SOC в повышении уровня безопасности клиента, взаимодействие с его специалистами и постоянную актуализацию защитных механизмов.

В интервью затрагиваются и финансовые аспекты выбора между созданием собственного SOC и использованием коммерческого решения. Дмитрий объяснил, на что нужно обращать внимание при принятии решения, подчеркнув важность экономической целесообразности, а также компетентности команды SOC. Особое внимание было уделено вопросам адаптации SOC под специфические требования клиентов и оценке эффективности работы сервисов с точки зрения скорости детекции и реакции на инциденты.

Чем принципиально отличается коммерческий SOC от собственного, помимо инфраструктурных особенностей?

Самое главное и ключевое отличие — в команде специалистов. При своём собственном SOC его сотрудники — это специалисты компании. В случае, когда мы говорим про коммерческий SOC, то тут часть ИБ отдана на аутсорс другой компании, которая оказывает услуги коммерческого SOC. Всё остальное — уже вариации на тему используемых технологий, процессов.

Второе и последнее отличие — в стоимости старта работы. Создание собственного SOC — достаточно дорогое удовольствие. Поэтому зачастую купить себе услуги коммерческого SOC выходит дешевле, чем создать свой.

Какие услуги и сервисы обязательны для эффективной работы коммерческого SOC?

Минимальным джентльменским набором у нас является наличие SIEM, SOAR и кабинета заказчика. Это три составляющие, которые превращают привычную нам всем систему сбора и корреляции событий ИБ в инструмент по реагированию на атаки. Но это именно что минимальный набор технологий. Для успешного коммерческого SOC необходимо ещё использовать анализаторы сетевого трафика, песочницу и решения типа EDR/XDR. Также надо подключать платформы TI, модули поведенческой аналитики и использовать индикаторы компрометации. Это как раз то, что сейчас является составляющими нормального SOC с точки зрения современного специалиста по ИБ.

По каким критериям компаниям следует выбирать между собственным и коммерческим SOC?

Подобный выбор необходимо делать, основываясь на двух параметрах: готовы ли вы отдать ИБ на аутсорс? Если нет, то вопрос по коммерческому SOC для вас закрыт. Если готовы, то надо оценить экономическую целесообразность. Для этого надо посчитать собственные затраты на строительство своего SOC: лицензии, оборудование и заработную плату персонала за пять лет, курсы повышения квалификации для сотрудников. Также учтите оплату работ по пусконаладке своего SOC. После этого надо получить коммерческое предложение по внешнему SOC. Если пять лет оплаты коммерческого SOC будут дешевле, чем ваши затраты на строительство своего, то тогда выгоднее купить услугу коммерческого SOC. Самое главное, что в таком случае вы будете избавлены от головной боли по найму и обучению персонала.

Какую роль выполняет коммерческий SOC сегодня? Это только центр мониторинга и реагирования или более широкая экосистема безопасности?

При работе на долгосрочную перспективу специалисты SOC заинтересованы в том, чтобы всячески укреплять инфраструктуру заказчика. Во-первых, это демонстрация профессионализма. Во-вторых, это жизненно необходимо для снижения издержек самого SOC. В-третьих, такой подход зачастую приводит к другим совместным проектам в области защиты информации. Поэтому просто мониторинг и реагирование — это модель ведения бизнеса и оказания услуг, которая уходит в небытие.

Какие средства защиты информации должны быть интегрированы в SOC и как клиенту обеспечить их постоянное обновление?

Обновление средств защиты в коммерческом SOC — это задача специалистов из SOC. Головная боль об обновлении СЗИ внутри SOC снимается с головы клиента. Задача клиента — поддерживать в актуальном состоянии только свою инфраструктуру и средства защиты, расположенные у него на площадках. В целом клиент может быть спокоен за обновления СЗИ SOC, так как коммерческому SOC самому выгодно, чтобы всё было актуальным и обновлённым: от этого зависит его успешная работа.

Какими специалистами и линиями должна быть укомплектована команда SOC-поставщика для полноценного обслуживания клиентов?

Отвечу просто — лучшими. Разговоры о том, какие компетенции должны быть, тянут на отдельную статью. Сейчас много говорят о том, какими должны быть аналитики SOC. Но все сходятся в одном мнении: аналитический склад ума, отличные знания сетевой части, навыки программирования и написания скриптов, отличные знания в области ИБ и постоянная тяга к образованию и росту компетенции.

Какую роль играют специалисты со стороны заказчика и как быть компаниям, у которых в штате нет или недостаточно специалистов по информационной безопасности?

Специалисты заказчика играют важную роль в обеспечении безопасности. Покупка услуги коммерческого SOC не отменяет того, что необходимо заниматься обеспечением безопасности внутри компании заказчика. Необходимо обновлять версии ПО и ОС, правильно настраивать встроенные возможности активного сетевого оборудования, межсетевых экранов, вовремя менять ключи шифрования, вести учёт активов, работу с уязвимостями и делать многое другое. Вот в результате работы SOC и работы представителей заказчика и достигается состояние защищённости активов. Кроме того, необходимо ещё и взаимодействовать со специалистами SOC для правильной настройки, устранения уязвимостей и решения других рабочих вопросов.

Каким образом коммерческий SOC может адаптироваться под специфику конкретного бизнеса, отрасли или компании?

Адаптация под конкретную отрасль или заказчика производится достаточно просто. Самое главное — иметь хороший набор коннекторов и контента для SIEM. Или иметь возможность быстро разработать коннекторы и правила корреляции для конкретного заказчика. Если иметь хорошую команду R&D в штате, то тогда это посильная задача. Иначе придётся медленно писать правила или обращаться к вендору-разработчику SIEM за помощью.

Как можно объективно оценить эффективность работы коммерческого SOC и его влияния на безопасность клиента?

Изначально мы будем считать, что коммерческий SOC покрывает все активы заказчика. Если это сделано, то тогда основным параметром будут являться скорость детекции инцидента и скорость ответа на него. Это два основных параметра, на которые стоит обращать внимание. Покрытие от всех угроз и скорость реакции и реагирования. Все активы должны быть покрыты системами защиты.

Все остальные параметры очень спорные. Тут тонкость состоит в том, что если не детектировать атаки, то есть ощущение защищённости и чувство, что заказчика не атакуют. Если же обращать внимание на количество детектированных атак, то тогда возникает совсем другое ощущение: нас постоянно атакуют и это всех нервирует. Параметр на соответствие требованиям регуляторов тоже очень спорный. За нарушение кибербезопасности отвечает владелец данных, а не регулятор. Поэтому эффективность у нас может быть измерена только в скорости детектирования и реагирования.

Насколько безопасен коммерческий SOC сам по себе, учитывая возможные риски взлома, которые могут затронуть всех клиентов?

Инцидент со взломом SOC является недопустимым событием с точки зрения оказания услуг. Поэтому вся инфраструктура SOC тщательно защищается и контролируется сотрудниками. Кроме того, коммерческие SOC открывают только те компании, у которых есть опытная и умелая команда по безопасности. Иначе они не смогли бы реализовать такой масштабный и трудоёмкий проект. Поэтому коммерческие SOC защищены лучше, чем защищаемые ими объекты. При составлении карты рисков такое событие, конечно, можно учитывать, но, скорее всего, оно маловероятно и для его наступления необходимо, чтобы одновременно сложилось три и более неблагоприятных факторов. А это очень маловероятно.

Как обеспечить безопасную передачу данных между коммерческим SOC и клиентом, минимизировав риск утечек данных?

Тут можно говорить только про использование криптошлюзов. Шифрованный канал связи позволяет надёжно защитить передачу информации. Кроме того, надо озаботиться сильной защитой всех точек входа и подключения. Это надо сделать с особой тщательностью. Я понимаю, что в ИБ всегда всё делается очень тщательно, но вот к этому моменту, к наличию стороннего подключения надо подойти внимательно, вдумчиво и рассмотреть все возможные сценарии атаки. В этом поможет составление живой модели угроз и выстраивание kill chain до ваших активов.

Какие финансовые и организационные аспекты нужно учитывать при выборе коммерческого SOC, чтобы оптимизировать затраты без ущерба безопасности?

Основной аспект — это стоимость. Организационные моменты можно поменять, изменить или согласовать. Это всё рабочие моменты, которые являются не проблемой, а задачей, которую надо решить. В целом я бы советовал сотрудничать с тем SOC, где у вас находится основной офис. Конечно, желательно, чтобы не было большого сдвига по времени работы. Несмотря на то, что SOC работают круглосуточно, взаимодействие менеджмента всё равно остаётся, и крайне хорошо, когда оно идёт в одном часовом поясе. И, наверное, самый важный критерий при выборе SOC — это компетентность команды и наличие глубокой экспертизы. Именно на этот момент надо обращать своё внимание при выборе из нескольких предложений.