04.11.2022

Security Operation Center – разговор с экспертами

Многие крупные и малые российские предприятия и организации разных отраслей деятельности столкнулись в течение 2022 года с существенным увеличением кибератак, которые проводились против их систем. При этом в Минцифры России неоднократно отмечали в последние месяцы, что госструктуры и российский бизнес стали уделять обеспечению собственной информационной безопасности особое внимание.

В частности, во время своего выступления на пленарном заседании форума «Цифротех» 19 октября министр цифрового развития, связи и массовых коммуникаций Российской Федерации Максут Шадаев заявил, что с февраля 2022 года его ведомство и вся отечественная IT-отрасль получила колоссальный опыт работы в сфере кибербезопасности. Основным решением, которое было принято в этой сфере в прошедшие месяцы, является смена парадигмы отношения отечественных организаций к данному вопросу, в том числе на основании Указа Президента Российской Федерации от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

В связи с этим многие российские компании стали задумываться о внедрении SOC (Security Operation Center). Потому как известно, что реализация ситуационного центра управления информационной безопасностью позволит не только контролировать все события, происходящие в информационных системах, но и обеспечить своевременное реагирование на инциденты информационной безопасности (ИБ), а также предотвращение их в будущем.

На 15-16 ноября 2022 года запланировано проведение ежегодного мероприятия SOC-ФОРУМ 2022, темой которого станет «Практика противодействия кибератакам и построения центров мониторинга ИБ». В преддверии этого события редакция CISOCLUB пообщалась с экспертами отрасли ИБ. С нами поговорили:

Сергей Кривошеин, директор центра развития продуктов NGR Softlab;
Иван Мирошниченко, заместитель директора SOC Infosecurity;
Федор Музалевский, директор технического департамента RTM Group;
Павел Кузнецов, директор по продуктам компании «Гарда Технологии»;
Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ-компании Axoft;
Хабас Андрей, руководитель центра мониторинга ИБ «Астрал.Безопасность»;
Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC;
Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Как изменилась деятельность центров противодействия кибератакам в 2022 году?

Федор Музалевский, директор технического департамента RTM Group:

«В 2022 году в несколько раз выросло количество атак на значимые объекты, защищаемые SOC, некоторые крупные операторы говорят об увеличении в 10 раз во втором квартале по сравнению с первым. Если ранее речь шла о десятках случаев атак в месяц, то теперь их число исчисляется сотнями. Это означает резко возросшую нагрузку на систему и поддерживающую ее специалистов при сохранении прежних мощностей.

В связи с этим сократилось фактическое время, уделяемое каждому инциденту. Чтобы сохранить качество обслуживания, центрам противодействия кибератакам пришлось срочно нанимать сотрудников (что стало отдельной проблемой в условиях оттока из страны большого количества специалистов) и задействовать больше средств автоматизации. Например, активнее переходить на XDR. Однако, и с технологиями все не так просто, учитывая, сколько ИТ-вендоров ушло из страны и прекратило поддерживать свои продукты».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«В начале года случился реальный всплеск активности атакующих, при этом в пуле атак заметно высока доля DDoS с применением как традиционных бот-сетей, так и привлечением «хактивистов». Помимо этого, после ряда крупных инцидентов, широко освещавшихся в прессе, повысилось внимание к риску утечки информации, в том числе информации, защищаемой 152-ФЗ, то есть персональных данных.

Тем ЦПК (или SOC), которым ранее не доводилось глубоко погружаться в вопрос противодействия именно атакам типа «отказ в обслуживании» и работы с риском утечки данных, вынужденно пришлось как осуществить это погружение, так и соответствующим образом пере- или достроить свою работу в части процессов и используемых средств защиты».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«За последний год значительно выросла нагрузка на персонал как самого центра мониторинга, так и на персонал заказчиков. Это связано с увеличением целевых компьютерных атак на информационные ресурсы Российской Федерации. Количество кибератак и утечек данных на российские государственные и частные организации стремительно растет, тактики и техники злоумышленников непрерывно совершенствуются. Особенно большим рискам подвергается государственный сектор. В связи со всем этим, постоянный мониторинг и своевременное противодействие угрозам информационной безопасности сейчас актуальны как никогда.

Помимо этого, приходится учитывать фактор импортозамещения: отказ не только от иностранных средств защиты, но и коммуникационного оборудования, технических средств, программного обеспечения и многого другого. Находить замену зарубежным решениям, а также внедрять и интегрировать их в одну систему необходимо как можно оперативней, особенно в условиях непрекращающихся инцидентов по всей стране».

Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»:

«По нашим оценкам, общее число киберинцидентов в 2022 году увеличилось в 1,5–2 раза. Рост заметен по всем отраслям и всем типам угроз: это таргетированные атаки, DDoS-атаки, шифровальщики (Ransomware), атаки хактивистов (Deface) и массовые угрозы. При этом изменилась и усложнилась кадровая ситуация на рынке ИБ, а также заметно сменился портфель продуктов и инструментов кибербезопасности: импортозамещение теперь — наше всё, за редким исключением».

Для выполнения каких задач нужен современный SOC?

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:

«SOC фокусируется на Security operations, среди которых обычно выделяют:

Противодействие угрозам и вторжениям ─ это действия, направленные на недопущение инцидентов, т.е. защитные методы: управление уязвимостями, безопасностью приложений, включая управление изменениями конфигурации, devsecops и другие процессы как при эксплуатации приложений, так и при их разработке, управление политиками различных СЗИ.

Мониторинг и выявление угроз ─ это сбор логов и поиск в них признаков инцидентов (как сигнатурными методами, правилами корреляции, так и с использованием ML: поведенческой аналитики, прогнозирования), TH и TI-процессы, использование ловушек, применение Red и Blue-команд (или пентесты), взаимодействие с другими SOC или регуляторами.

Управление инцидентами ИБ ─ действия, направленные на максимально оперативную локализацию (реагирование), расследования, включая форензику, определение и снижение ущерба, а также мер для недопущения повторных инцидентов в будущем. Это, в свою очередь, требует понимания ИТ-инфраструктуры, критичности ИТ-активов и их взаимосвязи, разработку инструкций (playbooks) действий и сбора дополнительной контекстной информации».

Федор Музалевский, директор технического департамента RTM Group:

«Любой SOC нужен для обнаружения и предотвращения компьютерных атак. Если с обнаружением более-менее понятно, то под предотвращением часто понимают разный набор функций. Здесь и контроль знаний сотрудников компании-клиента, и мониторинг актуальных обновлений, в ряде случаев даже разграничение прав доступа».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Сегодня эти задачи мало чем отличаются от тех, что стояли 15, 10, 5 лет назад – для встраивания процессов кибербезопасности в бизнес-процессы организации таким образом, чтобы делать их безопасными by-design. В тех же случаях, где это невозможно – хотя бы «обшивать» соответствующим мониторингом и контрмерами – для эффективного реагирования в случае попыток внешней и внутренней компрометации критически важных систем».

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ-компании Axoft:

«Задачи для SOC не изменились. SOC – это совокупность процессов, инструментов и специалистов, осуществляющих управление информационной безопасностью на предприятии. При этом, в соответствии с современными реалиями могут появляться новые угрозы и инструменты, но суть SOC не меняется».

Хабас Андрей, руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Основные функции центра SOC никто не отменял:

Осуществлять мониторинг, выявлять и анализировать вторжения в режиме реального времени.
Предотвращать киберугрозы, действуя на опережение: непрерывно сканировать компьютерные сети на уязвимости и анализировать инциденты безопасности.
Оперативно реагировать на подтвержденные инциденты и исключать ложные срабатывания.
Формировать отчеты о состоянии безопасности и происходящих компьютерных инцидентах.

Самое трудоемкое в работе SOC — постоянно анализировать большие объемы данных. Оперативный центр безопасности ежедневно собирает, хранит и анализирует от десятков до сотен миллионов событий безопасности. Не стоит забывать, что весь этот процесс контролируют эксперты: сотрудники SOC не только анализируют поступающие данные, но и при обнаружении киберинцидента принимают меры по его устранению и минимизации ущерба. Также эксперты центра мониторинга могут принимать участие в устранении последствий инцидента — в частности, в восстановлении пострадавших систем, файлов из бэкапа и так далее».

Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»

«В первую очередь SOC должен давать гарантию клиенту, что в случае каких-либо проблем с кибербезопасностью, его прикрывает команда хорошо подготовленных экспертов.

Другими словами, клиент должен получить своевременное оперативное уведомление о факте произошедшего киберинцидента, детальное и качественное описание данного инцидента (с пошаговым описанием активности злоумышленников), информацию об уровне угрозы и потенциальному ее влиянию, а также квалифицированную помощь в подавлении и устранении инцидента».

Кто является заказчиком SOC сегодня?

«Чаще всего это организации, в чьих бизнес-стратегиях есть привлечение услуг аутсорсинга ИБ. Таким образом организации фокусируются на своей основной профильной деятельности и оптимизируют общие операционные затраты. Ими могут быть компании крупного и среднего бизнеса, практически из любой отрасли экономики, включая госсектор. В ряде случаев к аутсорсингу SOC обращаются для оперативного приведения к соответствию требованиям регуляторов и нормативно-правовой базы».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«В первую очередь SOC-центры актуальны для тех организаций, от чьей работы зависит надлежащее функционирование нашей страны в целом. Государственные учреждения любого ранга — от департаментов министерств до проектов «Умный город», медицинские учреждения (МИАЦ, больницы, поликлиники), фонды медицинского страхования (ФОМС) и т.д. Вопросами, связанными с созданием и функционированием SOC, также активно интересуются практически все организации, попавшие под действие Федерального закона “О безопасности критической информационной инфраструктуры”. Данный закон возложил на субъекты критической информационной инфраструктуры обязанности, связанные с реагированием на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномоченного органа (ФСБ России) о компьютерных инцидентах.

Центр мониторинга SOC удовлетворяет базовую потребность любой организации в обеспечении информационной безопасности, а именно возможность технически продолжать использование ИТ-инфраструктуры и сохранит конфиденциальность данных».

«Сейчас тема SOC ушла на второй план, так как многие организации заняты процессами миграции с западных решений на отечественные аналоги. Но, как и раньше, SOC нужен крупным компаниям, которые достигли определенного уровня зрелости в вопросах информационной безопасности».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Если иметь в виду разделение ответственности внутри организации, то подразделение информационной безопасности. Если говорить о рынке в целом – любая компания, информационная инфраструктура которой развита настолько, что её нестабильная работа либо компрометация данных в ней могут нести риски для бизнеса».

Федор Музалевский, директор технического департамента RTM Group:

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:

«Среди коммерческих компаний ситуация не изменилась, по сравнению с предыдущими годами. SOC строят или приобретают услуги коммерческих поставщиков SOC:

Владельцы объектов КИИ, банки, страховые и компании финансового сектора.
Те, у кого бизнес имеет высокую зависимость от ИТ и бизнес-критичные сервисы, доступные из Интернет. Например, СМИ, интернет-ритейлеры, представители сферы услуг населению. При этом имеет значение размер доходов компании. Малые и даже некоторые средние предприятия не могут выделить необходимые бюджеты.
Интернет-провайдеры, поставщики услуг связи или хостинга (в т.ч. продавцы облачных мощностей). Такие организации оказывают дополнительные услуги для своих действующих клиентов. Сюда же можно отнести поставщиков услуг ИБ».

Как обосновать необходимость создания или покупки SOC?

Федор Музалевский, директор технического департамента RTM Group:

«Сегодня повсеместной практикой стало обоснование вложения средства через риск-моделирование. Таким образом получается довольно оперативно и адекватно сформировать картину потерь и описать ее в понятном бизнесу виде. Ведь те, кто принимает решения о выделении денежных средств, чаще всего, не являются техническими специалистами, поэтому разговаривать с ними лучше всего на языке финансов.

Для того, чтобы подготовить такое обоснование, следует выделить критичную информацию, оценить время простоя системы в случае сбоя или атаки и, исходя из этого, сформировать сумму (разумеется, меньшую, чем потери от инцидента) на SOC. Подобный подход мы применяем при риск-моделировании для банков по положению 716-П – методика показала высокую эффективность за последние два года».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«В 2022 году необходимость держать свои активы под контролем становится очевидной сразу по достижению организацией определённого уровня цифровой зрелости и интегрированности информационных технологий в бизнес-процессы. Более того, новейшие нормативные акты обращают внимание руководства бизнеса на вопрос обеспечения киберустойчивости ещё больше, а SOC – уже давно центральный элемент любой современной системы эшелонированной защиты».

«SOC – это не продукт и не готовое решение, и потому его нельзя купить в привычном смысле слова. Но создание SOC лучше начать с выстраивания процессов ИБ, а это не требует чрезмерных затрат».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Предложение по защите информации на предприятии в первую очередь должно отвечать следующим требованиям — простое изложение и примеры из реальной жизни. Также необходимо учитывать, что услуги SOC весьма специфичны, и совмещение с какими-либо другими обязанностями не приветствуются. При необходимости выбора создания или покупки SOC нужно учитывать следующие моменты:

Скорость создания SOC. Развертывание собственного Центра SOC занимает 5-7 месяцев. А если нужно «здесь и сейчас», то подключение к коммерческому Центру мониторинга ИБ займет 5-7 недель.
Штат сотрудников SOC. При создании центра мониторинга необходимо собирать штат из своих имеющихся сотрудников, либо нанимать новых. Также существует вариант привлечения подготовленных специалистов коммерческого Центра SOC, которые помогут компенсировать нехватку или загруженность собственного персонала для сбора и анализа поступающих данных.
Нормативно-правовая документация. При развертывании собственного SOC-центра необходимо создавать свою нормативную базу (регламенты, положения о новом подразделении, должностные инструкции и штатное расписание), оформить необходимые лицензии ФСТЭК и заключить соглашение с НКЦКИ. Либо можно воспользоваться услугами коммерческого SOC с уже готовой базой, лицензиями и соглашением.
Финансовая составляющая. Собственный SOC — значительные единовременные расходы на оборудование, ПО, обучение. Услуги коммерческого SOC-центра — ежемесячные или ежеквартальные фиксированные платежи».

«Всё определяется уровнем рисков. Если риски довольно чувствительные и даже неприемлемые, то вопрос создания или покупки аутсорсинга SOC решается относительно просто. Важно отметить, что SOC позволяет не только реализовать процессы Incident Response. Практика говорит о том, что само наличие SOC делает инфраструктуру и ИТ-процессы более прозрачными и четкими, поскольку SOC постепенно дисциплинирует все уровни ИТ и приводит в порядок размытые процессы».

Как отразился уход западных вендоров на деятельности SOC-ов?

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«На самом SOC практически не сказался уход западных вендоров, т.к. мы использовали отечественные решения. Однако техническое оснащение наших заказчиков значительно поменялось (от оборудования до программного обеспечения), что не могло не сказаться на рабочих процессах центра мониторинга. Пришлось дорабатывать имеющиеся средства обработки информации для правильного считывания логов, переписывать/переделывать правила обработки этой информации (корреляции событий ИБ).

Уход с российского рынка производителей средств защиты информации и соответствующих решений может иметь ключевое значение для отечественной сферы информационной безопасности (ИБ). По прогнозам аналитиков Центра стратегических разработок (ЦСР), в ближайшую пятилетку этот сегмент может вырасти в 2,5 раза — с 185,9 млрд руб. по итогам 2021 года до 469 млрд руб. в 2026 году. «При этом начиная с 2023 года практически весь бюджет заказчиков на средства защиты информации (СЗИ) в секторах b2g и b2b будет потрачен на продукцию российских вендоров, что даст возможность роста этой части рынка c 113 млрд руб. в 2021 году до 446 млрд руб. в 2026 году», — говорится в материалах ЦСР.

Разработка недостающих решений может занять до пяти лет, прежде чем российские ИБ-продукты выйдут на должный уровень качества, говорится в материалах ЦСР. Основная же часть освобождаемой доли рынка, по прогнозам ЦСР, будет освоена в течение ближайших двух-трех лет на существующих наработках и решениях российских вендоров».

«В России есть хорошее покрытие по всем типам общего портфеля инструментов кибербезопасности, включая инструментарий SOC (это в первую очередь SIEM- и SOAR-системы, сопутствующие инфраструктурные решения для хранения и обработки событий). Поэтому текущие сложности из-за ухода ряда иностранных производителей можно охарактеризовать как временные: часть SOC были вынуждены перейти на российские решения, которые в среднем имеют неплохую зрелость.

Всё, что касается дополнительных элементов, таких как обогащение индикаторами компрометации, системы киберразведки, киберкриминалистики, — в целом они остались доступными в виде российских аналогов, Open Source решений или решений дружественных государств. Другое дело, что в случае снижение конкуренции в долгосрочной перспективе будет отрицательно влиять на развитие индустрии. Но тут страдают все стороны».

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:

«Уход западных вендоров сильно повлиял на деятельности SOC. Спустя полгода можно точно сказать: то, что казалось очевидным на момент начала событий совершенно не соответствует тому, что имеем сейчас.

Существующие SOC-команды и раньше использовали open source инструменты, но теперь многие из них имеют риски для российских пользователей. Авторы добавляли закладки блокирующего или откровенно вредоносного характера в новые версии, проверка свободного ПО для использования стала обязательным.

Ушли не только западные вендоры, но и западные сообщества и поставщики открытых данных. Российские SOC оказались отрезанными от международных CERT и обмена знаниями, потеряли доступ к TI feeds и ресурсам бесплатной проверки файлов и ссылок на репутацию.

Один из главных источников событий для SOC – это операционные системы. Сейчас подавляющее большинство составляют Windows и под эти ОС больше всего контента (правил корреляции, плейбуков и пр). Импортозамещение на отечественные ОС сдвинет баланс в сторону Linux: предстоит много работы по разработке новых правил, плейбуков и написанию коннекторов.

Также какое-то время был дефицит мощностей. Это тормозило масштабирование инструментов SOC и миграцию на более требовательные системы. Поставщики коммерческих услуг думали о том, как снизить издержки на аренду мощностей или требования к инфраструктуре клиентов. Но сейчас дефицита не наблюдается».

Иван Мирошниченко, заместитель директора SOC Infosecurity:

«Разумеется, мы ощущаем непосредственно на себе потребность клиентов в импортозамещении. Мы все чаще видим компании, которые переходят с зарубежных SIEM на отечественные решения в основе SOC. При этом многие приходят и к осознанию, что “тянуть на себе” все функции SOC затратно и утомительно. Сегодняшняя ситуация сама подталкивает наших потенциальных клиентов к модели SOCaaS – можно быстро и относительно недорого сделать первый шаг на пути импортозамещения, а, может, этим и ограничиться.

А если нет, то далее внедряем отечественный сертифицированный SIEM и уже в процессе оказания сервиса имплементируем необходимый заказчику контент при том, что эксплуатацию, мониторинг и реагирование все еще осуществляет наша команда. Финальный шаг, до которого доходят совсем немногие – перенос IRP на сторону клиента и передача ему всех функций SOC. Но даже в этом случае нас, как правило, просят оставить как сервис 3-ю линию, в которая, в том числе, делает форензику – нужных специалистов для этого найти все сложнее».

Федор Музалевский, директор технического департамента RTM Group:

«Уход западных вендоров буквально отправил в нокдаун многие SOC-и. Для некоторых, к сожалению, он превратился в нокаут. Наибольший ущерб нашим безопасникам нанесли такие вендоры, как Cisco и Tenable. Ведь без автоматизации управления сетями и контроля уязвимостей (а именно на них приходится половина работы SOC) такой центр просто теряет смысл. Многие центры противодействия кибератакам весенний кризис застал в ситуации, когда они еще не окупили вложения в парк имеющихся импортных средств (поскольку в России это все еще довольно молодое направление). В этих условиях резко все менять и переходить на отечественные решения может себе позволить далеко не каждый, поэтому SOC переживают весьма тяжелые времена».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Изменился выбор источников событий информационной безопасности в защищаемых сетях и средств защиты. Отнесем сюда «классические» инструменты SOC, такие как SIEM и NTA, на которых непосредственно привыкли работать сотрудники подразделений мониторинга и реагирования. К счастью, на рынке есть отечественные производители этих классов решений. Это и упомянутые системы управления инцидентами, и решения по защите конечных точек, и решения класса «Network detection & response» (NDR). Есть, чем заместить «ушедшие» аналоги, проще говоря. Да, в крупных инфраструктурах процесс это не быстрый, но вполне возможный».

«Крупные SOC и так в своей структуре имели как западные, так и отечественные решения. И, так или иначе, существовал курс на импортозамещение. Он просто ускорился».

Как изменились техники и тактики злоумышленников?

«В связи с глобальным противостоянием стали чаще совершаться атаки не с целью получения выгоды (вымогательство, кража данных), а с целью деструктивного воздействия на инфраструктуру. Потому на рынке наблюдается всплеск интереса к средствам защиты от DDOS и аналогичным решениям, призванным защитить инфраструктуру».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Согласно заявлению вице-премьера РФ Дмитрий Чернышенко на встрече с президентом Владимиром Путиным, число кибератак на Россию в 2022 году увеличилось на 80 процентов. При этом каких-то принципиально новых инструментов у злоумышленников не появилось. Преступники по-прежнему используют вирусы, DDoS-атаки, APT, социальную инженерию, программы-вымогатели, фишинг, скам и телефонное мошенничество. Изменилось лишь количество попыток взлома — их по итогам первого полугодия 2022-го стало в 15 раз больше, чем в аналогичный период прошлого года.

Самыми атакуемыми областями стали государственный и финансовый сектора, а также ритейл и логистика. Ситуацию осложнил уход из России крупнейших международных компаний — разработчиков и поставщиков систем защиты информации. Однако, по мнению экспертов, это сделает российскую сферу информационной безопасности одной из наиболее привлекательных с точки зрения инвестиций отраслей. Отсутствие решений извне будет способствовать развитию рынка решений, заточенных специально на отечественных пользователей».

«Техники и тактики практически не поменялись, изменился средний профиль мотивации киберпреступных группировок и увеличилась интенсивность их атак. В значительной степени к мотивации получать прямую финансовую прибыль добавилось массовое стремление реализовать диверсии на региональном уровне или уровне отдельного государства. При этом активизировались группировки иностранных государств. Вышла на новый уровень координация группировок и вовлечение во вредоносные кампании так называемых «волонтеров». В некоторых вредоносных кампаниях (например, таких как шифровальщик RuRansom) загружаемое вредоносное ПО проверяет атакуемые узлы на предмет принадлежности к Российской Федерации (IP-адреса и другие индикаторы) и активируется только в случае положительного результата проверки».

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:

«Техники и тактики злоумышленников почти не изменились. Они сейчас чаще используют «лом»: DDOS или атаки на веб-приложения. Их число кратно возросло – об этом заявляют все производители СЗИ и поставщики услуг SOC.

Несмотря на то, что тактики внутренними нарушителями используются такие же (они просто пропускают часть стадий проникновения) выявление таких инцидентов требует хорошего понимания бизнес-процессов организации и применения поведенческой аналитики. Вы можете использовать сигнатуру или правило корреляции, которые покажут, что внутренний нарушитель использует специальное ПО, например, для сбора информации или связывается с сайтом с низкой репутацией.

Но если он начал делать больше запросов в рамках своей основной деятельности и хуже, если он в сговоре и эта деятельность «распылена», то не обойтись без поведенческой аналитики, способной следить за множеством аспектов: временем работы, количеством запросов\байт\операций, разнообразием объектов, с которыми взаимодействует или типов операций. Все это с наложением на собственное и «среднегрупповое» поведение в предыдущих периодах».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Революций на этом фронте не произошло, но основная проблема не в «инновационных» техниках и тактиках, а в общей неготовности многих компаний к противодействию злоумышленникам, которые интенсифицировали свои действия. Сегодня специалисты, к примеру, по расследованию атак есть лишь в 10 % самых крупных компаний.

При грамотно выстроенной системе кибербезопасности можно выявить почти все действия атакующих, причем как в реальном времени, так и в ретроспективе, но для этого по-прежнему необходимы определённые знания и навыки. И компании, не готовые к приобретению решения, содержащего базу экспертных знаний «из коробки», а также не имеющие профильных специалистов в штате, либо не заручившиеся поддержкой экспертного сервиса, оказываются подвержены риску реализации киберинцидентов в куда большей степени. Можно выразить надежду, что соответствующие усилия регуляторов, в том числе принятые НПА этого года, повысят уровень киберустойчивости российских организаций, обратив внимание их руководителей на проблематику».

Как отразилось обновление нормативной базы на деятельности SOC?

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Радикальных изменений обновление правовой базы не внесло, уже упоминавшееся смещение фокуса внимания на конкретные атаки и их интенсификация повлияли на деятельность SOC в куда большей степени. Плюс, вероятно, для коммерческих SOC некоторые нормативные акты существенно расширили пул потенциальных клиентов, в силу того что обязанность следить за состоянием кибербезопасности появилась у многих, а ресурсы и экспертиза не появляются в одно мгновение. В таких случаях очевидное решение – обратиться к сервисным провайдерам».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«1 мая 2022 года был утвержден Указа Президента за номером 250. Указ возлагает на руководителей органов и организаций личную ответственность за обеспечение ИБ. При этом руководитель должен дать своему заместителю полномочия по обеспечению ИБ. Организация должна своевременно обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Выполнять эти функции должно имеющееся или созданное структурное подразделение. В случае необходимости организации могут привлекать сторонние компании к выполнению функций по обеспечению ИБ, но эти компании должны быть лицензированы на осуществление деятельности по технической защите конфиденциальной информации.

В связи с выходом данного указа произошли следующие изменения:

Повысился рост спроса на сервисы безопасности;
Пересмотрены стратегии кибербезопасности и перезапущены многие ИБ-проекты;
Совершен форсированный переход к реальной кибербезопасности;
Проведен экосистемный подход к обеспечению кибербезопасности;
Возрос интерес к безопасной разработке;
Произошло дифференцирование рынка ИБ-решений;
Повышена тенденция к импортозамещению».

«Указ Президента РФ № 250 от 1 мая 2022 года вносит целый ряд изменений в нормативно-правовую базу, что напрямую влияет на SOC.

Во-первых, дополнительное (к предыдущим правовым актам) определение ответственности за инциденты ИБ в организациях критичной инфраструктуры дополнительно мотивирует руководство организовывать мониторинг инцидентов (как своими силами, так и через аккредитованные аутсорсинговые организации). В

Во-вторых, предполагаются дополнительные действия по аккредитации корпоративных центров ГосСОПКА с целью повысить качество их работы и исключить случайные, «бумажные» SOC без соответствующих экспертов, инструментов и процессов.

В-третьих, указ запрещает с 1 января 2025 года использование инструментов информационной безопасности недружественных государств, что, безусловно, повлияет на часть SOC, предполагающих использовать по инерции такие инструменты».

Федор Музалевский, директор технического департамента RTM Group:

«Законодательство отреагировало на изменения в политике относительно оперативно. Но повлияло оно не на деятельность SOC в целом, а только на сегмент, обслуживающий системно-значимые предприятия и критически важную инфраструктуру. Там появились обязательные требования о выделении подразделений ИБ, сформулированы требования по аутсорсингу. Для всех остальных SOC нормативка 2022 никак не повлияла на деятельность».

Как изменились основные методики оценки эффективности SOC?

«Оценка эффективности SOC традиционно является довольно спорной и остро обсуждаемой темой. Если опустить традиционные споры о необходимости связывать KPI SOC с целями и задачами бизнеса, количественной оценкой снижаемых рисков, то из последних трендов можно отметить все чаще применяемый подход к фокусировке SOC на мониторинге угроз, приводящих исключительно к неприемлемым рискам.

Из-за возросших угроз в 2022 году (повторюсь, по средним оценкам количество угроз выросло в 1,5–2 раза) владельцы информационных систем откладывают размышления о необходимости SOC и целевых показателей эффективности и переходят к срочному строительству или подключению SOC, поскольку им и без сложных аудитов понятно, что угрозы кибербезопасности — это уже не маркетинговые страшилки производителей средств защиты информации, а суровые реалии».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«В связи с последними событиями — ничтожно мало. Ландшафт угроз крайне изменчив, специалистам SOC не привыкать переключать внимание с одного тренда на другой в зависимости от данных аналитики. Что касается оценки эффективности, реально понять, работает ли SOC, и насколько эффективно, можно, только обкатав процессную модель «в бою» и замерив конкретные показатели скорости реагирования и «зоны видимости».

Применяя такие практики, как Red Teaming, и, проводя учения, можно оценить качество. А если поставить процесс Purple Teaming – совместной работы специалистов по проникновению из «команды красных» со специалистами «команды защиты» (Blue Team) из SOC – на регулярную основу, можно дополнять инструментарий службы мониторинга и совершенствовать качество и скорость ответов на угрозы и инциденты».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Основная методика оценки эффективности — это степень выполнения SLA. Отслеживать этот параметр нужно на всех этапах: регистрация и анализ событий ИБ, оповещение заказчика, решение инцидента, проведение расследования и т. д. И здесь надо видеть не только среднее время (а лучше медиану), но и максимальные и минимальные значения. Разумеется, должна быть возможность видеть выполнение SLA по каждому инциденту, чтобы проводить анализ и выяснять, в каких случаях он нарушается.

Понятно, что отслеживать только время недостаточно — нужно вести статистику изменения количества инцидентов, по которым был нарушен SLA. Иными словами, при подключении заказчика мы прописываем SLA не только по сервису в целом, но и по каждому конкретному событию ИБ (в данном случае нас интересует информация о том, что это за инцидент и в какие моменты он изменял свои статусы). Так мы сможем понять, кто «виноват» и в какой момент случился сбой в процессе, чтобы сразу выявить причины. Ну и подстелить соломку, дабы избежать такого инцидента в будущем.

Исходя из этого, мы можем сделать вывод, что основные методики оценки эффективности SOC не изменились за последнее время».

Какие возможности совершенствования технологий, процессов и эффективности современных центров кибербезопасности открываются сегодня?

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:

«В первую очередь — активное практическое применение ML. Множество инструментов уже имеют функционал поведенческой аналитики, но нужно расширять его применение и использовать новые методы. Например:

Для снижения False Positive Rate работы правил корреляции: на большом количестве размеченных данных сработок коррелятора можно добиваться оценки вероятности ложноположительного срабатывания и снижать приоритет или количество инцидентов в работе. Таким образом снижая нагрузку на персонал, в первую очередь, первую линию.
Для контроля эффективности правил корреляции в зависимости от поступающих событий. Довольно трудоемким является контроль «полезности» логов, из них может пропасть необходимая информация для работы правил в результате обновления ПО или изменения конфигурации источников. Необходимо, используя поведенческие профили, контролировать сам поток событий: его характеристики, а также содержание (наличие нужных полей), чтобы оперативно понимать, какие правила теряют эффективность, а уровень «видимости» инфраструктуры снижается.
Для выявления внутренних угроз: инсайдерской деятельности, использования чужих учетных записей как при взломе, так и при добровольной передаче реквизитов доступа (например, уходящими в отпуск работниками и т.д.). В этом помогут инструменты поведенческой аналитики, но нужно обратить внимание на их специфику: встроенные в SIEM UBA-средства, например, ориентированы на внешнего злоумышленника.

В современных условиях также важно задуматься о контроле привилегированных учетных записей (PAM), т.к. операторы, администраторы, аналитики SOC имеют доступ к большому количеству чувствительной информации, а также возможности проведения масштабных диверсий с использованием функционала IRP\SOAR. Если у компании есть бюджет и возможности, не стоит пренебрегать применением PAM в SOC, в особенности при потреблении коммерческих услуг SOC».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Конкретно для отечественных производителей средств защиты информации происходящие глобальные геополитические сдвиги открывают необъятные горизонты работы и возможностей в технологической части. Те решения, что раньше предпочиталось покупать за рубежом, сегодня, очевидно, придётся реализовывать силами отечественных производителей – что открывает возможности как по наращиванию экспертизы в этом направлении, так и по коммерческому развитию непосредственно производств.

Также, на мой взгляд, самое время задуматься о системах обучения молодых кадров и сертификации, уход западных сертификационных центров «по команде» подсказывает перспективность идеи создания политико-независимой, вероятно, международной, с дружественными государствами, системы сертификации специалистов».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Тренд на экосистемный, моновендорный подход к кибербезопасности. Такой подход предоставляет защиту для разных групп активов, для разных технологических и бизнес-процессов. Одно из явных преимуществ такого подхода режим одного окна для команд по информационной безопасности. У вас есть одна платформа, одна консоль управления, где вы получаете информацию со всех средств защиты, размещенных на всей инфраструктуре.

С точки зрения заказчика, при выборе одного вендора появляется возможность привлекать специалистов производителя для проектирования объекта. Вендор в этом случае отвечает как за отдельные элементы, так и за подсистемы в целом, а самое главное — за их бесшовное объединение в единый инфраструктурный комплекс, ведь для заказчика гораздо важнее получить не высокий КПД и надежность отдельных элементов, а гарантированную надежность и хороший КПД инфраструктуры в целом.

Моновендорный подход — это удобство, легкость и простота интеграции различных компонентов. Наконец, серьезным преимуществом в пользу данного подхода можно назвать гибкую ценовую политику. Намного легче получить хорошую скидку от вендора, если вы приобретаете целый комплексное решений, а не какое-то одно или несколько разрозненных».

On-Premise или SOCaaS? Какой SOC наиболее выгоден сегодня?

Федор Музалевский, директор технического департамента RTM Group:

«В любые времена выгоден тот SOC, который покрывает все потребности клиентов. Позволяет оперативно реагировать на кибератаки: предотвращать их, отражать, блокировать их дальнейшее развитие, прогнозировать зловредную активность.

При этом, если он приносит месяц за месяцем серьезные убытки своим владельцам (и при учете отсутствия уверенности в завтрашнем дне), у них нет никаких причин продолжать поддерживать его функционирование и расходовать средства на закупку новых продуктов. Все это просто нерентабельно. Таким образом, можно сказать, выгоден тот SOC, который способен защитить компанию от крупных инцидентов без неподъемных расходов».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Этот вопрос возникает каждый год, и ответ на него каждый год остаётся неизменным – и у того, и у другого подхода есть свои плюсы и минусы. Так, сотрудник внешнего SOC в меньшей степени погружён в бизнес-контекст защищаемой компании, ему дольше и сложнее разбираться со сложными инцидентами.

Но бюджету компании внешний сервис обходится дешевле, чем попытка «с нуля» создать в компании соответствующее экспертное подразделение. Таких оценочных факторов много, они часто обсуждаются на конференциях, и значительных изменений их набор не претерпел. Решение необходимо принимать в соответствии с балансом потребностей и возможностей».

«Зависит от уровня зрелости. Услуги SOC могут резко увеличить уровень безопасности для компаний, у которых низкий уровень зрелости процессов. Более зрелым компаниям нужно строить свой SOC, адаптируя его под себя».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«На первый взгляд, облачные SIEM-решения имеют ряд преимуществ, такие как: минимальные вложения ресурсов и времени на внедрение решения, прозрачное масштабирование, отсутствие необходимости администрирования и сопровождения аппаратной или виртуальной платформы для SIEM, гибкая оплата только используемых вычислительных мощностей и пространства и многое другое.

Вместе с тем, облачные решения для построения SOC не всегда оказываются дешевле, чем локальные (On-Premise), поэтому каждая организация должна взвешивать для себя все «за» и «против» при выборе типа SIEM.

Выбор решения может зависеть от следующих параметров: совокупная стоимость решения, а также оплату труда сотрудников, занятых в работе центра мониторинга, наличие собственных компетенций по построению процессов центра мониторинга или привлечение других организаций для консультирования, скорость построения центра мониторинга и ввода его в эксплуатацию, потребность в круглосуточном мониторинге и реагировании на события, требования регулятора по использованию сертифицированных решений в центре мониторинга.

Лучше всего привлечь к процессу выбора надёжного ИТ-консультанта, имеющего опыт работы с построением физической и облачной ИБ-инфраструктуры и достаточную квалификацию».

«Здесь сугубо персональный подход. Уже довольно редко применяется критерий экономической эффективности, сравнения CAPEX и OPEX, расчета TCO (Total Cost of Ownership) и FTE (Full-Time Equivalent), а все чаще речь идет о долгосрочной стратегии развития организации и выбора модели фокусировки и специализации труда в конкурентной среде. Очень часто выбирается гибридный вариант, где часть инструментов SOC и команды SOC работают в режиме On-Premise, а часть процессов отдается на аутсорсинг. При этом события хранятся внутри организации».

Как меняется роль ИБ в обеспечении непрерывности бизнес-процессов компаний-заказчиков SOC?

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Значимость триады «киберзащита-киберустойчивость-непрерывность» давно признана, поэтому можно сказать, что роль не меняется. Растёт осознание руководителями бизнеса неотъемлемости функции ИБ, на что влияют в том числе НПА, принимаемые государством».

Какие услуги набирают наибольшую популярность в современных центрах кибербезопасности?

Иван Мирошниченко, заместитель директора SOC Infosecurity:

«Если еще три года назад мы видели некоторое недоверие к автоматическому реагированию, то последние два года интерес к нему со стороны клиентов нашего SOC только растет. Причем речь может идти как о реагировании на уровне EDR или СЗИ на стороне нашего клиента, что уже не редкость и поддерживается многими вендорами систем SOC, так и о реагировании на уровне сторонних сервисов ИБ. Приведу пример одного из самых востребованных у нас автоматических сценариев: при обнаруженной SOC удачной попытке брутфорса учетной записи пользователя, эта учетка автоматически блокируется.

Но самое интересное происходит далее – соответствующему пользователю автоматически назначается курс Awareness в рамках другого нашего сервиса, и уже в SOC контролируется его прохождение и дальнейшее поведение пользователя по результатам. Именно это направление автоматизации мы видим самым перспективным для нашего сервиса SOC».

Федор Музалевский, директор технического департамента RTM Group:

«Если говорить обобщенно, то сегодня популярен риск-ориентированный подход. Он показывает свою состоятельность и в перспективе должен потеснить все иные подходы к организации безопасности».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Как правило, это услуги:

экспертной оценки текущего состояния киберзащищённости;
создания на основе такой оценки плана экстренных контрмер укрепления киберустойчивости. Ими могут быть изменения процессов, найма команд, покупки сервисов и внедрения технических решений и плана стратегического развития системы обеспечения киберустойчивости.

Также популярна услуга compromise assessment – с помощью базы знаний экспертов внутреннего или коммерческого SOC проводится «охота на угрозы» в информационной инфраструктуре и проверяются различные гипотезы вида (упрощённо) «а не взломаны ли мы уже, просто не знаем об этом». В таких расследованиях особенно ценно, например, иметь в инфраструктуре решение класса NTA, обладающее возможностью записи и хранения сетевого трафика, услуги и решения защиты от атак класса «(распределённый) отказ в обслуживании» (DDoS)».

«Очень важно отметить тот факт, что эффективный SOC в современном понимании — это не только SIEM и несколько линий аналитиков. Сегодня SOC должен быть командой киберисследователей с постоянным процессом исследования техник и тактик киберпреступных группировок, где, помимо непосредственно процесса мониторинга (который постоянно эволюционирует), необходимо и сочетание эффективного применения процессов Threat Hunting (проактивный поиск угроз по гипотезам), сервисов киберразведки (Threat Intelligence — исследования внешнего контекста и ИБ-ландшафта вокруг организаций, поиск индикаторов компрометации), наличия киберкриминалистов (Digital Forensics Incident Response — глубокий разбор и расследование инцидентов), наличия постоянного процесса Purple Teaming (процесс тренировки команд SOC и повышения сценариев детектирования с привлечением команд «белых хакеров» Red Team)».

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Среди наиболее актуальных можно выделить три основных направления:

1. Тестирование на проникновение (пентест). В наше время опыт в проведении пентестов все активней приветствуется в кандидатах, которые претендуют стать частью экспертной командой SOC-центра. Новым обучающим форматом стали киберучения, в которых одновременно могут принять участие все специалисты компьютерной безопасности: пентестеры, исследователи, сотрудники службы ИБ и центра мониторинга. Сценарии атак для киберучений могут быть автоматизированы, а могут реализовываться с привлечением атакующий стороны, состоящей из экспертов ИБ. Привлечение нескольких атакующих команд позволяет улучшить подготовку сотрудников службы ИБ и SOC, поскольку у них появляется возможность проработать больше техник и сценариев атак.

2. Форензика. Форензика всегда была неотъемлемой частью работы специалистов SOC-центров из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами в таком случае ставится ряд задач: понять вектор и метод атаки, восстановление хронологии и сценария атаки, сбор ее последствий и, наконец, предложение превентивных мер для лучшей защиты в будущем.

3. Мониторинг сетевого оборудования. Необходимость непрерывного мониторинга сетевого оборудования вызвана все теми же участившимися угрозами ИБ. Они могут быть обусловлены как внешними факторами, так и внутренними. Среди основных внешних факторов можно назвать возросшее число атак, увеличивающийся интерес к такого рода объектам со стороны злоумышленников или необходимость выполнения законодательных требований. Также потребность может быть продиктована желанием повысить общий уровень прозрачности инфраструктуры предприятия, снизить издержки и увеличить эффективность ИБ-подразделения».

Страхование киберрисков актуально для клиентов SOC?

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Как и любое другое страхование – актуально настолько, насколько страховка покроет клиенту риск в случае его реализации, несмотря на все принятые контрмеры. Если речь о том, заказывать ли услугу SOC или просто страховать риск, отвечу аналогией – пройдя, например, школу контраварийного вождения, вы ведь всё равно будете приобретать автомобильную страховку? Как минимум обязательную. То есть, в нашем случае, строить систему киберзащиты в компании. А нужен ли вам дополнительный её слой в виде сервисного SOC – решать уже вам».

«Страхование актуально, но не нужно преувеличивать его возможности. Любое страхование основывается на количественной (экономической) оценке рисков, что в информационной безопасности традиционно является большой проблемой. Только в ряде отраслей и в отдельных инцидентах можно реализовать данную оценку рисков относительно качественно (например, онлайн-ритейл и стоимость реализованных DDoS-атак, когда мы получаем нарушение работоспособности основного сервиса).

Во всех остальных случаях мы получаем проблему невозможности комплексно и одновременно точно оценить риски. Поэтому страхование можно применять точечно и только в отдельных случаях. Это априори не позволяет исключить SOC через инструменты страхования в большинстве случаев».

Федор Музалевский, директор технического департамента RTM Group:

«Страхование рисков кражи и потери информации находится в зачаточном состоянии и слабо регулируется. Страховые компании не имеют четких регламентов по возмещению, и, главное, оценке ущерба. Все эти механизмы необходимо совершенствовать».

Иван Мирошниченко, заместитель директора SOC Infosecurity:

«Страхование киберрисков актуально для клиентов SOC, также как актуально для клиентов любых других сервисов информационной безопасности. Но, как мы считаем, в данном вопросе главное не понадеяться на то, что вне зависимости от эффективности SOC отрицательные последствия инцидента компенсирует страховщик – во многих случаях это просто невозможно. Или представьте себе, что речь идет о КИИ или ЗОКИИ, жизни людей, или, например, государственной тайне».

Как выбирать и сравнить поставщиков SOC?

Хабас Андрей, Руководитель центра мониторинга ИБ «Астрал.Безопасность»:

«Еще несколько лет назад актуальным считался подход, когда все данные стремились собрать в одном месте «на всякий случай» или включали сразу сотни правил корреляции, чтобы реагировать на все инциденты сразу. К счастью, ситуация изменилась и большинство заказчиков, которые приходят к нам за построением SOC, вполне зрелы и понимают, что им это необходимо. При выборе поставщика услуг важно ориентироваться на три составляющие: экспертную квалификацию провайдера, набор инструментов, с которыми он работает, и формат предоставления отчётов заказчику.

Также при выборе поможет чек-лист основных вопросов, на который заказчик должен ответить:

какие конкретно сервисы SOC нужны в первую очередь;
каковы ожидания от услуги в целом с учетом инфраструктуры и состава средств защиты; достаточно ли их для полноценного сервиса;
какие из процессов (например, детектирование, реагирование, расследование) действительно готовы отдать на аутсорсинг;
зоны ответственности участников процесса;
насколько готовы предоставлять доступ к собственной инфраструктуре (а он точно понадобится в том или ином виде);
исходя из чего будет оцениваться экономическая эффективность;
какие сопутствующие услуги важно получать дополнительно».

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC:

«Текущий год оказался богат на события в области информационной безопасности – согласно данным аналитиков, по итогам первого полугодия число кибератак в России выросло в 15 раз, поэтому тема выбора и сравнения поставщиков услуг ИБ, в том числе SOC, продолжает оставаться актуальной.

При выборе SOC компании, в первую очередь, отталкиваются от двух ключевых вещей: целей, которые нужно достичь, и возможностей, включающих технологическую зрелость и оснащенности организации, наличие необходимого персонала и технических компетенций.

Современный SOC – это сплав, состоящий из огромного количества компонентов, которые делятся на группы из людей, процессов, технологий. Выбирая поставщика, важно сформулировать приоритетные функции, характеристики и требования к услуге информационной безопасности.

Первое, что обязательно стоит оценить – это режим предоставления услуги. Заказчик должен определиться, нужно ли осуществлять мониторинг и реагирование на инциденты в режиме 24\7, каким образом устроен регламент поставщика, какой SLA уровень соглашения услуг будет предоставлен, а также как технологически и с точки зрения организационных процедур он обеспечивается.

Важно понимать, как поставщик оказывает услугу мониторинга (как реализован регламент и насколько он «ложится» на требования и ожидания компании) и реагирования, а также уровень компетенций специалистов, привлеченных к этим процессам. Например, в рамках услуги STEP Smart SOC мы предоставляем выделенного аналитика-эксперта, который понимает все тонкости ИТ-ландшафта компании, а также вовлечен в процесс мониторинга, что для более чем 80% наших заказчиков является главным конкурентным преимуществом. Кроме этого, подключаясь к нашему SOC, заказчики получают личный кабинет, интегрированный в рабочий процесс расследования инцидентов и обмена инцидентами с ФинЦЕРТ/НКЦКИ, а также прямой контакт с экспертами по анализу и расследованию инцидентов.

Не менее важно и техническая «начинка» SOC, уровень его автоматизации, применение передовых методов и технологий. Например, использование машинного обучения для глубокого анализа собранных данных позволяет снизить количество ложных срабатываний более чем в 10 раз.

Делать выбор, отталкиваясь от предложений провайдера, сегодня не так просто, как это было раньше, потому что набор услуг у большинства SOC-центров похож, а у крупных игроков даже может быть идентичен. Поэтому я бы рекомендовал дополнительно обратить внимание на процессы управления качеством и метрики, которые лежат в основе определения качества предоставляемой услуги. Они должны соотноситься с целями организации, определенными на начальном этапе. Хорошей практикой является наличие выделенного менеджера, который будет следить за уровнем предоставления услуг. Кроме этого, некоторые поставщики дают возможность наглядно оценить качество услуг в рамках бесплатных пилотных проектов».

«Во-первых, рекомендуется познакомиться лично с командой, внимательно изучить процессы и используемые технологии.

Во-вторых, бывает полезным получить референсы и пообщаться с действующими клиентами. Зачастую важен отраслевой опыт команды (например, в финансовой отрасли или промышленности). Имеет значение наличие лицензий, сертификатов и пройденных специализированных аудитов, а в ряде случаев, если речь идет о мониторинге критичной инфраструктуры, необходимо наличие соглашения с НКЦКИ (корпоративный центр ГосСОПКА).

Иногда помогает принять решение о выборе поставщика пилотирование SOC. Хотя важно понимать, что в данном случае речь идет не о сравнительном тестировании средств защиты информации, а о получении общего представления о команде SOC (ее проактивности, квалификации, клиентоориентированности) и применяемых ею подходах».

Иван Мирошниченко, заместитель директора SOC Infosecurity:

«Недавно мы провели исследование среди наших клиентов и выяснили, какие факторы повлияли на выбор нас в качестве поставщика сервиса SOC. Результаты были следующими:

85% опрошенных сообщили, что главным критерием выбора являлась экспертность сотрудников SOC. Данная экспертность выявлялась на этапе пилота и проявлялась в качестве консультаций при внедрении сервиса и реагировании на инциденты ИБ.
73% опрошенным было важно оперативно получать консультации без лишних проволочек на этапе эскалации.
примерно половина опрошенных заявили, что для них важнейшую роль при выборе сыграли рекомендации коллег по индустрии».

Федор Музалевский, директор технического департамента RTM Group:

«Мы рекомендуем выбирать поставщиков, основываясь на положительных отзывах неаффилированных клиентов и компетенции исполнителей. Совокупность этих факторов редко оказывается ложной. Обращать же внимание на величину поставщика, объем активов и прочее – просто терять время.

Компетенцию следует проверять у тех исполнителей, которые непосредственно буду оказывать Вам услугу, а не считать общее число дипломированных специалистов в компании».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Четкую инструкцию в рамках одного ответа на вопрос дать невозможно. Но хорошим вариантом представляются пилотирование SOC на ограниченной части инфраструктуры и проверка качества его работы с помощью привлечения независимой Red Team – специалистов по проникновению в информационные системы. Так называемый формат «киберучений». Оценка эффективности по референсам и рекомендациям клиентов, на чьей сети такая «проверка боем» уже была проведена, тоже вполне допустима».

Узнать, как изменились мнения экспертов за год можно, сравнив ответы текущей статьи со статьей 2021 года. Регистрация на SOC-Форум 2022 доступна по ссылке.

Автор: CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.

Комментарии: