Как выбрать сервис-провайдера для построения SOC (Security Operations Center)

Как выбрать сервис-провайдера для построения SOC

Как выбрать сервис-провайдера для построения SOC

Спрос на услуги коммерческих центров мониторинга и реагирования на инциденты в области информационной безопасности (Security Operations Center, SOC) растёт прямо пропорционально повышению ИБ-зрелости российского бизнеса. Как следствие, увеличивается число сервисных провайдеров, оказывающих услуги по созданию и сопровождению центров мониторинга и реагирования на инциденты. Выбирать провайдера основываясь на громких обещаниях построить SOC «с нуля» в считаные дни — плохая идея.

 

 

 

  1. Введение
  2. Инструменты
  3. Компетенции
  4. Понятный результат
  5. Выводы

Введение

С крупными федеральными провайдерами на российском рынке SOC всё чаще конкурируют небольшие региональные игроки — в том числе нишевые компании, специализирующиеся на отдельных бизнес-сегментах (например, на защите АСУ ТП или финансового сектора). При выборе поставщика услуг важно ориентироваться на три составляющие: экспертную квалификацию провайдера, набор инструментов, с которыми он работает, и формат предоставления отчётов заказчику. Остановимся на каждом из этих пунктов подробнее.

Инструменты

Прежде всего стоит определиться с целями, которые стоят перед компанией при создании центра мониторинга: нужны ли вам реагирование в формате 24х7 либо услуга SIEM как сервис и настройка автоматических уведомлений, какой сегмент ИТ-инфраструктуры необходимо защитить. Важно также проанализировать тот пул средств отслеживания инцидентов и защиты, который уже существует в компании.

Всех присутствующих на рынке провайдеров можно разделить на два типа: услуги гибридного SOC (центр мониторинга организован на базе инфраструктуры заказчика) и облачного. Второй вариант будет предпочтителен для небольших организаций, не имеющих собственного SIEM-решения, либо для высокотехнологичных компаний, которым нужен быстрый результат и которые готовы использовать в работе аутсорсинг.

SOC-as-a-Service — это подключение к уже существующему центру мониторинга и реагирования одного из ключевых провайдеров рынка ИБ. Глобально это и есть модель управляемых сервисов, которые в большинстве случаев заказчик получает из облака. Обычно это — самый простой и наименее затратный вариант реализации SOC.

Имеет смысл выбирать того поставщика услуг, который работает с имеющимся в вашей компании пулом источников инцидентов, имеет опыт мониторинга и реагирования на них. Для этого на первоначальном этапе реализации проекта придётся произвести подробный анализ инфраструктуры: чем глубже заказчик погружён в реализацию проекта, тем лучше будет результат.

Обратите внимание на функциональность, которую гарантирует провайдер: где хранятся данные, кто будет поддерживать инфраструктуру и работу SIEM. Как правило, надёжный сервисный провайдер обеспечивает всё вышеперечисленное.

Компетенции

Внимательно изучите набор компетенций, заявленный сервисным провайдером: есть ли у него опыт не только в выявлении, но и в расследовании инцидентов, понимание основных векторов атак и угроз, актуальных для вашей инфраструктуры; умеют ли его эксперты работать с источниками событий и разнообразием средств защиты. Последняя компетенция должна быть подтверждена не только наличием сертификатов, но и реальными кейсами у крупных заказчиков, опыт которых вы можете применить к решению собственных задач. Для некоторых компаний важным будет наличие отраслевой экспертной квалификации: например, не все провайдеры SOC имеют понимание работы АСУ ТП или инфраструктуры финансовых организаций.

Понятный результат

Ещё одна важная деталь в работе оператора коммерческого SOC — это визуальное оформление результатов его работы. Очень важно, чтобы информация о возникающих внутри инфраструктуры проблемах, инцидентах в сфере безопасности, причинах их возникновения и процессе расследования была наглядно и своевременно донесена до заказчика. Для достижения этой цели эксперты ISOC используют все существующие бизнес-инструменты: оперативное оповещение по телефону и электронной почте, панели мониторинга по событиям и инцидентам, регулярную отчётность.

Выводы

Сколько людей, столько и подходов: одни выстраивают собственную сложную структуру кибербезопасности, другие последовательно внедряют комплекс средств защиты, третьи делают ставку на кадры и набирают команду высококвалифицированных ИБ-специалистов.

Прежде чем обратиться к провайдеру SOC, важно ответить себе на вопрос, зачем вам это нужно. То время, когда иметь SOC было просто модно, уже прошло.

Ещё несколько лет назад рабочим считался подход, когда все данные стремились собрать в одном месте «на всякий случай» или включали сразу сотни правил корреляции, чтобы реагировать на все инциденты сразу. Но через некоторое время обязательно возникал вопрос: деньги мы потратили, а что в итоге получили? К счастью, ситуация изменилась и большинство заказчиков, которые приходят к нам за построением SOC, вполне зрелы и понимают, что им это необходимо.

Эксперты Softline рекомендуют начинать проект по созданию центра реагирования с формулировки целей и задач: какой выделен бюджет, на каких решениях он будет построен, какие требования регуляторов должен закрыть, кто его будет эксплуатировать, с какими внутренними системами его нужно интегрировать, кто будет выявлять инциденты и реагировать на них и в каком режиме.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru