Выбор коммерческого центра мониторинга и реагирования на инциденты в информационной безопасности (Security Operations Center, SOC) в 2024 году является критически важным для обеспечения безопасности информационных систем и защиты данных от угроз. Какие факторы следует учитывать при выборе коммерческого SOC? Какие критерии отбора должны быть наиболее важными?
- Введение
- Обзор российского рынка услуг коммерческих SOC
- Выбор коммерческого SOC
- Прогнозы экспертов по развитию отрасли
- Выводы
Введение
Современный бизнес сталкивается с растущим количеством киберугроз и нуждается в надёжной защите информации (читайте наш материал — «Прогноз развития киберугроз и средств защиты информации — 2024»). Одним из инструментов, помогающих организациям обеспечить безопасность данных, является коммерческий центр мониторинга и реагирования. Однако выбор подходящего SOC может быть сложной задачей из-за многообразия предложений на рынке. Мы рассмотрим ключевые критерии, которые помогут выбрать подходящий коммерческий SOC в современных реалиях.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Сергей Солдатов, руководитель центра мониторинга кибербезопасности, «Лаборатория Касперского»;
- Андрей Дугин, руководитель центра сервисов информационной безопасности, МТС RED;
- Андрей Заикин, директор по развитию бизнеса, «К2 Кибербезопасность»;
- Владимир Зуев, руководитель коммерческого SOC, «МегаФон ПроБизнес»;
- Артём Грибков, заместитель директора Angara SOC по развитию бизнеса, Angara Security;
- Александр Матвеев, директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита»;
- Владимир Дмитриев, заместитель директора экспертного центра безопасности, Positive Technologies (PT Expert Security Center).
Ведущий и модератор дискуссии —Виталий Сиянов, руководитель отдела развития, ГК «Солар».
Обзор российского рынка услуг коммерческих SOC
Артём Грибков рассказал, что основной спрос на услуги коммерческих SOC связан с киберразведкой, включая поиск информации с применением методов OSINT. Также стала популярна услуга защиты бренда для борьбы с фишинговыми сайтами, фейковыми страницами. Защита от атак через подрядчиков на сегодняшний день тоже весьма актуальна. Однако не стоит забывать, что есть отдельный класс недобросовестных исполнителей, которые размещают в публичных репозиториях данные пользователей (логины, пароли).
Также эксперт отметил, что при помощи автоматизированной атрибуции угроз можно узнать, какие злоумышленники атакуют конкретные компании с использованием тех или иных тактик и процедур, и потом на основе этого строить аналитику, узнавать, какие группировки против каких компаний работают.
Артём Грибков, заместитель директора Angara SOC по развитию бизнеса, Angara Security
Андрей Заикин добавил, что по статистике 30–40 % заказчиков стали интересоваться услугой пассивного и активного реагирования.
Рисунок 2. Пользуетесь ли вы услугами коммерческого SOC?
Ведущий продемонстрировал результаты опроса, согласно которым лишь 16 % организаций пользуются услугами коммерческого SOC. Большинство зрителей эфира (43 %) пришли просто послушать и посмотреть. По результатам опроса однозначно можно сказать, что рынку есть куда расти.
Новые требования заказчиков
Владимир Дмитриев считает, что современные заказчики коммерческих SOC предъявляют к вендорам высокие требования по кибербезопасности. Они ожидают, что SOC обеспечит защиту от широкого спектра угроз, включая сетевые атаки и вредоносные программы. Заказчики также ожидают быстрого реагирования на инциденты и высокой степени автоматизации процессов.
Владимир Дмитриев, заместитель директора экспертного центра безопасности, Positive Technologies (PT Expert Security Center)
В диалоге с ведущим Александр Матвеев назвал ряд требований, которые заказчики предъявляют к коммерческим SOC:
- гибкие и индивидуальные ценовые условия;
- расширенные возможности мониторинга и аналитики;
- лучшая защита от новых видов угроз;
- возможность быстрого реагирования на инциденты;
- развитие и модернизация услуг.
Ранее мы публиковали статью «Реагирование на инциденты: что вам должен SOC».
Александр Матвеев, директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита»
Также он добавил, что стоимость услуг коммерческих SOC растёт и зависит от оборудования, аппаратного обеспечения, стоимости лицензий и уровня квалификации специалистов.
В прошлом году один из эфиров AM Live был посвящен теме «Образование и обучение: как решить кадровый вопрос в информационной безопасности?», можете также прочитать итоговую статью.
Рисунок 3. В чём для вас главная причина интереса к услугам коммерческих SOC?
По данным опроса зрителей телеэфира AM Live, 34 % респондентов считают, что главная причина интереса к коммерческим SOC — кадровый голод. Ещё 28 % ставят на первое место отсутствие собственной экспертизы. 14 % опрошенных связали востребованность таких услуг с ростом числа кибератак на компании.
Внешние и внутренние SOC и их стоимость
По мнению Артёма Грибкова, основное отличие внутренних SOC от внешних заключается в том, что первые могут учитывать специфические бизнес-процессы своей компании при мониторинге, в то время как вторые ограничены масштабируемостью своих услуг для большого количества заказчиков. Основная проблема внешних SOC заключается в необходимости управления большим количеством контента и элементов инфраструктуры для разных заказчиков.
На вопрос ведущего о том, почему у провайдеров так сильно разнятся цены, ответил Сергей Солдатов. Основываясь на опыте работы своей компании, он указал, что ключевые факторы, влияющие на стоимость, — это инфраструктура и команда (специалисты). Спикер упомянул, что в их компании используется преимущественно собственный софт, и подчеркнул важность соответствия требованиям для различных блоков мониторинга. Он также отметил, что в компании необходимо вести расчёты для определения объёма мониторинга и требуемого количества сотрудников.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности, «Лаборатория Касперского»
Выбор коммерческого SOC
Основные критерии при выборе SOC
Ведущий предложил спикерам обсудить важную тему выбора SOC. Эксперт Андрей Заикин сказал, что экспертиза остаётся важным фактором при выборе SOC, однако на сегодняшний день всё большее внимание уделяется слаженной работе команды. Он подчеркнул, что необходимы сильные лидеры, которые будут тренировать команду с нуля, обучать её на собственном примере, а также уделять особое внимание сплочению коллектива.
Не так давно одна из статей на нашем сайте была посвящена теме обучения информационной безопасности.
Спикер отметил, что в вопросах выбора SOC на первый план выходят процессы, так как именно они влияют на скорость реагирования. Он предложил обратить внимание на данные о команде, такие как сертификаты специалистов и другие документы, подтверждающие квалификацию. Безусловно, после выбора SOC необходимо оценить его в действии, например через пилотный проект или услугу оценки защищённости компании.
Андрей Заикин, директор по развитию бизнеса, «К2 Кибербезопасность»
Александр Матвеев присоединился ко мнению Андрея Заикина о важности скорости реагирования, но подчеркнул, что качество также является ключевым фактором. Важно, чтобы рекомендации SOC учитывали контекст заказчика и текущую ситуацию. Также он рекомендовал заказчикам проводить пилотное тестирование, чтобы оценить SOC в действии, обратить внимание на его отзывчивость и внимательность к требованиям заказчика.
Спикер обратил внимание слушателей на то, что количество инцидентов не определяет качество работы SOC (как грамотно реагировать на киберинциденты и сводить к минимуму возможный ущерб, читайте в нашем материале). При этом заказчику важно получать прозрачную и понятную отчётность. Кроме всего прочего, эксперт предложил использовать пентест, комплексную симуляцию кибератак и смешанные тренировки (Purple Teaming) для проверки качества контента, используемого при мониторинге. Также он отметил важность разработки и обновления контента SOC: это может быть показателем зрелости и качества услуг.
Ведущий спросил Александра Матвеева, организовывает ли его компания референс-визиты. Спикер ответил, что это важная практика, которой не следует пренебрегать. Умение задавать правильные вопросы при выборе поставщика услуг или товара имеет ключевое значение, а референс-визиты могут помочь принять правильное решение. Всегда полезно обращаться к опыту других специалистов, чтобы избежать ошибок.
Надёжность поставщиков
По мнению Сергея Солдатова, «посмотрев на итоги проекта, можно сказать, что работа команды зависит исключительно от каждого участника, однако всегда нужно обращать внимание на конечный результат коллективного труда».
Практически невозможно выявить атаки без хороших программ обнаружения. Важно регистрировать инциденты, проводить их анализ и делать публичные отчёты, которые позволяют понять, какие действия следует предпринять. Необходимо обращать внимание на инциденты, анализировать их и принимать меры для предотвращения подобных ситуаций в будущем. Также важно уделить внимание сертификациям и результатам.
Вы можете ознакомиться с интересным и полезным материалом на тему «Кибератаки на ПО для корпоративных коммуникаций: что с ними делать бизнесу».
Рисунок 4. Вы готовы доверить мониторинг своей безопасности внешней компании?
Ведущий предложил сравнить результаты очередного опроса зрителей с прошлогодними. В 2024 году стало больше тех, кто доверяет внешней компании мониторинг некритических участков своей инфраструктуры, а также тех, у кого нет альтернативы. В то же время уменьшилась доля респондентов, которые ни при каких условиях не доверят мониторинг своей безопасности внешней компании.
Виталий Сиянов, ведущий и модератор дискуссии, руководитель отдела развития, ГК «Солар»
Артём Грибков также отметил, что успешное сотрудничество со внешним поставщиком информационных услуг зависит от эффективного взаимодействия между командами заказчика и провайдера. Каждый участник должен чётко понимать свои обязанности и ответственность в области информационной безопасности. Кроме того, постоянный контакт и обмен данными между сторонами являются ключевыми элементами успешного сотрудничества.
Состав и особенности коммерческого SOC
Безусловно, SOC в большей степени связан с операциями, отметил эксперт Владимир Зуев, и состав этих операций определяет заказчик. В центре, вероятно, будет SIEM-система, которая обрабатывает события, проводит операции по обогащению и т. д. Важно иметь решение типа NTA для анализа сетевого уровня. Чтобы сосредоточить внимание на определённых узлах, возможно, потребуется EDR, свой или вендорский. Также полезно иметь систему обработки сервисных заявок (тикетов) — для обращений клиентов и для запросов на разработку правил корреляции. Важно поддерживать информационную базу для учёта конкретных знаний клиентов и для реализации структурированного подхода.
Владимир Зуев, руководитель коммерческого SOC, «МегаФон ПроБизнес»
Андрей Заикин отметил, что инструменты для обнаружения уязвимостей играют ключевую роль в настоящее время. Среди них особенно важны сканеры. Также эксперт выделил систему управления знаниями и обучением (читайте нашу подборку — «Топ-5 вузов, где учат специалистов по информационной безопасности») как один из неочевидных инструментов развития команды. Важно не только передавать опыт, но и понимать, насколько команда развивается в целом. Подобные системы позволяют отслеживать этот процесс в больших SOC и командах.
Применение коммерческого SOC
Ведущий попросил спикеров поделиться мнениями о том, что необходимо заказчику для использования коммерческого SOC.
Артём Грибков предложил в первую очередь уделить внимание определению целей и задач, которые будет выполнять SOC, а также ответственно относиться к выполнению тех функций, которые остаются на стороне заказчика в большом домене SecOps.
Андрей Дугин добавил, что необходимо уметь грамотно использовать и анализировать результаты мониторинга.
Андрей Дугин, начальник отдела сервисов информационной безопасности, МТС RED
Владимир Зуев отметил, что для грамотной организации работы SOC необходимо выделить людей, которые будут отвечать за взаимодействие с центром мониторинга.
Сергей Солдатов сделал важное замечание, что в начале работы нужно определить список мер безопасности, выделить необходимые функции и после этого принять решение: заниматься защитой самому или отдать её на аутсорсинг (мы писали статью «Аутсорсинг ИБ в России: принципы выбора и доверия, MSSP или SECaaS»).
Значимость организации и проведения простых тренировок на практике для команды по ИБ отметил эксперт Владимир Дмитриев. Определить уровень подготовки специалистов и степень защищённости организации можно даже без пентеста.
Важный комментарий дал Андрей Заикин, заметивший, что необходимо логически верно построить инфраструктуру компании, своевременно реагировать на изменения в ней. Также нужно наладить совместную работу отделов ИТ и ИБ, чтобы каждый объект информатизации находился под защитой. Только после грамотной настройки процессов внутри организации можно начать их автоматизировать.
Прогнозы экспертов по развитию отрасли
Эксперты прогнозируют, что отрасль коммерческих SOC будет продолжать демонстрировать стремительный рост в ближайшие годы благодаря развитию новых технологий и повышению спроса на более интеллектуальные и эффективные решения.
Рисунок 5. Каково ваше мнение об услугах коммерческих SOC после эфира?
После просмотра эфира 33 % зрителей отметили, что заинтересовались услугами коммерческого SOC и и готовы приступать к выбору. 17 % опрошенных убедились, что выбрали правильный центр мониторинга. 11 % пришли к выводу, что им необходимо менять провайдера SOC, ещё столько же сказали, что такие услуги их организациям пока не нужны. 28 % респондентов заявили, что ничего не поняли.
Выводы
Обзор российского рынка услуг коммерческих SOC показал, что уровень спроса на такие услуги значительно вырос, у заказчиков появились новые требования, на которые необходимо своевременно реагировать. Помимо внутренних и внешних SOC появились также гибридные. Каждый вариант имеет свои достоинства и недостатки; какой предпочтительнее использовать в той или иной организации, решать заказчику.
В прошлом году на AM Live вышел эфир, посвященный теме SOC, также читайте итоговую статью «Построение эффективного SOC: технологии и методы 2023 года».
Коммерческие SOC предлагают широкий спектр услуг, включая мониторинг безопасности, реагирование на инциденты и управление уязвимостями, что помогает организациям защитить свои активы и соответствовать нормативным требованиям. При выборе коммерческого SOC следует учитывать ряд факторов, включая квалификацию и опыт сотрудников центра, состав и особенности SOC, а также стоимость услуг. Оценка этих критериев позволит организациям выбрать надёжного и эффективного поставщика услуг, соответствующего их потребностям.
Эксперты прогнозируют дальнейший рост отрасли коммерческих SOC в России, поскольку организации всё больше осознают важность обеспечения безопасности в условиях постоянно меняющегося ландшафта угроз. Гибридные SOC, обеспечивающие гибкость и масштабируемость, становятся всё более популярными. Инновации в области искусственного интеллекта и машинного обучения также будут играть важную роль в повышении эффективности и точности услуг центров мониторинга и реагирования. Инвестируя в надёжный коммерческий SOC, организации могут значительно повысить свою безопасность, снизить риски и обеспечить непрерывность своего бизнеса. По мере развития отрасли коммерческих SOC организации будут иметь доступ ко всё более совершенным и комплексным услугам, помогающим защищать активы и соответствовать нормативным требованиям в эпоху цифровых угроз.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!