24 мая в Лужниках состоялся анонс нового коммерческого SOC (Security Operations Center — центра мониторинга и реагирования на инциденты в информационной безопасности), открытого компанией «Газинформсервис». В чём его уникальность и привлекательность для заказчиков?
- Введение
- История создания SOC
- Задача создания SOC труднее, чем кажется
- Архитектура SOC «Газинформсервис»
- Трудности строительства SOC
- Планы развития SOC
- Приз — 250 000 рублей
- Выводы
Введение
Компания «Газинформсервис», давно известная на российском рынке своим ПО, а также проектными работами по интеграции собственных и чужих решений в инфраструктуру заказчиков, объявила о готовности начать коммерческую эксплуатацию нового центра мониторинга и реагирования на инциденты в кибербезопасности (SOC). Анонс состоялся в Москве во время проведения форума PHDays 2024. Новый сервис представил заместитель генерального директора компании и её технический директор Николай Нашивочников.
История создания SOC
«Газинформсервис» занимается разработкой программных и программно-аппаратных средств обеспечения ИБ, проектированием и внедрением решений по информационной безопасности, включая инженерно-технические средства охраны, уже 20 лет.
Компания имеет большой опыт в расследовании инцидентов, оказании консультационной помощи в выстраивании служб ИБ у заказчиков. Однако до сих пор вся экспертиза, накопленная внутри компании, применялась в формате проектной работы. Несмотря на богатый опыт и обширные компетенции, вопрос о создании собственного SOC лежал в долгом ящике. Почему?
Рисунок 1. Выступление Николая Нашивочникова на форуме PHDays 2024
Как рассказал Николай Нашивочников, компания и ранее постоянно отслеживала тренды российского рынка ИБ, проводила анализ тенденций развития отрасли в целом. Однако до недавнего времени в компании скептически оценивали полезность создания собственного SOC. Этому мешало нежелание российских заказчиков массово переходить к сервисной модели ИБ. Они традиционно не хотели выпускать за пределы «естественного периметра» эти функции, ссылаясь на риски, которые возникают в результате такого решения.
В то же время зарубежный рынок демонстрировал уклон в противоположную сторону. Там давно наблюдается поворот в сторону сервисной поддержки ИБ. Главная причина — резкое повышение сложности задач по обнаружению вредоносных сущностей и противодействию кибератакам.
Переломной точкой для российского рынка, по словам Николая Нашивочникова, стал 2022 год. Тогда сформировался спрос на аутсорсинг ИБ со стороны клиентов. Этому способствовали самые разные факторы:
- уход зарубежных поставщиков с российского рынка;
- кадровый голод;
- ограничения по бюджету;
- реальность киберугроз и, как следствие, серьёзные изменения в регуляторных требованиях.
На решение компании «Газинформсервис» создать собственный SOC повлияли и другие причины. Очевидно, что правильно выстроенная сервисная модель предоставления ИБ-услуг позволяет проще и быстрее масштабировать собственный бизнес, опираясь на накопленную экспертизу в области ИБ. Проектная модель ориентирована в первую очередь на очень крупных заказчиков. По всей видимости, свою роль могла сыграть и позиция регулятора, который теперь более определённо трактует возможности выбора поставщика услуг.
Задача создания SOC труднее, чем кажется
Как отметил Николай Нашивочников, сроки выстраивания новой бизнес-модели, выраженной в предоставлении услуг SOC, были недооценены, несмотря на богатый практический опыт и высокий уровень экспертизы в области ИБ. Вместо намеченных шести месяцев реальный срок запуска первой очереди SOC составил более года. Сейчас речь идёт только о готовности пяти базовых услуг для заказчиков. Процесс развития SOC и дополнения его «портфеля» новыми функциями продолжается.
Это подтверждает, что даже при полном понимании всего необходимого объёма предстоящих работ и путей реализации задач проект может потребовать гораздо больше времени, чем предполагалось изначально. Задержка связана прежде всего с необходимостью обеспечить высокий уровень интеграции между теми инструментами, которые применяются в составе SOC. Сделать это не всегда просто, даже если ими уже пользовались долгое время или они разрабатывались внутри самой компании.
«При разработке мы старались не усложнять задачу, идя на поводу у существующих трендов. Мы стремились оставаться в рамках взвешенных решений. Мы не ставили задачи перевести максимум функций на ИИ. Если задачу можно было решить привычными средствами, мы выбирали традиционный подход, который гарантировал надёжность решения. На машинное обучение были переложены только рутинные функции, а также те задачи, где применение ИИ даёт рост эффективности при детектировании угроз».
Архитектура SOC «Газинформсервис»
При выстраивании нового архитектурного решения «Газинформсервис» рассматривал задачу создания SOC как реализацию системы, которая обеспечивала бы мониторинг сложных технических объектов и контроль рисков несанкционированного проникновения в компьютерные сети, автоматизированные системы управления и базы данных.
Технологической основой для SOC «Газинформсервиса» стал собственный продукт Ankey SIEM NG.
Николай Нашивочников назвал этот подход эволюционно-революционным, поскольку для реализации услуг SOC выбирались функции, которые компания уже предоставляла ранее. Теперь они получили новую форму.
В настоящее время, как уже говорилось, реализованы пять базовых функций (на рисунке они отмечены синим цветом). Впрочем, намеченный план развития SOC ими не исчерпывается. Здесь же отмечены красным цветом дополнительные функции, глубокая разработка которых ещё продолжается. Большинство из них должны появиться уже в текущем году.
Рисунок 2. Готовые и планируемые услуги в составе SOC «Газинформсервис»
Трудности строительства SOC
В процессе подготовки разработчикам пришлось создать множество коннекторов и новых правил корреляции в дополнение к уже имеющемуся пакету экспертизы.
Рисунок 3. Набор источников данных для мониторинга в SOC «Газинформсервис»
Особую ценность для SOC «Газинформсервис» представляет комплекс средств поведенческой аналитики (UEBA) на основе машинного обучения. В них отражается накопленный опыт работы с данными. Благодаря этому появляется возможность выявлять закономерности и делать прогнозы.
Этот сервис работает поверх основной SIEM-системы, отфильтровывая большой объём спама и многочисленные ложные срабатывания, которые возникают при высокой детализации контроля.
Рисунок 4. ИБ-риски, требующие применения платформы расширенной аналитики и UEBA
Как отметил Николай Нашивочников, новый механизм аналитики показал высокое быстродействие при выявлении подозрительной активности уже на этапе опытной эксплуатации системы. Скорость обработки оказалась выше, чем у классической SIEM.
Были выявлены также направления, по которым применение расширенной аналитики рассматривается как необходимое. Они помогают добиваться регистрации инцидентов, которые при использовании классической SIEM могут быть пропущены. Большая польза от аналитики также заметна при кибератаках с использованием легитимных инструментов в злонамеренных целях.
Использование расширенных средств аналитики позволило в итоге повысить эффективность работы команды SOC в 2–3 раза.
Рисунок 5. Преимущества применения расширенной аналитики в работе SOC
Планы развития SOC
По мнению Николая Нашивочникова, стартовый набор услуг отражает базовые запросы со стороны клиентов. В настоящее время новый SOC «Газинформсервис» предоставляет услуги по следующим пяти направлениям:
- Контроль ИТ-активов.
- Управление уязвимостями.
- Обширный мониторинг событий по безопасности.
- Анализ и обработка инцидентов.
- Реагирование на инциденты.
В течение 2024 года будут добавлены новые услуги по следующим направлениям:
- сервисы комплексной оценки защищённости ИТ-инфраструктуры (Platform Security Validation, PSV);
- сервисы проверки эффективности работы ИБ-системы заказчика (Red Teaming);
- сервисы киберразведки (Threat Intelligence, TI).
Компания «Газинформсервис» также планирует активно участвовать в обучении специалистов по расследованию киберинцидентов и настройке СЗИ. С этой же целью планируется открыть собственный киберполигон и участвовать в профессиональных соревнованиях. Планируется расширение команды аналитиков L2 и исследователей угроз.
Рисунок 6. Дорожная карта на 2024 год по развитию SOC
Приз — 250 000 рублей
В заключение Николай Нашивочников объявил конкурс, в котором может принять участие любой желающий. Призовой фонд составляет 250 000 руб.
Условия конкурса очень просты. Нужно предложить название для нового SOC «Газинформсервис». Согласно дорожной карте, официальная процедура выбора состоится в июле 2024 года. Предложения будут приниматься здесь.
Выводы
Новый SOC компании «Газинформсервис» — это не только появление нового игрока на российском рынке центров мониторинга и реагирования на киберинциденты, но и интересный опыт для отрасли, когда зрелый участник, хорошо известный на рынке своими проектными работами по расследованию инцидентов, в том числе на промышленных предприятиях, создаёт собственную платформу для масштабирования накопленного опыта и компетенций на широкий круг заказчиков.