Лучший опыт

Российские организации все ... Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания

Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания...

Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания
Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания

Российские организации все чаще открывают собственные центры мониторинга информационной безопасности (Security Operations Center, SOC). Но не всегда новое подразделение оправдывает их ожидания. Почему так происходит и когда аутсорс намного выгоднее собственного центра, в интервью Cyber Media рассказал Булат Сафин, руководитель группы SOC компании ICL Services.

Cyber Media: На рынке SOC-услуг в России наблюдается рост. Какие причины считаете главными?

Булат Сафин: С одной стороны, значительное влияние на рынок оказало изменение законодательства, а именно Указ Президента РФ № 250, 187-ФЗ и приказы ФСТЭК, ФСБ и Банка России.

С другой – повлияло давление со стороны хакерских групп и сообществ, которые в 2022 году объявили кибервойну российским компаниям и государственным учреждениям. Атакам подверглись финансовые институты и организации, предоставляющие услуги населению. Следствием этого и стало изменение законодательной базы, которое отразилось в Указе № 250 весной 2022-го.

При этом законодательство продолжает ужесточаться. Так, например, в декабре прошлого года в Минцифре предложили ввести оборотный штраф для юрлиц за утечку персональных данных. Инцидент может обойтись компании в сумму от 5 до 500 млн рублей.

Cyber Media: Что изменилось на рынке за последние пять лет?

Булат Сафин: Главный момент – бизнес стал серьезнее относиться к защите своих информационных систем, построении центров SOC. Для организации SOC рассматривается как привлечение сторонних организаций, так и построение собственными силами. С учетом роста угроз и атак на информационные ресурсы, количество компаний, которые готовы вкладывать свои ресурсы в ИБ значительно возросло.

Cyber Media: Какие специалисты нужны для построения SOC? И какие требования к ним предъявляют?

Булат Сафин: Прежде всего это инженеры и аналитики, которые обладают компетенциями и практическим опытом в области обнаружения и расследования инцидентов ИБ, в частности умеют эффективно использовать современные решения ИБ для этих целей. Идеально, если компетенции подтверждены сертификатами (CEH, OSCP, CISM и другими).

Инженеры настраивают и интегрируют ПО, подключают новые технические решения к инфраструктуре компании. Аналитики работают с системами мониторинга событий, анализируют данные, выявляют инциденты и предлагают стратегии реагирования.

Требования к специалистам предъявляются в зависимости от их профиля. Это могут быть аналитики, которые специализируются на криминалистических исследованиях, или чья задача сводится к поиску проактивных угроз (threat hunting). Ожидания от их компетенций, конечно, будут разными.

Еще один важный сотрудник, без которого сложно представить работу SOC, – менеджер. Он грамотно ставит задачи перед командой, организует процессы и контролирует качество работы.

Cyber Media: А что скажете о программных продуктах?

Булат Сафин: Традиционно ядром SOC являются SIEM системы (Системы управления информацией и событиями безопасности), которые в последние годы дополняются такими решениями как EDR\NDR для повышения эффективности обнаружения и реагирования на угрозы на конечных устройства и в сети.

Традиционные средства защиты, такие как сканеры уязвимостей, антивирусные системы, системы анализа трафика, «песочницы», межсетевые экраны остаются в периметре SOC в качеcтве источников событий, наряду с другим компонентами инфраструктуры (сервера, приложения, базы данных и т.д.). Кроме того, для эффективной организации процессов SOC используются IRP и SOAR системы.

Cyber Media: Какие риски и сложности могут возникнуть у компании, которая решила выстраивать внутренний SOC?

Булат Сафин: Первая сложность – формирование штата сотрудников с необходимыми компетенциями. Это должны быть и инженеры, и аналитики SOC. Проблема заключается в большой текучке высококвалифицированных специалистов. Если крупные компании еще могут удержать их огромными зарплатами и заманчивыми условиями работы, то малому и среднему бизнесу сделать это очень нелегко.

Вторая сложность – центр реагирования на угрозы работает в режиме 24/7, причем без выходных и праздников. Именно поэтому, по нашим оценкам, SOC должен состоять минимум из семи сотрудников ИТ. Это инженеры первой линии, аналитики и руководитель. Позволить себе роскошь выделить такой штат могут не все российские компании.

Также всегда нужно учитывать сложность построения процессов. Мало просто настроить интеграцию с SIEM и начать отслеживать события из разных систем-источников. Обычно правил, которые есть в коробочном решении, бывает недостаточно. Они могут не распространяться на бизнес-приложения, критичные сервера, специфичные логи и т.д. Для таких моментов нужно настраивать нетипичные сценарии реагирования и корреляционные правила. Необходима тонкая настройка, которая исключит множество ложных срабатываний системы. Все это требует времени и дополнительных компетенций.

И наконец, есть сложности с управлением обновлениями, которые закрывают известные вендору уязвимости. Каждый день детектируются новые уязвимости, информация о которых должна быть всегда актуальной. Именно поэтому недостаточно просто внедрить и настроить SIEM. Даже если в этот момент система будет актуальна, со временем она перестанет покрывать весь спектр возможных угроз. Их нужно обновлять, а также поддерживать соответствующие компетенции в организации, что очень непросто.

«SOC как сервис» может стать хорошей альтернативой собственному SOC, учитывая нехватку квалифицированного персонала на рынке и сложностей с единовременным выделением больших инвестиций.

Данная услуга может помочь как сбалансировать капитальные (CAPEX) и операционные (OPEX) затраты – владение системами остается в организации, а поставщик предоставляет персонал и процессы за ежемесячную плату, так и полностью трансформировать CAPEX в OPEX – в таком случае поставщик за ежемесячную оплату может предоставить грамотных специалистов, уже выстроенные процессы и настроенную систему с нужным уровнем обнаружения и реагирования

Если средств у компании достаточно, то можно вложиться и в решения, и в специалистов. В этом случае есть смысл привлекать внешних поставщиков для консультирования по построению процессов SOC, настройки ИТ-решений или аутсорсинга активностей, имеющих меньшую взаимосвязь с остальными процессами, например – форензики.

Здесь важно выбрать правильный, подходящий именно вашей компании вариант. Главное – не останавливаться только на покупке решения. Это, к сожалению, по-прежнему случается часто.

Cyber Media: С какими трудностями сталкивается бизнес, который выбирает взаимодействие с внешними центрами?

Булат Сафин: Пожалуй, главная трудность – это большой выбор таких центров. Определиться действительно сложно, так как все заявляют о своей высокой компетенции при схожем спектре услуг. Эта трудность решается использованием возможности пилотирования, а также уточнением информации про отчеты, метрики и регламенты взаимодействия, которые помогут получить понимание внутренней организации SOC.

Вторая сложность – стоимость сервиса по мониторингу и реагированию. С учетом высокого спроса она может быть значительной. Но, как и говорилось выше, самостоятельная организация СОК также не даст экономии, а скорее наоборот. При этом опытный поставщик, понимая ваши цели, сможет подобрать оптимальный набор услуг, чтобы сделать процесс «входа» более финансово комфортным.

Также компаниям бывает непросто выстраивать совместные процессы. Важно заранее определить, насколько партнеры готовы к сотрудничеству, как они загружены другими проектами и т.д. Но, решение здесь простое - чтобы ожидания совпали с реальностью, нужно регулировать сотрудничество с помощью SLA и различных метрик в SOC-сервисах. Например, по времени реагирования и времени разрешения инцидента по ИБ, количеству событий по ИБ и другим метрикам.

За рубежом, кстати, уже настолько привыкли к аутсорсингу, что у них не стоит вопрос доверия другим организациям. Скорее, их волнуют согласованные на берегу четкие показатели, процессы и регулярные метрики. Они говорят о том, идет сотрудничество в правильном направлении или нет.

Cyber Media: В каком случае эффективность SOC выше: если он выстроен в компании или находится на аутсорсе?

Булат Сафин: Думаю, что внешний SOC часто даже больше мотивирован на результат. У сервис-провайдера как подрядчика есть обязательства, нарушая которые он может получить существенный штраф или лишиться контракта, а это существенные риски для бизнеса в целом.

Во внутренний SOC нужно вливать внушительные инвестиции уже на страте. Иначе обеспечивать контроль и регуляцию процессов на том же уровне, что это делает внешний центр, будет очень трудно. Инвестировать в таких масштабах могут только крупные компании, но и у них есть сложности, которые можно решить с помощью аутсорсинга - нехватка персонала и руководящего ресурса для организации и контроля новых процессов.

Еще один момент – боеспособность подразделения, выполняющего функции SOC, может быть ниже только потому, что сотрудники редко сталкиваются с инцидентами. Даже если компания будет постоянно обучать специалистов и развивать систему, в чрезвычайной ситуации они могут впасть в ступор. Нехватка опыта скажется на скорости реагирования, а бизнес потерпит финансовые и репутационные риски.

Cyber Media: Что посоветовали бы компаниям, которые выбирают сервис-провайдера SOC?

Булат Сафин: Обязательный критерий – есть ли у компании лицензии ФСТЭК, ФСБ (этот момент регламентируется Указом № 250), а у инженеров и аналитиков – российские и международные сертификаты, подтверждающие компетенции.

Рекомендую также проверять, как давно работает компания и есть ли у нее опыт на международном рынке. Обычно у таких провайдеров лучше выстроены внутренние процессы, шире кругозор и больше компетенций.

Кроме того, важно, насколько провайдер готов к индивидуальному подходу к клиенту. Это легко понять по первому общению. Скорее всего, стоит доверять, если он активно и глубоко интересуется деталями – инфраструктурой, спецификой бизнеса и его процессами, уточняет наличие приоритезации по угрозам в компании, сценариев реагирования и т.д.

Многое также можно узнать во время пилотного периода, который предоставляют некоторые сервис-провайдеры. Здесь не рекомендую смотреть на уровень обнаружения угроз и уязвимостей, важнее другое – как строится взаимодействие между провайдером и командой заказчика, какие метрики готовы показывать и т.д.

Что касается стоимости, как правило, она зависит от зрелости компании и того, насколько много у нее сейчас проектов. И далеко не всегда высокая цена означает высокое качество. Как и в других услугах, есть риск переплатить за бренд.

В любом случае, выбор сервис-провайдера – один из ключевых этапов в построении SOC. Подойти к нему нужно максимально внимательно. Чем больше компания готова к тщательному изучению рынка и его участников, тем меньше проблем ее ждет потом.


* Реклама, ООО «ДжиДиСи Сервисез»

Токен: Pb3XmBtzsyjaNRKG9ien8jUSPRNjvgyRj2Tsuwv