SOC (Security Operation Center) – разговор с экспертами

Редакция CISO CLUB в преддверии одного из самых ожидаемых мероприятий в области информационной безопасности, SOC-Форум 2021 «Практика противодействия кибератакам и построения центров мониторинга ИБ», которое состоится 7–8 декабря в Москве в Центре Международной Торговли, решила пообщаться с экспертами на тему SOC.

Мы поинтересовались у специалистов, для чего нужен SOC, какую модель развертывания SOС надо предлагать заказчикам, из чего состоит современный SOC, какие специалисты должны входить в SOC-команду со стороны исполнителя и заказчика.

Также эксперты рассказали нам об оценке эффективности SOC, актуальных лицензиях и сертификатах для SOC, разнице между отечественным и иностранным подходом, и, конечно, о том, почему необходимо посетить предстоящий SOC-Форум.

На вопросы CISO CLUB ответили:

• Мелехин Иван, директор по развитию АО НИП Информзащита.
• Алексей Юдин, директор центра мониторинга Infosecurity.
• Денис Батранков, советник по безопасности корпоративных сетей.
• Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC.
• Максим Павлунин, руководитель Центра киберустойчивости ACRC Angara Professional Assistance.
• Алексей Павлов, заместитель директора центра противодействия кибератакам Solar компании «Ростелеком-Солар».
• Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage.
• Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage.
• Данила Луцив, руководитель отдела развития, Security Vision.

Для чего нужен SOC? Какие потребности CEO, CFO, CIO, CISO закрывают с помощью SOC?

Мелехин Иван, директор по развитию АО НИП Информзащита:

Мелехин Иван, директор по развитию АО НИП Информзащита

«Под аббревиатурой SOC можно понимать достаточно широкий набор предоставляемых сервисов, начиная от мониторинга угроз заканчивая киберразведкой. Но, в настоящий момент, в большинстве случаев, на рынке РФ под SOCом понимается мониторинг киберугроз и участие в реагировании и ликвидации последствий.

SOC удовлетворяет базовую потребность любой организации в безопасности, а именно возможность технически продолжать использование ИТ-инфраструктуры и конфиденциальность данных. Фактически, речь идет о способности организации осуществлять бизнес-деятельность, если таковая деятельность хоть как-то зависит от ИТ инфраструктуры».

Алексей Юдин, директор центра мониторинга Infosecurity:

«SOC (Security Operations Center) – это подразделение или сервис, осуществляющее мониторинг работы информационных систем и средств защиты информации, реагирующее на инциденты информационной безопасности. Центр мониторинга и реагирования на инциденты ИБ состоит из людей, процессов и технологий и необходим для управления и повышения уровня безопасности организации.

С каждым годом количество кибератак растет, они совершенствуются. Поэтому компании стремятся использовать наиболее эффективные инструменты защиты, одним из которых является Security Operation Center (SOC). При правильно выстроенных процессах внутри компании SOC позволяет визуализировать текущие проблемы в инфраструктуре и оценить потенциальные угрозы для бизнеса, тем самым позволяя принять оптимальные с точки зрения финансов и человекочасов стратегические решения по минимизации рисков.

Наверное, будет некорректно разделять потребности отдельных категорий руководящего звена, которые закрываются с помощью SOC. Все они преследуют общие цели, в том числе –защитить критическую информацию компании, сохранить ее материальные ресурсы и репутацию на рынке».

Денис Батранков, советник по безопасности корпоративных сетей:

«Для того, чтобы автоматизировать расследование инцидентов в компании. Если такого процесса в компании не было никогда, то SOC делать бессмысленно, как и покупать SIEM — в него некому будет смотреть».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Новые уязвимости и тактики злоумышленников появляются практически каждую неделю. Выстроить сегодня систему защиты от угроз, которых мы еще не знаем, просто невозможно. Но и злоумышленникам нужно не просто проникнуть в инфраструктуру, а проделать ряд шагов, чтобы добраться до интересующей их информации/системы. Задача SOC – выявить существующие уязвимости и устранить их, а также обеспечить видимость инцидентов, которые могут привести к реальному ущербу для защищаемой организации».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage

«Одной из основных задач управляющих директоров любой организации является обеспечение непрерывности бизнеса, а противодействие киберугрозам и хакерам является неотъемлемой частью данного процесса. Т.е. бизнес должен быть уверен, что компьютерная атака хакеров не приведет к нарушению бизнес-процессов, остановке работы организации, хищению данных и финансов, к другим недопустимым для компании рискам.

Таким образом SOC является для бизнеса передовым «заградотрядом», и его ключевая задача – выстроить организационные и технические процессы защиты активов бизнеса и инфраструктуры, тесно взаимодействуя с ТОП-менеджерами, бизнес-подразделениями, ИТ-департаментом и т. д.».

Данила Луцив, руководитель отдела развития, Security Vision:

Данила Луцив, руководитель отдела развития, Security Vision:

«Цель любого бизнеса — это максимизация прибыли. И все структуры компании должны это обеспечивать. Назначение такого инструмента, как SOC — наиболее эффективно управлять операционными процессами, которые связаны с обеспечением конфиденциальности, целостности и доступности.

Вне зависимости от того, решает SOC сейчас проблему реагирования на киберинциденты, участвует в решении недоступности сервисов вместе с отделом сетевого администрирования или формирует приоритеты для устранения выявленных уязвимостей, данное подразделение решает проблему максимизации прибыли. Снизить или полностью избежать ущерба от инцидентов, сформировать план превентивных действия на основании оперативной информации о системах, в связке с другими подразделениями компании сделать управление изменениями максимально прозрачным, надёжным и эффективным.

Только принимая в расчет такой подход, а не делая из SOC «журнал учета журналов учета», данное подразделение может рассчитывать на закрытие потребностей различных направлений бизнеса и всей стратегии развития бизнеса в целом».

Какая модель развертывания SOC выгоднее для заказчика (Cloud или On Premise)? Почему?

Денис Батранков, советник по безопасности корпоративных сетей:

«Очень сложно ответить про всех заказчиков сразу. У всех разная инфраструктура и модель рисков. Детскому садику – вообще не нужен, консалтинговой компании – Cloud, нефтяной компании – On premise».

Максим Павлунин, руководитель Центра киберустойчивости ACRC Angara Professional Assistance:

Максим Павлунин, руководитель Центра киберустойчивости ACRC Angara Professional Assistance

«Все зависит от потребности конкретного заказчика. Модель Cloud позволяет обрабатывать и хранить события ИБ в инфраструктуре исполнителя. Благодаря этому способу размещения заказчик может забыть о проблемах технической поддержки ИТ-инфраструктуры. К таким проблемам относятся замена различных компонентов оборудования, организация сетевой связанности, резервное копирование, обслуживание ЦОД, сопровождение закупочных процедур, мониторинг технического состояния и многое другое. При этом способе размещения заказчик экономит на содержании технических компонентов и обслуживающем персонале. К минусам можно отнести высокие требования к каналам между площадками заказчика и исполнителя, так как для обработки передается большой поток данных.

При выборе решения On-Premise часть работ по обслуживанию неизбежно ложится на специалистов заказчика. При этом данные хранятся и обрабатываются внутри периметра согласно всем внутренним требованиям организации.

Исходя из практики, на данный момент наибольшей популярностью пользуется On-Premise, поскольку услуги SOC востребованы в первую очередь крупными организациями, имеющими достаточно квалифицированных специалистов для сопровождения ИТ-инфраструктуры. К тому же у нас принято «все свое» держать при себе, особенно данные. В ближайшие годы данная ситуация будет постепенно меняться в пользу Cloud-решений, так как темпы развития ИТ с каждым годом растут, вместе с ними повышаются и требования к персоналу, дефицит которого увеличит спрос на услуги профильных компаний».

Мелехин Иван, директор по развитию АО НИП Информзащита:

«Если речь идет об ИТ-инфраструктуре СОКа, которая может быть как облачной, так и своей, но при этом сам СОК как организационная единица и набор функций реализован внутри заказчика, то на этот вопрос сложно ответить, т. к. нужно проводить анализ конкретных стоимостных предложений от провайдеров облачных сервисов и поставщиков.

Если речь идет о SOCe «как-сервисе» от внешнего поставщика и организации своего СОКа, то, в большинстве случаев, сервис будет выгоднее для заказчика».

Алексей Юдин, директор центра мониторинга Infosecurity:

Алексей Юдин, директор центра мониторинга Infosecurity:

«Однозначно ответить на этот вопрос невозможно – выбор модели SOC зависит исключительно от потребностей и финансовых возможностей заказчика. Если мы говорим про собственный SOC (On Premise), то он находится полностью в собственности заказчика с точки зрения владения оборудованием и найма специалистов.

Это самый дорогой и длительный по времени вариант реализации центра мониторинга – его построение может занять годы и не всегда гарантирует результат. В случае облачной модели SOC центр мониторинга находится полностью на стороне сервис-провайдера. В этом случае заказчику не нужно нанимать и содержать персонал, разрабатывать регламенты и т.д.

Облачный вариант позволяет заказчику оптимизировать затраты на информационную безопасность и сосредоточить внимание на своих основных бизнес-процессах».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Для принятия правильного решения заказчику необходимо определиться, какие функции по обеспечению информационной безопасности он хочет и может реализовать внутри, а в каких случаях будет привлекать экспертов со стороны. Это сильно зависит от информационной инфраструктуры и численности специалистов по информационной безопасности.

В предлагаемой постановке вопроса на мой взгляд нет правильного ответа. Выгоднее для заказчика использовать гибридную модель, сочетая навыки собственной команды с сервисами по кибербезопасности, которые дополняют внутренний SOC экспертизой, которую дорого и неэффективно содержать внутри компании: например, специалистов по пентестам, threat hunting-y и форензике».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«В общем случае, внешний (Cloud) SOC бывает выгоднее внутреннего (On Premise), потому что большая часть оборудования, решений и экспертов используется для оказания услуг совместно для нескольких заказчиков.

Но есть задачи, требующиеся от внешнего SOC:

• Внешние эксперты не могут знать инфраструктуру организации так хорошо, как внутренние, и их навыки часто делятся друг с другом. В этом контексте внешний SOC должен потратить время на анализ бизнес-проблем организации и внедрить сквозные процессы с участием внутренних и внешних сотрудников.
• Данные хранятся и анализируются за пределами периметра компании, появляются дополнительные риски, связанные с утечкой данных из внешнего SOC.
• Требуется изменение менталитета с точки зрения готовности на обеспечение безопасности внешней по отношению к организации компанией».

Какие источники информации использует современный SOC?

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Для успешного выстраивания процесс защиты организации необходимо обеспечить «прозрачность» действий в инфраструктуре, т. е. SOC должен получать оперативную информацию о составе и изменениях конфигураций инфраструктуры, о современных уязвимостях и угрозах ИБ, о современных тактиках и техниках проведения компьютерных атак. Таким образом источниками информации для SOC являются:

• события безопасности с инфраструктурных компонентов (ОС, АСО, ППО и др.)
• события со средств защиты информации (AV, МСЭ, NTA, EDR, WAF, DLP и др.)
• данные об угрозах и уязвимостях (Threat Intelligence, сканеры уязвимостей, OSINT и др.)
• инвентаризационные данные об активах (CMDB, БД, таблицы маршрутизации и др.)».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage

«Для того, чтобы работать эффективно в современных условиях, аналитикам SOC приходится перерабатывать очень большой объем информации. Это информация от ведомственных и корпоративных центров в рамках соглашений по информационному обмену, это паблики в твиттере, каналы в телеграмме и закрытые сообщества в даркнете. Также это постоянное изучение и сравнение информации о новых инструментах (средствах защиты информации) от вендоров».

Данила Луцив, руководитель отдела развития, Security Vision:

«Для любого SOC на принципиальном уровне есть 2 основных группы источников информации: внешние представления об атаках и атакующих и внутренние данные от систем. Чем более детальны данные об индикаторах, техниках, атрибуциях вредоносной активности и чем грамотнее выстроена стратегия сбора и аналитики событий и состояний с внутренних систем, тем эффективнее результат выявления и устранения инцидентов. Концепция «Пирамида Боли» (The Pyramid of Pain) Дэвида Бианко весьма наглядно иллюстрирует иерархию приоритетов при получении информации об объектах из первой принципиальной группы (данных об атакующем).

Используемые техники и тактики могут не меняться годами; инструменты, даже пересобранные, часто содержат те же названия функций и оставляют те же «хлебные крошки». В то время как срок жизни доменных имен и IP адресов как индикаторов компрометации исчисляется разве что неделями, а хэш функции уникальны для каждого заражения или отсутствуют как класс в случае бесфайловых (Fileless) вредоносов.

Вторая принципиальная группа также должна четко контролироваться на основании приоритетов стратегии детектирования. Огромное количество SOC\SIEM проектов начиналось с того, что подключались простые в настройке активные источники, такие как файрволлы. Подобные источники имеют огромный объем событий и способны полностью утилизировать лицензию системы обработки событий информационной безопасности, но дают очень мало информации при расследовании инцидентов.

В то же время грамотно, детально настроенные политики логирования конечных устройств, на которых в большинстве случаев и происходит первоначальное заражение, до сих пор не настроены у многих компаний, даже имеющих уже достаточно высокий уровень зрелости процессов SOC».

Мелехин Иван, директор по развитию АО НИП Информзащита:

«Круг источников событий очень широк – начиная от событий операционных систем, заканчивая датчиками СКУД и температуры в серверной».

Алексей Юдин, директор центра мониторинга Infosecurity:

«На данный момент в базовом наборе SOC используется информация с защищаемой инфраструктуры – это события и данные конфигурации информационных систем и средств защиты. Эти данные обогащаются индикаторами компрометации и информацией о новых угрозах и уязвимостях. Расширенный функционал может включать в себя контроль поведения пользователей, поиск аномалий в сетевом трафике, защиту мобильных устройств сотрудников и бизнес сервисов».

Денис Батранков, советник по безопасности корпоративных сетей:

Денис Батранков, советник по безопасности корпоративных сетей

«Все работающие средства защиты, плюс ИТ инфраструктура, плюс внешние фиды TI и TTP от внешних поставщиков, плюс информация любая от внутренних сотрудников».

Из каких инструментов и сервисов должен состоять современный SOC? По каким критериям заказчику выбирать исполнителя?

Данила Луцив, руководитель отдела развития, Security Vision:

«Довольно сложно спорить, что один из главных инструментов SOC — инструмент управления событиями информационной безопасности. Западный или отечественный, облачный или внутренний, классический SIEM или Big Data инструменты – параметров в выборе достаточно много. Помочь в выборе решения может только опыт существующих пользователей.

В свое время для меня лично решающим моментом при смене одного производителя SIEM другой стало то, что вся дискуссия внутри сообщества первого производителя сводилась к тому, как починить то, что сломалась, и как решить проблемы со стабильностью и производительностью систем, в то время как выбранный мной производитель смог справиться со своими «детскими болезнями» технологического стека, в результате чего сообщество пользователей смогло сфокусировать свои силы на создании контента, обмене знаниями, что в итоге позволило построить полноценную стратегию детектирования и обработки киберинцидентов.

Следующим краеугольным камнем эффективного SOC становятся инструменты автоматизации. Как современный завод невозможно представить без автоматизированных систем управления, так же и обработка инцидентов невозможна без IRP\SOAR решений. Содержать команду, которая вручную производит все операции по выявлению, анализу и расследованию инцидентов и делает это на уровне, удовлетворяющем интересы бизнеса, становится сегодня практически непосильной задачей. Современное SOC подразделение уже не может фокусироваться лишь на очевидных сценариях вроде «Обнаружение ВПО».

Детектирование принципиальных техник и тактик атакующего требует значительного расширения области детектирования, что неминуемо ведет к увеличению ложноположительных срабатываний. SOC нового поколения смещает парадигму от попытки искоренить ложноположительные срабатывания к их эффективной обработке, так как снижение FP неизменно приводит в росту пропущенных инцидентов. А увеличение эффективности рано или поздно неизменно сопровождается автоматизацией процессов.

Побочным, но весьма приятным для менеджмента результатом автоматизации процессов реагирования на инциденты становится снижение требований входного уровня аналитиков, в результате чего меньшее количество сотрудников меньшей квалификации может делать больше, чем ранее занималась целая армия высокооплачиваемых спецов».

Мелехин Иван, директор по развитию АО НИП Информзащита:

«К числу базовых сервисов, которые предлагают практически все провайдеры услуг SOC, относится мониторинг киберинцидентов, участие (координация) в реагировании и ликвидации последствий, расследования, анализ защищенности и тесты на проникновение. Также могут быть предложены расширенное реагирование, управление СЗИ, киберразведка и многое другое.

К числу инструментов, которые используют практически все СОКи можно отнести пайплайн обработки и хранения событий (в простейшем случае это SIEM), service desk или irp системы, порталы для взаимодействия с заказчиками, системы автоматизации TI, внутренние системы поддержания операций СОКа. Также возможно предоставление решений типа MDR\XDR, NAD по сервисной модели, интегрированных с базовой услугой СОКа».

Денис Батранков, советник по безопасности корпоративных сетей:

«Из удобного портала самообслуживания, где можно посмотреть все инциденты».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Базовый инструментарий SOC — это:

• SIEM (Security information and event management).
• TIP (threat intelligence platform).
• IRP (Incident Response Platforms) для систематизации и формализации знаний и взаимодействий как внутренних, так и внешних, а также для автоматизации типовых процессов по реагированию с помощью модуля оркестрации.
• Инструменты для анализа защищённости и тестирования на проникновение.
• Коннекторы, коллекторы для сбора событий с конечных узлов.
• Технологии хранения данных и их резервного копирования.

Ну и, естественно, умение работать с инструментами заказчика 🙂

Сервисы крупно можно разделить на 4 блока:

1. Всё, что касается аудита компьютерной безопасности: пентест, анализ защищенности, тестовые фишинговые рассылки, киберучения.
2. Сервис по выявлению и реагированию на компьютерные атаки в различных вариантах (SIEM у заказчика или из облака).
3. Сервис по форензике.
4. Предоставление необходимых средств защиты информации, в т. ч. по модели МSSP.

Оценку SOC я бы начал с проверки наличия сертификатов: ФСТЭК на деятельность по мониторингу, ФСБ на работу со средствами криптозащиты и заключенного соглашения с НКЦКИ. После прохождения этого базового этапа имеет смысл пообщаться с потенциальными исполнителями, наложить их подходы к оказанию сервиса на свои ожидания, а в качестве подтверждения правильности сделанного выбора запросить референс от существующего клиента данного SOC».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Современный SOC должен выполнять следующие задачи:

• обеспечить «видимость» защищаемого объекта;
• получать оперативную информацию о его составе и конфигурации и их изменениях, об уязвимостях в ПО, и обо всём что происходит на защищаемом объекте на всех его уровня;
• определить бизнес риски для объекта защиты, осуществить маппинг рисков на «картину» защищаемого объекта, определить целевые системы, компрометация которых гарантированно приведёт к реализации риска;
• выделить и отразить на «картине» защищаемого объекта вектора атак (kill chain), выделить ключевые системы, компрометация которых требуется для продвижения атакующего к целевой системе;
• выстроить процессы выявления и реагирования (в т.ч. автоматизированного) на аномальные активности, свидетельствующие о реализации компьютерной атаки, направленной на реализацию бизнес рисков на защищаемом объекте;
• повысить состояние защищенности объекта защиты, внедрение дополнительных средств и мер защиты, перестройка ИТ (при необходимости);
• проверка, что состояние защищенности объекта защиты позволяет противодействовать компьютерным атакам до факта реализации риска.

Таким образом критерием выбора Исполнителя является его готовность к выполнению задач из списка выше».

Как правильно выстроить процесс управления жизненным циклом инцидента?

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC:

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC

«Процесс управления жизненным циклом инцидента – это одна из наиболее важных составляющих системы управления информационной безопасностью компании. Глубина и качество проработки мероприятий, которые лежат в основе данного процесса, определяют устойчивость организации к рискам, связанным с ИБ, и ее возможности по реагированию и преодолению последствий инцидентов. Построение правильного, адекватного процесса – это сложная, комплексная задача, которая должна быть адекватным ответом на многолетний растущий тренд угроз.

Существуют разные отечественные и зарубежные стандарты и подходы к построению процесса управления жизненным циклом инцидента. Приведу наиболее распространенные из них:

1. ISO/IEC TR 18044:2004.
2. National Institute of Standards and Technology. NIST SP 800-61.
3. Carnegie Mellon University. CMU/SEI-2018-TR-007.
4. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 «Менеджмент инцидентов информационной безопасности».
5. Методические рекомендации ГосСОПКА.

Разумно изучить данные документы и выбрать наиболее подходящий для выстраивания процесса управления жизненным циклом инцидента. Во многом методики схожи. Усредняя их, можно выделить следующие этапы и их функциональное значение:

Проблемы, на которые стоит обратить внимание при построении процесса управления инцидентами ИБ:

1. Фокусирование только на реагировании — организация теряет возможность видеть картину более глобально, комплексно.
2. Отсутствие конкретных указаний в разработанных документах — столкнувшись с инцидентом, сотрудник релевантного подразделения должен однозначно и точно отреагировать на него; здесь также важно избежать ситуации, когда зона ответственности неочевидна.
3. Сложность поддержания необходимого уровня компетенций сотрудников организации.
4. Недостаточное вовлечение бизнеса в процесс построения управления инцидентами ИБ.
5. Отсутствие тестирования, обновления и улучшения процесса и всех его составляющих — со временем бизнес, как и процессы могут (и будут) меняться, и важно адекватно и своевременно реагировать на изменения.

В итоге, на мой взгляд, среди основных критериев эффективного процесса управления жизненным циклом инцидента можно выделить:

1. Понятность и прозрачность на всех этапах и для всех вовлеченных лиц.
2. Полное соответствие потребностям организации.
3. Обеспечение быстрого и точного обнаружения и идентификации инцидента.
4. Обеспечение непрерывного и адекватного реагирования на инциденты.
5. Минимизация вероятности возникновения инцидентов ИБ».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Процесс подготовки к работе с инцидентами выглядит следующим образом:

1. Непрерывно выполняются задачи по сбору и обновлению информации о составе инфраструктуры, анализу и пересмотру бизнес рисков, определению целевых и ключевых систем, внедрению дополнительных средств и мер защиты информации, перестройки ИТ (при необходимости).
2. Далее на основании возможных векторов атак выстраивается процесс обнаружения и анализа инцидентов на всех этапах реализации, действий и меры их подтверждения и пресечения (блокирования), автоматизируются наиболее повторяемые задачи.

На этапе управления жизненного цикла уже происходят процессы:

• обнаружения и верификации событий безопасности, выявления компьютерных инцидентов.
• реагирования на обнаруженные компьютерные инциденты, включая задачи по пресечению атаки и недопущению развития атаки.
• расследование причин реализации атаки и формирование дополнительных технических и организационных мер по недопущению повторения инцидента».

Данила Луцив, руководитель отдела развития, Security Vision:

«Два наиболее широко известных подхода к обработке инцидентов, довольно похожих друг на друга, — это концепции SANS и NIST. Оба фреймворка уделяют особое внимание, во-первых, подготовительному этапу, а во-вторых – этапу пост-инцидентного анализа и накопления знаний. Эти два основополагающих момента часто упускают SOC подразделения на начальных ступенях зрелости своих процессов.

Четко описанные сценарии получения информации, анализа, приоритизации и реагирования помогают избежать фрустрации при наступлении реального инцидента. Четко определенные участники рабочей группы, включающее при необходимости представителей HR, юристов, а также сотрудников физической безопасности. Список контактов и протокол взаимодействия с регуляторами, силовыми структурами, вендорами – все это должно быть описано до наступления инцидента.

То, как именно будет соблюдаться баланс доступности критической системы и ее криминалистический анализ, также должно быть прописано на берегу и согласовано со всеми заинтересованными лицами. Последнее, что нужно команде кибер-аналитиков — это проектный менеджер, настойчиво требующий срочно включить скомпрометированную систему.

Пост-инцидентный анализ, накопление внутренней задокументированной экспертизы позволяет как сократить время реагирования на повторные аналогичные инциденты, так и значительно снизить время адаптации нового SOC аналитика, погрузив его в контекст происходящих процессов».

Алексей Юдин, директор центра мониторинга Infosecurity:

«Самое главное в процессе управления инцидентами – это качественное отсеивание ложных срабатываний и быстрое реагирование всеми ответственными лицами в случае реальных инцидентов. В процесс расследования и реагирования на инциденты должны быть вовлечены сотрудники SOC, специалисты ИТ-подразделения и владельцы бизнес-систем для оперативного принятия решений.

Таким образом, для оптимального выстраивания процесса необходимо, чтобы все заинтересованные подразделения могли вовремя вносить корректировки в работу и оптимизировать процессы под задачи бизнеса».

Из каких специалистов состоит SOC-команда со стороны исполнителя, а также заказчика?

Мелехин Иван, директор по развитию АО НИП Информзащита:

«Набор специалистов не зависит от того, в какой модели развернута инфраструктура СОКа — в облаке или локально. Разница есть между «SOC-как-сервис» и своим СОКом. В любом случае, в СОКе будут следующие категории специалистов: аналитики дежурной смены, аналитики 2 линии, аналитики разработки контента, специалисты TI, сервис-менеджеры, руководители, специалисты по расследованиям, администраторы инфраструктуры.

В случае, если заказчик получает СОК как сервис, то на его стороне достаточно иметь ответственного (возможно совмещение) за взаимодействие с СОКом и вовлеченность администраторов ИТ- и ИБ-систем».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Оргструктура SOC должна делиться на несколько функциональных групп.

В группе администрирования, судя из названия, должны работать администраторы технических средств. Основная их задача – это установка, обновление и обслуживание программно-технических средств и СЗИ SOC, подключение/отключение источников данных, корректировка и настройка решающих правил.

В группе анализа защищенности представлены специалисты по анализу защищенности. Основные их задачи – это инвентаризация и анализ уязвимостей информационных ресурсов, проведение/координация тестов на проникновение, redteaming правил корреляции и готовности сотрудников SOC.

Группа мониторинга и реагирования – это:

• Дежурные операторы – отвечающие за взаимодействие с пользователями и персоналом информационных систем, первичная фильтрация оповещений от средств мониторинга и средств защиты, регистрация компьютерных инцидентов, выполнение типовых операций по анализу и обработке компьютерных инцидентов.
• Аналитики – выполняющие функции анализа информации о компьютерных инцидентах, выявления и анализа угроз информационной безопасности, прогнозирование развития угроз, планирование мер по предупреждению угроз, поиска и верификации новых угроз и соответствующего наполнения базы данных. в том числе Аналитик является единым окном для общения с техническими специалистами Заказчика и оказание им консультативной и технической помощи в областях информационной безопасности и в рамках оказания сервисов.

Группа контроля качества сервисов — это сервис менеджеры, отвечающие за соответствие и соблюдение SLA и организацию процессов взаимодействия.

Группа развития threat hunter – это аналитики занимающийся поиском информации об угрозах, поиском рекомендаций и мер для защиты от угроз, обязательной верификацией полученных данных, даже если информация получена из проверенных источников.

И группа, занимающаяся форензикой».

Данила Луцив, руководитель отдела развития, Security Vision:

«Технологический стек современных SOC центров состоит из весьма технически сложных, гетерогенных и высоконагруженных систем, поэтому «вешалкой» в нашем SecOps театре становится подразделение технического администрирования средств анализа и защиты. Без обеспечения достаточного уровня надежности самих систем мониторинга, а также процессов журналирования систем, обработки этих журналов, отработки правил детектирования и корреляций невозможно быть уверенным в том, что инцидент не будет утерян еще на этапе обработки сырых событий.

Многие компании включают современные подходы Contentious Delivery\Continuous Integration и в процесс организации жизненного цикла правил детектирования, что увеличивает требования к отделу администрирования средств детектирования, так как предполагает владение DevOps инструментарием.

Далее в списке обязательных членов команды SOC идет собственно аналитики первой, второй и последующих линий. Вне зависимости от того, считаем мы «первую линию» ушедшей в прошлое или просто наделяем ее большим инструментарием и полномочиями за счет автоматизации, снижая нагрузку с последующих, высококвалифицированных сотрудников, процесс обработки инцидентов все еще крайне требователен к человеческим рукам и мозгам.

Мы пытаемся выявить нестандартное, нетипичное нешаблонное поведение систем и пользователей, структурировать хаос и увидеть в нем закономерности. С такими задачами автоматика справляется довольно плохо, и задача ее сводится к тому, чтобы представить всю надлежащую информацию в наиболее эффективном, обогащенном, структурированном формате или к тому, чтобы аналитики различных линий могли со значительно большей вероятностью и в значительно более короткий срок выявить вредоносную активность.

То, чего лишены многие внутренние SOC подразделения, — это выделенные подразделения таких узкоспециализированных направлений, как форензика, реверс-инжиниринг, Threat Hunting и Threat Intel. Грамотное построение процесса пост-инцидентного анализа часто помогает компаниям избежать компрометации через те же каналы, пресекая активность на ранних этапах, не говоря о том, что лишь надлежащим образом собранные криминалистические доказательства способны лечь в основу обращения в правоохранительные органы.

Практики ретроспективного поиска индикаторов компрометации и TH гипотез в инфраструктуре часто становятся единственным способом выявления высококвалифицированного вредоносного присутствия. Все вышесказанное даёт почву к размышлениям если не о том, чтобы держать в штате соответствующих высококвалифицированных аналитиков, то хотя бы о том, чтобы в случае необходимости в кратчайший срок наладить тесное взаимодействие с компаниями, предоставляющими подобного рода услуги».

Алексей Юдин, директор центра мониторинга Infosecurity:

«В идеале, наиболее эффективно разделить специалистов SOC на две линии. Группа 1-й линии обеспечивает оперативный разбор входящей информации и выделение в общем потоке данных угроз безопасности. Если инцидент оказывается среднего или высокого уровня критичности, то он передается специалистам 2-й линии SOC. Сотрудники 2-й линии должны обладать более глубокими экспертными компетенциями: они могут расследовать инцидент от нескольких минут до недель, собирая детальные данные, привлекая экспертов, восстанавливая последовательность действий и т.д.

Помимо сотрудников 1 и 2 линии в команде могут быть эксперты по цифровой криминалистике и аналитики вредоносного ПО, специалисты по анализу угроз, эксперты по разработке контента для SIEM и IRP систем и руководитель, который отвечает за координацию всего центра мониторинга и смежных подразделений.

Если мы говорим про модель On Premise, то организация-заказчик должна самостоятельно «вырастить» или нанять специалистов, способных обеспечить мониторинг и разбор инцидентов ИБ, а если про облачную модель – то тогда сервис и специалисты находятся в ведении сервис-провайдера, то есть исполнителя».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Команда специалистов мониторинга — круглосуточный мониторинг, выявление и фиксация всех произошедших в инфраструктуре инцидентов, выполнение задач по пресечению атаки при подтверждении проведения компьютерной атаки, а также фактов реализации бизнес рисков.

Команда аналитиков — сбор и обновление информации о составе инфраструктуры, анализ и пересмотр бизнес рисков, определение целевых и ключевых систем, формирование векторов атак, формирование сценариев выявления компьютерных атак с использованием средств мониторинга.

Команда администраторов — администрирование технических средств SOC, внедрение дополнительных средств и мер защиты информации.

Команда архитекторов/профильных экспертов по различным технологическим направлениям (Windows, Web, Unix, Сети, Виртуализация)».

Какой KPI у SOC? Как оценить эффективность современного SOC?

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«KPI у SOC, как у «заградотряда» – это недопущение реализации бизнес рисков в Компании, т. е. SOC должен твердо стоять на защите организации и успешно противодействовать всем компьютерным атакам, другие KPI, которые предоставляют внешние SOC, связанные со скоростью обработки поступающих событий безопасности, скорости реагирования на выполнения превентивных мер, SLA, показатели доступности средств мониторинга и инфраструктуры являются побочными показателями для достижения основного и единственного показательного результата».

Данила Луцив, руководитель отдела развития, Security Vision:

«Общеизвестные критерия оценки эффективности SOC это Mean-time-to-detection (mttd) – среднее время детектирования инцидента и Mean-time-to-respond (mttr) – среднее время детектирования. Однако не стоит забывать, что достаточно большое время аналитики SOC тратят на подготовку на подготовку отчетов и другие внутренние транзакционные издержки.

Если после каждого обработанного инцидента сотрудник тратит часы на подготовку отчетов в различных форматах для внутренних систем учета, а также для внешних регуляторов, а в конце месяца целый день сводит таблицу со своими результатами для подсчета KPI\SLA – такой SOC сложно назвать эффективным. Немаловажным в эффективности SOC также нужно считать удовлетворенность пользователей, а на нее напрямую влияет время простоя систем при обработке инцидентов. Сотрудник, на целый день лишённый своего рабочего места после детектирования на его системе потенциально вредоносной активности, — это прямые финансовые потери компании.

Задача эффективного SOC – максимально сократить время этого простоя без потери качества анализа и обработки инцидента. Показатели экономической эффективности подразделения: состоявшийся и предотвращенный ущерб, стоимость обработки на инцидент и время простоя пользователей и систем в результате киберинцидентов и процедур по их обработке – из всего этого складывается экономическое обоснование бюджетирования SOC подразделения».

Мелехин Иван, директор по развитию АО НИП Информзащита:

«Любой СОК имеет базовые СЛА на обработку событий и инцидентов и реагирование. Остальные КПИ могут быть доработаны на основании соглашений между заказчиком и исполнителем».

Алексей Юдин, директор центра мониторинга Infosecurity:

«Помимо количества и скорости выявления и реагирования на инциденты немаловажным является и процент ложных срабатываний: чем он ниже, тем более качественно работает SOC и более плотно выстроено взаимодействие со службами эксплуатации средств защиты и информационных систем. Также важной характеристикой является покрытие инфраструктуры, как по объему инфраструктуры, так и по набору сценариев реагирования. Хорошей практикой является проведение тестов на проникновение (Redteaming) для проверки эффективности и выявления «белых пятен» в зоне ответственности специалистов SOC».

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC:

«Современный SOC – это сложная комплексная услуга, которая состоит из огромного количества компонентов: людей, процессов, технологий, а также может включать в себя другие сервисы. В таких условиях измерение качества является сложной задачей.

Понятие «эффективность» может разниться от организации к организации, поэтому в первую очередь необходимо понять, для чего оценивается эффективность SOC, есть ли необходимость фокусироваться на процессах или времени реагирования, будет ли эта оценка «привязана» к системе премирования. От ответов зависит вектор движения задачи оценки эффективности SOC.

Есть базовый набор метрик, прописанный в уровне SLA. Их отслеживание позволяет убедиться в соответствии предоставляемой услуги формализованным параметрам. Можно выделить:

1. Время реакции на инцидент
2. Время разрешения инцидента
3. Время оповещения заказчика

Дополнительно можно отметить более продвинутые метрики:

1. Количество событий, обработанных аналитиком (1й, 2й и 3й линии) за период времени
2. Количество ложных срабатываний
3. Количество автоматизированных событий

Но просто предложить метрики и начать их отслеживать мало. Важно выработать понимание, какие метрики наиболее полезны для данного заказчика. При обсуждении KPI и выработке индивидуальных метрик мы всегда обращаем внимание, что они должны соответствовать следующим характеристикам:

1. Быть объективно измеряемыми
2. Подобраны индивидуально с точки зрения важности для заказчика
3. Иметь однозначную трактовку, чтобы исключить вероятность недопонимания (например, вчера было зарегистрировано 10 инцидентов, а сегодня лишь 5. Значит ли это, что инциденты пропускаются или из-за выросшей эффективности их, наоборот, становится меньше?)

В процессе измерения эффективности и расчета метрик важно не забывать о ключевой задаче услуги SOC – обеспечение эффективной реальной безопасности, повышение уровня защищенности компании-заказчика. Очень легко потерять это из виду при декомпозировании сложных показателей на мелкие с целью измерения более простых индикаторов.

Как еще убедиться, что услуга SOC работает эффективно? Провести киберучения, в рамках которых имитируются реальные атаки на инфраструктуру и оценивается эффективность задействованных защитных мер: сценариев мониторинга, плейбуков, систем безопасности, настроек, протоколов и т.д. В первую очередь это поможет проверить адекватность реакции специалистов, грамотность их действий, согласованность и выявить слабые места, чтобы устранить их в будущем, оценить сопряженные процессы, например, Disaster Recovery.

Таким образом, оценка эффективности современного SOC и выработка соответствующих KPI – это сложная задача с точки зрения не только техники, поскольку требует серьезных усилий инженеров и разработчиков для учета огромного количества параметров, но и организации и постановки, поэтому она должна решаться совместно и с учетом индивидуальных потребностей конечного заказчика».

Максим Павлунин, руководитель Центра киберустойчивости ACRC Angara Professional Assistance:

«SOC – это технологии, процессы и люди. Для оценки эффективности необходимо оценивать каждый компонент.

Под технологиями обычно понимается инструменты, то есть SIEM-система. Однако на практике это не так. Для работы с инцидентами ИБ используется множество инструментов и технологий, направленных на сбор, обогащение, обработку, выявление и реагирование. Все используемые инструменты должны быть в «боевом» состоянии для противодействия современным атакам.

Одну из важнейших ролей в SOC играют люди, от квалификации которых напрямую зависит успешность выявления инцидентов ИБ. С каждым годом активно развивается как ИТ-технологии, так и техники злоумышленников для осуществления атак. Все эти факторы постоянно повышают требования к персоналу SOC.

Выстраивание процессов в SOC – одна из сложнейших задач для взаимодействия между людьми и технологиями, направленная на повышение эффективности подразделения.

Как же проверить эффективность SOC? Я считаю, что единственным критерием является успешность выявления и реагирования на атаки. Для этого необходимо устраивать периодические киберучения совместно с Red Team по различным сценариям. В результате подобных проверок можно дать оценку для каждого компонента SOC, провести работу над ошибками и наметить точки для дальнейшего развития подразделения».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Основным KPI для всех SOC-ов является отсутствие недопустимых событий для бизнеса. Метрики по скорости оповещения заказчиков о подозрительных инцидентах являются в этом смысле вторичными, хотя почему-то именно они ставятся во главу угла».

Какие лицензии и сертификаты должен иметь современный SOC? Какие требования регуляторов необходимо соблюдать?

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«Лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации согласно Федеральному закону от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», а также согласно постановлению Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации», включая следующие виды лицензируемой деятельности:

• по мониторингу информационной безопасности средств и систем информатизации;
• по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
• по установке, монтажу, наладке, испытаниям, ремонту СЗИ (технических СЗИ, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) СЗИ, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Лицензией ФСБ России на осуществление разработки, производства и распространения шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ и оказание услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) согласно Федеральному закону от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».

Система менеджмента информационной безопасности и система менеджмента IT-сервисов CyberART соответствует требованиям стандартов ISO/IEC 270001:2013 и ISO/IEC 20000-1:2018 в отношении:

• оказания услуг по мониторингу информационной безопасности средств и систем информатизации;
• контроля защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации;
• создания комплексных систем защиты информации и технической защиты конфиденциальной информации: аудит ИБ и контроль защищенности конфиденциальной информации; проектирование, внедрение, техническое обслуживание систем защиты информации, информационных систем в защищенном исполнении;
• оказания консультационных услуг по защите информации: формализация и внедрение процессов информационной безопасности; повышение осведомленности в области ИБ; разработка, внедрение систем управления информационной безопасностью; оказание услуг по выявлению инцидентов информационной безопасности и реагированию на них».

Алексей Юдин, директор центра мониторинга Infosecurity:

«Как правило, обязательной для всех компаний, оказывающих услуги SOC, является лицензия ФСТЭК на техническую защиту конфиденциальной информации. Для финансовой отрасли необходимо выполнять требования ГОСТ 57580.1 и обеспечить взаимодействие с ФинЦЕРТ в части обмена данными об угрозах и критичных инцидентах. Для компаний, в которых присутствуют объекты критической инфраструктуры, необходимо выполнять перечень требований ФСБ и ФСТЭК по защите данных объектов, а также организовать передачу инцидентов и информации об уязвимостях объектов КИИ в НКЦКИ».

Алексей Павлов, заместитель директора центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»:

Алексей Павлов, заместитель директора центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»

«Если мы говорим про реальную безопасность и адекватные требования, а не формальный подход «бумажка ради бумажки», то сертификация позволяет упорядочить инфраструктуру, процессы и процедуры внутри SOC. Вариаций существует огромное количество, особенно иностранных, но предлагаю сначала рассмотреть отечественные требования. Самой базовой является лицензия ТЗКИ на мониторинг. Кто-то считает ее формальностью, но я категорически не согласен.

Лицензия ТЗКИ обеспечивает минимально необходимый уровень требований к SOC, особенно в случае с сервис-провайдером. Если последний не обладает набором процедур, решений и процессов, необходимых для выполнения требований данной лицензии, то ему точно рано оказывать услуги по информационной безопасности.  При этом я с нетерпением жду процедуры аккредитации центров ГосСОПКА, ведь количество атак через подрядчиков активно растет. В итоге сервис-провайдеры находятся в зоне риска, и подобная аккредитация повышает безопасность всей критической информационной инфраструктуры нашего государства.

Не менее важны и отраслевые требования, например, положения Банка России и связанного с ними ГОСТ 57580.1 или западных стандартов типа PCI DSS. Помимо базовых требований к SOC, они обеспечивают учет специфических отраслевых нюансов. Помимо этого, есть классические требования ISO 27001 и прочие, где важен скоуп объектов аттестации, а не формальный факт наличия лицензии. Есть и добровольные сертификации, например, по уровню зрелости (SOC Maturity Model), а также проверка соответствия стандартам отдельных функций внутри SOC.

Но главное – это все-таки подход к процедуре аттестации и сертификации. Он должен отражать реальное положение дел, а не быть формальностью. А потенциальным клиентам данные сертификаты позволят оценить уровень подготовки SOC и его зрелость».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Профильные сертификаты у сотрудников SOC подтверждающие квалификацию в области обеспечения информационной безопасности (CCNA, CCNP, CEH, OSCP, CND, GFCE, GFCA, CISA, CISSP), а также подтверждающие навыки работы со средствами мониторинга и защиты информации (SIEM, EDR, NTA, WAF, AV. Sandbox, NGFW и др.) используемыми в работе SOC не ниже уровня администратор/профессионал

На сегодняшний день в России в зависимости от области Компании, для которой предоставляются услуги, например для объектов КИИ накладываются требования ФЗ-187 и его подзаконных актов, в финансовой сфере это требования ЦБ СТО БР, ГОСТ 57580, 683П и др.».

В чем разница между отечественным и западным SOC?

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Разница между отечественным и западным SOC можно разделить на разницу в менталитете задействованных людей и организаций, для которых предоставляются лицензий, за рубежом есть достаточно серьезные регуляторные документы, требующие от организаций серьезного отношения как минимум к обработке персональных данных клиентов (GDPR), т.е. русская поговорка «и так сойдет» в отношении обеспечения информационной безопасности и построении ИТ инфраструктуры в европейских странах может закончится очень серьезными последствиями как для конечной организации так и для внешнего SOC.

Также у зарубежных SOC не возникает ситуаций «импортозамещение, связанное с использованием технических средств и ПО», а если и возникает, у них есть достаточный выбор альтернативных native-решений, которые одинаково эффективно могут помочь SOC в выполнении ежедневных операций и задач».

Данила Луцив, руководитель отдела развития, Security Vision:

«Из года в год основной пищей для размышления в сфере Security Operations становится SANS SOC Survеy. И в очередной раз список основных вызовов, с которыми сталкиваются организации при построении SOC подразделения, опрошенные называют недостаток квалифицированных кадров. Нет никаких сомнений, что и отечественные компании в подобном опросе поставили данный фактор во главу списка. Однако на второе место SOC Survеy в этом году поставил недостаток автоматизации и оркестрации процессов. Представители российских компаний пока уделяют не столь много внимания данному направлению, хотя можно с уверенностью сказать, что тренд на автоматизацию процессов скоро достигнет и отечественного ИБ сообщества, так как только роботизированные процессы позволяют эффективно отвечать на современные вызовы.

Еще одним параметром, по которому точно бы различались мировой и российский SOC опросы, стал бы пункт о регуляторных и правовых требованиях. В России этот пункт неизменно ставят во главу угла в силу приказного порядка российского регулирования, в то время как лишь 3% опрошенных SOC Survey называют этот фактор, как значимый и представляющий для них сложность. И, наконец, то, с чем сталкиваются и российские, и западные руководители SOC подразделений и опрос ставит на первое место, — это недостаток поддержки топ-менеджмента. Невозможность на текущем этапе показать эффективную экономическую модель, прослеживаемость результатов и риск-ориентированный подход пока что создают пропасть в общении безопасников и топ-менеджмента. Однако, будем надеяться, что современные системы управления процессами информационной безопасности сделают активность SOC понятной в том числе и для топ-менеджмента и владельцев бизнеса».

Алексей Юдин, директор центра мониторинга Infosecurity:

«В основном, отличия в реализации требований российских регуляторов по использованию сертифицированных решений, взаимодействии с НКЦКИ и ФинЦЕРТ, а также в использовании в работе индикаторов компрометации и данных об атаках, релевантных именно для российского сегмента. В дополнении к этому, западные SOC, как правило, более продвинутые в технологическом и процессном плане и обеспечивают безопасность крупных компаний со зрелой культурой кибербезопасности».

Денис Батранков, советник по безопасности корпоративных сетей:

«10 лет разницы между созданием тех и других».

Алексей Павлов, заместитель директора центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»:

«На самом деле, ответ нетривиален. На западном рынке есть четкое разделение MSSP и MDR. Первое больше похоже на базовое сопровождение СЗИ, автоматизированную обработку алертов с SIEM и автоматизированных оповещений. Но основной фокус на базовом prevention — эксплуатация СЗИ, сетевой инфраструктуры. Причем западные сервис-провайдеры стремятся максимально автоматизировать действия, чтобы снизить нагрузку на экспертные группы.

MDR же предполагает именно экспертные сервисы, которые включают большой набор отдельных услуг. Их можно приобретать независимо друг от друга, как конструктор. Базовый вектор — покрытие цикла Incident Response.

На отечественном рынке разделение MSSP и MDR не столь очевидно. Почти все сервис-провайдеры SOC позиционируют себя как MDR, но предлагают разный набор как базовых, так и опциональных экспертных услуг. Многие при этом выполняют функции как MSSP, так и MDR.

Кроме этого, в России высокая конкуренция среди SOC, что положительно влияет на стоимость сервисов для клиентов.  SLA отечественных сервис-провайдеров не просто конкурентоспособны, но даже превосходят западные. Экспертов всегда не хватает, но удельная их плотность в штате сервис-провайдеров в России и за рубежом также показывает наше преимущество.

Словом, отечественные MDR SOC переняли ключевые западные практики при высочайшем SLA и более низкой стоимости. И в целом демонстрируют отличное качество оказываемых услуг».

Зачем идти на SOC-форум 2021?

Алексей Юдин, директор центра мониторинга Infosecurity:

«Подобные мероприятия помогают участникам рынка быть в непрерывной коммуникации, обмениваться опытом, получать новые знания и компетенции, находить новые пути сотрудничества. Для заказчиков SOC-форум — это хорошая возможность познакомиться с актуальными решениями на рынке и успешными кейсами, увидеть реальную работу SOC и, возможно, получить лучшие практики лидеров отрасли».

Денис Батранков, советник по безопасности корпоративных сетей:

«Узнать, как лучше расследовать инциденты в своей компании».

Алексей Павлов, заместитель директора центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»:

«SOC-форум — это уникальное место, где вы сможете увидеть альтернативную точку зрения на привычные вещи, пересмотреть зоны ответственности ИТ и ИБ в вашей компании. В этом году ожидается большое количество выступлений конечных потребителей услуг SOC и компаний, имеющих собственный центр мониторинга. А клиентский опыт — самое ценное, что есть на любой конференции. Перспективные технологии, проверенные временем решения, процессы и методология SOC, люди и вопросы стажировки, обучения, их роста внутри направления ИБ – обо всем этом вы услышите в этом году.

Также нас ждут выступления экспертных команд с профильными докладами по узкоспециализированным темам. Так что форум будет полезен не только ЛПР, но и техническим специалистам. В этом году впервые целая секция посвящена экономике процессов ИБ, TCO, ROI, SGRC, а также опросам рисков и обоснований ИБ-бюджетов.

Отдельное внимание хочется уделить компаниям, представленным на стендах. В этом году многообразие вендоров, сервис-провайдеров и поставщиков будет на самом высоком уровне. Так что у гостей появится возможность в приватной беседе задать любые интересующие вопросы. А после столь длительного локдауна каждое профильное мероприятие — хорошая площадка для обмена мнениями, новостями и опытом».

Алексей Лобзин менеджер по развитию сервисов киберзащиты CyberART, Группа компаний Innostage:

«SOC-форум стал уже традиционным мероприятием, которое подводит итоги прошедшего года и даёт направления на год будущий. Ради этого и нужно идти сюда, чтобы обменяться историями успеха и не только успеха, и идеями, и направлениями, куда должна развиваться наша отрасль».

Антон Кузьмин, руководитель центра кибербезопасности CyberART, Группа компаний Innostage:

«Сообщество SOC-ов в России постоянно растёт и развивается, и SOC-форум – это отличная площадка, где можно встретить как всех старых друзей и коллег, так и завести новые интересные знакомства, послушать доклады и обсудить все актуальные для нашего сообщества вопросы».

Данила Луцив, руководитель отдела развития, Security Vision:

«В России проходит огромное количество мероприятий по информационной безопасности, однако исторически на слуху лишь те, что посвящены тематике атакующей стороны. Команда SOC форума проделала огромную работу, сделав фактически невозможное: сформировав повестку конференции таким образом, что она из года в год интересна как представителям технических направлений защиты информации, так и тем, в чьей сфере интересов находятся ИБ менеджмент и регуляторика.

Подобного рода синергия делает SOC форум мероприятием, обязательным к посещению не только тем, кто занимается вопросами собственно мониторинга и обработки инцидентов, но и в целом всем, кто связан с отраслью информационной безопасности. Находясь в авангарде противодействия вредоносной активности, специалисты SOC технологий на данном мероприятии делятся инсайтами, стоимость которых при стратегическом планировании кибер-защищенности организаций крайне велика.

Сфера информационной безопасности столь объемна, что охватить ее полностью не под силу ни одному, даже суперпрофессионалу, так что уповать стоит лишь на подобного рода события и нетворкинг, который на них происходит, каждый раз позволяя обнаружить для себя что-то новое: новые угрозы или способы их устранения».

О SOC-Форуме 2021

7–8 декабря в Москве в Центре Международной Торговли состоится одно из самых ожидаемых мероприятий в области информационной безопасности — SOC-Форум 2021 «Практика противодействия кибератакам и построения центров мониторинга ИБ», узнать подробнее и зарегистрироваться можно здесь.

В рамках мероприятия с докладами традиционно выступят представители государственных регулирующих органов, крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества. Также участники смогут ознакомиться с наиболее перспективными технологиями по противодействию кибератакам, обнаружению, реагированию и расследованию инцидентов ИБ, которые будут представлены в обширной демонстрационной зоне.

SOC-Форум 2021 пройдет в формате COVID-free. Это позволит создать безопасную и комфортную среду для проведения мероприятия в условиях пандемии и полностью соответствует требованиям властей. Здоровье участников, спикеров, персонала и всех, кто принимает участие в организации Форума является для нас приоритетом. Для входа на площадку, помимо билета на Форум и паспорта, необходимо предъявить QR-код.

CISO CLUB — инфопартнер SOC-форума.