«Газинформсервис» выводит на рынок свой SOC. Какие перспективы?
Эффективная кибербезопасность является актуальной задачей для любой компании. Однако ресурсы, необходимые для ее обеспечения, особенно кадровые, сегодня находятся в дефиците. Компании, работающие в области информационной безопасности, осознавая сложившуюся ситуацию, предлагают российским корпоративным заказчикам сервисы «кибербезопасность как услуга» в различных форматах. Одним из наиболее распространенных и востребованных форматов является Центр Операций Безопасности (Security Operations Center, SOC).
Рост спроса на внешние SOC — примета нового времени, говорит Николай Нашивочников, технический директор компании «Газинформсервис». До недавнего времени в российских условиях существовал разрыв между глобальными и локальными трендами, который сейчас национальный рынок быстро преодолевает. Это видно в плане роста популярности услуг инфобезопасности, и, в частности, в положительной динамике спроса на внешние SOC. Компания «Газинформсервис» решила вывести на рынок свой SOC и рассказала о «нулевом цикле», то есть о создании соответствующей структуры для задач внешних заказчиков.
Почему растет популярность SOC
SOC или «центр мониторинга информационной безопасности» — структурное подразделение, отвечающее за оперативный мониторинг ИТ-среды в компании и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки. В современных условиях, когда активность хакеров уже беспрецедентна и продолжает нарастать, SOC необходим любой крупной организации, а в ряде случаев и компаниям среднего размера.
Легко видеть, что задачи отдела кибербезопасности на предприятии много шире, чем функции SOC. В какой-то моменнт сотрудников-«безопасников» из штата корпоративного отдела ИБ приходится выделять в отдельную структуру (центр мониторинга информационной безопасности), а как это сделать, если дефицит квалифицированных сотрудников нарастает практически везде?
Наиболее очевидным вариантом является использование услуг внешнего SOC. Однако до недавнего времени российские корпоративные заказчики неохотно обращались к такому формату. Компании предпочитали развивать все ИТ-ресурсы внутри организации, включая отделы информационной безопасности. В настоящее время такой подход возможен, но в определенных пределах. Следование принципам «тотального on-premise» становится слишком дорогим и неэффективным как в экономическом, так и в техническом плане. Это особенно заметно на примере SOC, что привело к быстрому росту спроса на внешние SOC.
Что получает заказчик от внешнего SOC
Короткий ответ на этот вопрос прост: внедрение внешнего SOC оптимизирует расходы на обеспечение информационной безопасности при повышении её эффективности. Для любой компании минимизация усилий на развитие непрофильной деятельности является эффективным и своевременным бизнес-решением, равно как и перевод затрат из CAPEX в OPEX. В этом отношении информационная безопасность не отличается качественно от других корпоративных ИТ-сервисов, хотя количественные параметры здесь наиболее показательны.
Конечно, не все задачи ИБ можно отдать «на сторону», значительную часть задач компаниями приходится решать собственными силами. Однако, следует помнить, что пользование сервисами внешнего SOC существенно снижает нагрузку на ИБ-подразделение компании. Это позволяет «безопасникам» сосредоточиться на важных задачах, связанных с проектированием, развитием и оптимизацией ИБ в компании, что по понятным причинам повышает общий уровень киберзащищенности корпоративного ИТ-рельефа.
Внедрение SOC — задача интеграции
Для выполнения SOC своих функций нужна глубокая интеграция ИТ-системы центра реагирования с элементами ИТ-инфраструктуру компании-заказчика. По сути, поставщик сервисов SOC становится партнером компании-заказчика, так как получает доступ практически ко всем элементам ИТ-инфраструктуры.
На интеграцию сервисов внешнего SOC с инфраструктурой заказчика нужно время. Обычно только настройка SIEM занимает в среднем около двух месяцев, говорит Николай Нашивочников, хотя на практике сроки зависят от размера компании-заказчика и уровня сложности ее инфраструктуры. Нужно также разобраться в особенностях ИТ и ИБ на стороне заказчика, получить права доступа, настроить программные коннекторы, обеспечивающие связь систем SOC с компонентами ИТ-рельефа компании, и т.д. Только после этого специалисты SOC получают возможность собирать данные с объектов инфраструктуры для последующего анализа, а при обнаружении подозрительной активности — быстро предпринимать ответные меры.
Заметим, что злоумышленники могут длительное время незаметно находиться внутри инфраструктуры заказчика — промежуток от проникновения до начала атаки может измеряться многими месяцами! Поэтому обычно в круг задач SOC также входит как блокировка хакерской активности, так и восстановление в инфраструктуре элементов, которые хакеры все же успели сломать. А также — расследование инцидентов, позволяющее закрыть уязвимости, которые использовали киберпреступники.
Что дальше?
Создав инфраструктуру для предоставления сервисов SOC российскому рынку, компания «Газинформсервис» продолжает расширять спектр доступных функций и необходимых инструментов. «При наличии собственных дополнительных инструментов мы детектируем события значительно быстрее», — отметил Николай Нашивочников.
«Газинформсервис» продолжает вести НИОКР, например, активно разрабатывает инструменты на основе «искусственного интеллекта». «Где ИИ нужен — используем его, где работают классические инженерные подходы — используем их, — говорит Николай Нашивочников. — Для развития инструментов у нас есть собственная лаборатория технологий ИИ».
В перспективах компании — развитие направления киберразведки, актуального для деятельности SOC, особенно для задач киберрасследований. Кроме того, запланировано создание собственного киберполигона к концу этого года и активное наращивание компетенций в работе с объектами критической информационной инфраструктуры (КИИ).
«Что нам стоит SOC построить»
После принятия решения о выводе на рынок услуг внешнего SOC в «Газинформсертвис» предполагали, что все задачи «нулевого цикла» будут решены в течение шести месяцев. Однако, как отметил Николай Нашивочников, в реальности задачи заняли существенно больше времени — компании потребовался год.
Напомним, что «Газинформсервис» работает на рынке более двадцати лет и является интегратором и разработчиком продуктов в области информационной безопасности. Компания располагает командой специалистов с необходимыми компетенциями и предоставляет широкий спектр ИБ-сервисов для корпоративных заказчиков. Сервисы SOC расширяют портфель компании, в который традиционно входили ИБ-консалтинг, техническое сопровождение, тестирование на проникновение и аттестация объектов информатизации.
Время на создание SOC, затраченное компанией с таким опытом и экспертизой, показывает, что у любой другой организации создание собственного «центра реагирования» займет существенно больше времени. Например, «Газинформсервис» располагает технологиями и программными продуктами, в которых используется поведенческая аналитика, что обеспечивает обнаружение злоумышленников по характерным комбинациям признаков. Эти технологии в компании создавались многие годы. У заказчиков, разумеется, вряд ли будут встроены такие модели и алгоритмы на сравнимом уровне, а закупка такого программного обеспечения и настройка потребует больших ресурсов.
Пока потенциальный заказчик будет строить собственный SOC, искать специалистов, наращивать компетенции и т.д., многие функции, нужные в современных условиях для обеспечения инфобезопасности на длительное время «повиснут» в воздухе, что в современных условиях по понятным причинам не очень хорошо, а в ряде ситуаций может оказаться крайне опасно для бизнеса. Вывод: чем быстрее компания из любого сектора экономики обратиться к услугам внешнего SOC, тем лучше.
■ Рекламаerid:LjN8KRDqzРекламодатель: ООО «Газинформсервис»ИНН/ОГРН: 7838017968/1047833006099Сайт: https://www.gaz-is.ru/