Аналитика и комментарии

20 ноября 2018

SOC-as-a-service от компании Infosecurity

Российские банки пока еще предпочитают построение полнофункционального Security Operations Center (SOC) у себя, однако аутсорсинг деятельности по мониторингу становится все более востребованным. Вариантов аутсорсинга существует несколько – как передача на сервис всей деятельности по реагированию и расследованию инцидентов, так и всевозможные гибридные сценарии, считает Генеральный директор компании Infosecurity Кирилл СОЛОДОВНИКОВ. Своими наблюдениями и выводами по данной теме он поделился с NBJ.

NBJ: Кирилл, расскажите, пожалуйста, о том, какие задачи призван решать Центр мониторинга и реагирования на инциденты в сфере ИБ (SOC) и каковы были предпосылки к принятию компанией Infosecurity решения о его создании.

К. СОЛОДОВНИКОВ: Компетенция по разбору инцидентов в сфере ИБ стартовала у нас еще в те времена, когда Infosecurity была стратегическим парт­нером финансовой группы «Открытие». В тот период этой деятельностью были заняты всего два человека. Очень быстро пришло понимание того, насколько масштабной является эта задача, и осознание, что решить ее силами текущей команды будет невозможно. С учетом этого было принято решение о создании полноценного центра мониторинга и реагирования на инциденты, который помимо предоставления услуг разбора инцидентов для финансового холдинга в дальнейшем станет полноценным игроком рынка.

NBJ: Как шел процесс строительства SOC, на какие этапы подразделялся?

К. СОЛОДОВНИКОВ: Первым этапом как раз можно назвать принятие решения о создании SOC, затем мы начали анализировать опыт российских и зарубежных компаний по этому вопросу. Мы изучили лучшие практики, и, после того как выбор был совершен и согласован с нашим заказчиком SOC в лице «ФК Открытие», мы начали подбирать команду специалистов для реализации проекта. 

Естественно, что на этом пути мы столкнулись и с определенными проблемами, и главной из них стали огромные массивы данных, которые приходилось «перелопачивать» в поисках подозрительных активностей и инцидентов в сфере ИБ. Мы перепробовали для решения этой задачи большое количество систем, причем как коробочных, так и Open Source. Это были различные SIEM-системы, системы анализа логов, их пересылки и другие. Ни одна из них не позволяла работать с потоком событий около двух террабайт в сутки и при этом укладываться в требуемый бюджет. Именно поэтому в 2016 году мы запустили пилотирование систем класса Big Data на применимость к нашей прикладной задаче по анализу событий. Эти системы продемонстрировали достаточно высокую производительность, и в 2017 году мы запустили нашу собственную SIEM-систему, построенную на технологиях Big Data, в промышленную эксплуатацию. 

NBJ: Сколько по времени занял процесс строительства SOC от принятия решения о его создании до запуска в промышленную эксплуатацию?

К. СОЛОДОВНИКОВ: Примерно полтора года. Это сравнительно небольшой срок для реализации такого проекта, но надо иметь в виду, что процесс носил эволюционный характер: мы начинали строительство SOC не на пустом месте, Infosecurity к тому времени уже на протяжении нескольких лет предоставляла услуги по расследованию инцидентов информационной безопасности. 

NBJ: Если я правильно понимаю, существуют разные модели предоставления такой услуги, как SOC. Расскажите, пожалуйста, о них.

К. СОЛОДОВНИКОВ: Модели можно разделить на три вида: внутренний SOC, SOC-as-a-service (SOC как услуга) и гибридный SOC. Если говорить о внутреннем SOC, то очевидно, что он больше всего подходит крупным организациям, например банкам, занимающим топовые позиции в различных рейтингах. 

Они хотят все держать под своим контролем, тем более решения, непосредственно обеспечивающие их информационную безопасность. Такая модель имеет и определенные издержки, поскольку в этом случае заказчик берет на себя все расходы и риски, связанные с функционированием такой системы, в том числе и затраты на содержание высококвалифицированного персонала, эксплуатирующего эту систему. Задача подбора таких специалистов не так проста, как это может показаться на первый взгляд, во-первых, потому что актуальность задач по обеспечению ИБ постоянно возрастает, а во-вторых, потому что таких специалистов относительно немного и стоит им появиться на рынке, как их разбирают специализированные компании и госструктуры. 

NBJ: При SOC-as-a-service эти расходы и издержки оказываются на стороне поставщика услуги, это очевидно. А что такое гибридный SOC и в чем отличие этой модели от двух вышеназванных?

К. СОЛОДОВНИКОВ: Гибридная модель подразумевает следующее: у заказчика есть определенный набор компетенций, но он понимает, что их недостаточно для качественного разбора инцидентов. Например, он не хочет держать дополнительный штат сотрудников для мониторинга инцидентов в ночные часы. Или он не хочет самостоятельно заниматься разбором вредоносного кода, форензикой, анализом сложных инцидентов и т.д., где требуется компетенция высокого уровня. 

Я должен сказать, что вопрос не ставится так, что поставщик услуги работает исключительно по одной из таких моделей. Если говорить о компании Infosecurity, то мы работаем по всем трем вышеназванным моделям, но приоритетной для себя все же считаем SOC-as-a-service, поскольку у нас уже есть готовая облачная платформа, к которой можно легко подключиться.

NBJ: Эта модель является приоритетной для вас, а какую из них, по вашим наблюдениям, больше предпочитают заказчики?

К. СОЛОДОВНИКОВ: Российский банковский рынок достаточно консервативен, и поэтому, выбирая между собственным контролем за системами и качеством процесса, пока что отдают предпочтение первому. Но мы видим, что мир в целом все же мигрирует в сторону SOC-as-a-service, особенно очевидным это становится при изучении опыта западных стран. В силу того что Россия по многим вопросам следует за ними, но с небольшим запозданием, я уверен, что и в российской банковской сфере будет превалировать такой подход.

NBJ: Есть ли примеры публичных внедрений вашего решения, в том числе в форме сервиса? Если да, то расскажите, пожалуйста, о них.

К. СОЛОДОВНИКОВ: Конечно. Первым нашим опытом в данном вопросе стало внед­рение SOC-as-a-service в банке «Открытие», затем нашими клиентами стали группа «Сова Капитал», Росгосстрах Банк и еще ряд компаний, в том числе компания «Плазиус», разрабатывающая одноименную систему мобильных платежей. Сложно сказать, какой из этих примеров является наиболее удачным: лично мне нравятся партнеры, которые не останавливаются на внедрении системы, а проявляют интерес к развитию сервиса. Так, например, Росгосстрах Банк и «Плазиус» планируют расширять перечень сенсоров по обнаружению атак и несанкционированных действий. Это, на мой взгляд, самое корректное отношение к модели SOC-as-a-service, потому что ее смысл как раз и заключается в возможности наращивать функционал используемой системы в зависимости от пожеланий и задач заказчика.

NBJ: Как вы оцениваете дальнейший потенциал финансового рынка с точки зрения реализации вашего решения?

К. СОЛОДОВНИКОВ: Достаточно высоко. Как я уже сказал, крупнейшие компании и банки, которые принято называть лидерами рынка, предпочитают создавать собственные SOC, но помимо них и на банковском, и на финансовом рынках присутствует большое количество средних и малых компаний. Для них SOC-as-a-service –очень эффективный путь решения проблем в сфере обеспечения их информационной защиты. Они могут выбрать модель сотрудничества исходя, во-первых, из собственной оценки рисков в сфере ИБ, а во-вторых, из своих финансовых возможностей. 

SOC-as-a-service – гибкая модель не только с точки зрения ее функционала, но и по ценовым параметрам.    

 

Сергей Рублев, ДИРЕКТОР ЦЕНТРА МОНИТОРИНГА

Отмечу, что, оценивая потенциал нашего сервиса, мы руководствуемся степенью его востребованности не только на российском рынке, но и на международном уровне. Infosecurity входит в международную группу компаний SoftLine, что позволяет нам не останавливаться на достигнутом и полноценно прорабатывать возможности экспансии на зарубежные рынки, например перспективу построения полноценного центра мониторинга инцидентов в сфере ИБ в латиноамериканском или азиатском регионах. Информационная безопасность давно уже стала общей проблемой, поэтому мы уверены, что наше решение будет востребовано и в других странах. 

Поделиться:
 

Возврат к списку