Как развивается рынок коммерческих Центров кибербезопасности в Дальневосточном федеральном округе и каковы требования региональных SOC к решениям для мониторинга событий ИБ, порталу TAdviser рассказал Кирилл Ищенко, руководитель центра мониторинга ООО «Информационный центр», первого коммерческого SOC на Дальнем Востоке.
TADVISER: Что собой сегодня представляет современный коммерческий SOC? Каким компаниям Вы рекомендуете обращаться за услугами SOC?
КИРИЛЛ ИЩЕНКО: Коммерческий SOC — это совокупность технологий, рабочих процессов и, самое главное, специалистов, позволяющая оказывать услуги выявления и реагирования на инциденты ИБ организациям, не имеющим возможности (или не желающим) содержать свой собственный Центр мониторинга кибербезопасности. Мы рекомендуем обращаться за услугами SOC всем компаниям. Сначала я хотел добавить «имеющим более-менее развитую ИТ-инфраструктуру», но у нас есть клиенты, у которых 3-5 рабочих места без серверной компоненты. Так что подключение к коммерческому SOC позволит повысить уровень информационной безопасности любой компании.
TADVISER: Кто в данный момент Ваши основные заказчики? Произошли ли изменения за 2 последние года?
КИРИЛЛ ИЩЕНКО: В основном среди наших заказчиков государственные учреждения, преимущественно являющиеся субъектами КИИ. Отдельно хочется отметить финансовые организации, которые тоже, как правило, являются субъектами КИИ, но у них основная задача мониторинга событий безопасности — это выполнение требований ГОСТ 57580. В целом для большей части клиентов требования по мониторингу событий ИБ являются обязательными к выполнению.
За последние пару лет к нам также стали обращаться коммерческие организации, которые заинтересованы в повышении уровня собственной защищенности. Немаловажную роль в этом сыграл изменившийся ландшафт угроз, участившиеся хакерские атаки, в том числе с целью дефейса веб-ресурсов, нарушения работы организации, причинения репутационного ущерба и т.п. Также увеличился интерес со стороны компаний из иных регионов (не Дальний Восток), в том числе из столицы. Это говорит о развитии как нашей компании, так и отрасли, в целом, когда местоположение поставщика услуг выходит на второй план.
TADVISER: Как Вы считаете, повысился ли уровень зрелости у заказчиков услуг SOC по сравнению с 2020-2022 годом? Как изменились их требования?
КИРИЛЛ ИЩЕНКО: Уровень определенно вырос. Даже с учетом специфики Дальнего Востока (мы всегда находимся в позиции догоняющего в области технологий, относительно центральных регионов) стало гораздо больше заказчиков, понимающих, какие задачи они хотят решить с помощью этой услуги. По крайней мере многие начали интересоваться, как минимум, пилотными проектами и концептуальными вопросами по внедрению процессов мониторинга ИБ.
Повысился и уровень оснащения средней компании в части средств защиты информации. На текущий момент крайне редко встает вопрос, что компании необходимо обеспечить мониторинг инфраструктуры, но источников для сбора событий практически нет.
TADVISER: Основной технической системой для SOC является SIEM-система, исходя из каких параметров Вы выбирали это решение?
КИРИЛЛ ИЩЕНКО: В первую очередь — это удобство использования, причем как аналитиками, так и администратором. Ведь чем меньше действий аналитик будет производить при разборе инцидента, тем больше он сможет не терять концентрацию.
Также хотелось бы отметить важность интуитивности интерфейса. Когда все понятно без долгого изучения документации, сильно ускоряется ввод в работу новых сотрудников. Этот момент особенно значим, когда в команду приходит несколько новых сотрудников (преимущественно аналитиков первой линии) и нужно максимально быстро включить их в рабочий процесс.
Во-вторых, мы всегда оцениваем простоту развертывания и подключения источников. Это особенно важно, когда в SOC много небольших, но типовых заказчиков.
На текущий момент мы остановили свой выбор на RuSIEM, так как данная SIEM-система наиболее полно соответствует всем вышеописанным критериям. Из достоинств можно отметить простоту и понятность интерфейса, широкие возможности по поиску нужных событий в базе данных при расследовании инцидентов, а также простоту подключения типовых источников событий из-за широкого набора предустановленных парсеров.
Со своей стороны хотелось бы отметить оперативность работы технической поддержки и отзывчивость команды разработки вендора, которые всегда открыты новым идеям и часто идут навстречу, добавляя нужный нам функционал в систему.
TADVISER: Помимо SIEM-системы, из чего состоит технологическое ядро SOC?
КИРИЛЛ ИЩЕНКО: Если не брать в расчет средства, которые поставляют события для анализа, то я бы выделил:
- средства, аккумулирующие и поставляющие информацию об актуальных угрозах, которые обеспечивают своевременное выявление атак или следов компрометации, а также повышают эффективность работы аналитиков и облегчают процесс анализа инцидентов;
- решения класса sandbox, особенно с возможностью ручного анализа;
- стек инструментов для снятия дампов со скомпрометированных устройств и их анализа.
Ну и не стоит забывать про автоматизацию процессов SOC для снижения нагрузки на сотрудников.
TADVISER: Насколько, по Вашему мнению, этот рынок сейчас насыщен? Будет ли он расти дальше? Есть ли предпосылки к этому?
КИРИЛЛ ИЩЕНКО: На Дальнем Востоке рынок пока не насыщен. Но, к сожалению, ситуации, когда организация самостоятельно приходит к пониманию необходимости внедрения своего SOC или подключения к коммерческому — скорее исключение, чем правило. Поэтому я считаю, что главные предпосылки для роста рынка — это все же законодательные изменения, например:
- устранение двусмысленности в вопросах анализа, регистрации событий безопасности в нормативных документах ФСТЭК России, явное указание в этих документах, что сбор, регистрация, анализ событий безопасности должны осуществляться централизованно автоматизированными средствами;
- распространение обязательных требований к значимым объектам КИИ на незначимые;
- обязательство финансовых организаций, попадающих под 3 уровень защиты по классификации ЦБ РФ, проходить аудит на соответствие ГОСТ 57580 (сейчас это для таких организаций добровольно, обязательно для 2 и 1 уровней защиты);
- введение и неизбежное исполнение существенных наказаний за неисполнение требований по защите информации и утечки персональных данных.