Что делать, если в компании назрела необходимость в использовании SIEM-системы, а экспертизы нет, и какие требования предъявляют вендоры к MSSP-партнёрам, оказывающим услуги SOC, рассказывают специалисты RuSIEM, руководитель отдела предпродажной подготовки Даниил Вылегжанин и руководитель отдела по работе с партнёрами Любовь Евтифеева.
— Даниил, кому из заказчиков вы рекомендуете обращаться в коммерческий SOC?
— Любому заказчику, который понимает необходимость анализа событий безопасности или попадает под требования регуляторов, но ещё не созрел для полноценного внедрения SIEM в своей инфраструктуре.
Например, для финансового сектора действует ГОСТ Р 57580.1-2017, который говорит о необходимости организации мер по регистрации и управлению событиями безопасности. Практически всегда для обеспечения соответствия этим требованиям используется SIEM-система, как единая платформа для сбора, хранения и анализа событий с целью оперативного выявления инцидентов информационной безопасности. Однако не во всех финансовых организациях есть достаточное количество ресурсов для внедрения SIEM-системы, поэтому для них услуги SOC будут очень кстати. Такие заказчики смогут одним выстрелом убить двух зайцев: и обеспечить соответствие требованиям регуляторов, и повысить уровень информационной безопасности компании.
Например, для финансового сектора действует ГОСТ Р 57580.1-2017, который говорит о необходимости организации мер по регистрации и управлению событиями безопасности. Практически всегда для обеспечения соответствия этим требованиям используется SIEM-система, как единая платформа для сбора, хранения и анализа событий с целью оперативного выявления инцидентов информационной безопасности. Однако не во всех финансовых организациях есть достаточное количество ресурсов для внедрения SIEM-системы, поэтому для них услуги SOC будут очень кстати. Такие заказчики смогут одним выстрелом убить двух зайцев: и обеспечить соответствие требованиям регуляторов, и повысить уровень информационной безопасности компании.
— Какие существуют варианты подключения к коммерческим SOC?
— Здесь всё зависит от исходных данных. Если у заказчика нет мощностей для развёртывания SIEM в своей инфраструктуре, но при этом есть необходимость использования системы мониторинга событий ИБ, то для таких организаций подойдёт вариант отправки своих событий в коммерческий SOC для анализа и выявления инцидентов.
Для предприятий, у которых достаточно ресурсов, но не хватает экспертности, рекомендуется гибридный вариант: когда SIEM разворачивается внутри инфраструктуры заказчика, а операции по расследованию и реагированию на инциденты осуществляют специалисты коммерческого SOC со строгим соблюдением SLA и полной отчётностью. Таким образом, все события не выходят за пределы организации и в случаях, когда заказчик понимает, что уже сам готов заниматься расследованием и реагированием на инциденты, он может отказаться от экспертизы SOC в пользу собственной без дополнительных затрат.
Также немаловажную роль при выборе модели подключения играет стоимость оказываемых услуг. Иногда, даже при наличии ресурсов для развёртывания SIEM локально, более интересным вариантом для компании является использование вычислительных мощностей и экспертизы стороннего SOC, так как это позволяет сберечь драгоценные ресурсы для других задач.
Для предприятий, у которых достаточно ресурсов, но не хватает экспертности, рекомендуется гибридный вариант: когда SIEM разворачивается внутри инфраструктуры заказчика, а операции по расследованию и реагированию на инциденты осуществляют специалисты коммерческого SOC со строгим соблюдением SLA и полной отчётностью. Таким образом, все события не выходят за пределы организации и в случаях, когда заказчик понимает, что уже сам готов заниматься расследованием и реагированием на инциденты, он может отказаться от экспертизы SOC в пользу собственной без дополнительных затрат.
Также немаловажную роль при выборе модели подключения играет стоимость оказываемых услуг. Иногда, даже при наличии ресурсов для развёртывания SIEM локально, более интересным вариантом для компании является использование вычислительных мощностей и экспертизы стороннего SOC, так как это позволяет сберечь драгоценные ресурсы для других задач.
— Любовь, каковы основные преимущества RuSIEM для SOC-центров?
— RuSIEM — нишевой вендор, инвестирующий все ресурсы в развитие своего основного продукта, SIEM-системы RuSIEM, и дополнительных модулей, расширяющих его функционал. Помимо оперативной технической поддержки, у нас есть постоянно растущая база знаний RuSIEM, портал документации по решению, а также канал RuSIEM community в TG, позволяющие оперативно получать поддержку и помощь как от команды разработчика, так и от сообщества пользователей RuSIEM.
Кроме этого, мы предлагаем партнёрам гибкую систему лицензирования, оптимальное соотношение «цена — качество», возможность горячего расширения лицензии без необходимости отключения системы и приобретения дополнительных модулей.
Кроме этого, мы предлагаем партнёрам гибкую систему лицензирования, оптимальное соотношение «цена — качество», возможность горячего расширения лицензии без необходимости отключения системы и приобретения дополнительных модулей.
— Есть ли требования к MSSP-партнёрам?
— Помимо наличия первой и второй линий технической поддержки клиентов, мы хотели бы, чтобы у партнёров были компетенции по нашему продукту, в том числе демостенд RuSIEM, а также обученные технические специалисты и sales-менеджеры.
На данный момент у нас пять авторизованных партнёров, которые оказывают услуги SOC на базе RuSIEM. Для того чтобы получить специальные условия для SOC-центров, необходимо отправить заявку на почту partners@rusiem.com.
На данный момент у нас пять авторизованных партнёров, которые оказывают услуги SOC на базе RuSIEM. Для того чтобы получить специальные условия для SOC-центров, необходимо отправить заявку на почту partners@rusiem.com.