Услуги аутсорсинга и миграция данных в облака уже давно не пугают бизнес. Вслед за некритичными бизнес-процессами компании готовы передать провайдерам самое важное — заботу об информационной безопасности. В ответ на тренд всеобщей цифровизации Softline и его дочерняя компания Infosecurity вывели на рынок новый продукт — облачный сервис ISOC.
Создание Центра мониторинга и реагирования на инциденты (Security Operation Center или SOC) — не просто модная тема в сфере информационной безопасности, но и реальная возможность эффективно противодействовать вторжениям хакеров. Появление отдельного подразделения, занимающегося вопросами безопасности на организационном и техническом уровне, позволяет успешно отслеживать и отражать атаки, а при необходимости — оперативно устранять их последствия. SOC необходим прежде всего тем компаниям, где вторжение может принести большой финансовый и репутационный ущерб — например, в финансовом секторе. Но и представители других отраслей бизнеса активно создают Центры мониторинга.
Три пути создания SOC
В данный момент существует три варианта создания Центра мониторинга и реагирования на инциденты, различные по временным и финансовым затратам:
- SOC on-premise. До недавнего времени крупные компании предпочитали строить SOC внутри своей ИТ-инфраструктуры. Как и в случае с созданием дата-центров, такой подход казался более удобным и безопасным: оборудование и специалисты всегда под рукой, в любой момент можно проконтролировать их работу. Тем не менее, быстро стало понятно, что создать надежный Центр мониторинга самостоятельно можно только уже обладая четко выстроенными процессами внутри ИБ-подразделения и наняв специалистов высококлассного уровня. Реализация такого проекта отнимает немало времени и денег.
- Аутсорсинг обслуживания SOC. В ответ на потребности клиентов большая часть ИТ-провайдеров предложила свои услуги по обслуживанию SOC: заказчику все еще нужно было обладать собственными или арендованными платформами SIEM и IRP, но команду мониторинга, а иногда и реагирования, он берет в виде сервиса у специализированной компании.
- SOC в облаке. Softline и входящая в ее состав Infosecurity вышли на рынок SOC с облачным сервисом ISOC, который позволяет построить эффективную систему мониторинга и реагирования на инциденты и управлять ей практически с нуля. Все сервисы, включая пользование SIEM и IRP, заказчик получает напрямую у провайдера. Данные попадают в SOC Softline посредством защищенного канала связи и обрабатываются с помощью стека технологий BigData. Причем этот процесс идет круглосуточно, а не только в рабочее время заказчика.
По словам руководителя направлений SOC, MSSP группы компаний Softline Андрея Колтакова, пока SOC в облаке интересует прежде всего средний и малый бизнес: таким компаниям удобно использовать «пакетные» предложения и у них отсутствуют предубеждения относительно использования облачных технологий. Крупный бизнес пока предпочитает строить собственный SOC, но скорее всего эта тенденция скоро пойдет на спад.
Александр Дворянский, директор по стратегическим коммуникациям Infosecurity a Softline Company:
Современные средства защиты позволяют обезопасить инфраструктуру компании от конкретных типов угроз, но не дают комплексного представления о происходящем. Получить более полную картину можно с помощью консолидированного анализа событий, поступающих от разных средств защиты. Однако технология — не единственная составляющая центра мониторинга и реагирования на инциденты (SOC). Не менее важны процессы и персонал, который осуществляет сопровождение, настройку оборудования и ПО и обработку инцидентов. Эксперты Softline имеют большой опыт в работе по расследованию угроз и реагированию на инциденты, что особо ценится нашими заказчиками из самых различных отраслей: от транспортного до банковского сектора. Кроме того, с момента запуска облачного SOC мы уже получили десятки запросов на его внедрение, при этом уже на этапе пилотных проектов заказчики отмечают гибкость реализации, скорость обработки событий, а также высокий уровень отказоустойчивости сервиса. Работу ISOC можно увидеть своими глазами, посетив офис Infosecurity a Softline Company или офис одного из наших заказчиков. Для этого заполните заявку на референс-визит на нашем сайте. Вы сможете посмотреть изнутри на процессы реагирования и получить консультацию по построению SOC от экспертов. Если вы заполните заявку на референс-визит до 28 февраля 2021, то получите специальный подарок. |
Кому и почему подойдет облако?
Сколько вы экономите, выбирая облачный SOC — зависит от размеров и потребностей организации. Даже в случае с компанией малого бизнеса сумма будет ощутимой. «Приведем пример. Если небольшая компания хочет построить SOC самостоятельно, ей сначала придется внедрить SIEM и IRP (это обойдется минимум в 5-10 млн рублей), а после нанять специалистов по поддержке SIEM и команду аналитиков из трех линий поддержки (услуги таких экспертов будут стоить от 14 млн рублей в год). Выбрав облачный SOC, представители SMB могут приобрести одно из пакетных предложений Softline. Внедрить у себя готовое решение можно за сумму от 4 млн рублей, еще 3 млн рублей будет стоить годовое обслуживание. Пакетные сервисы уже включают в себя всю функциональность для наиболее распространенных задач с прозрачным лицензированием. Для крупного бизнеса стоимость зависит от количества станций, набора средств защиты информации, срока хранения данных у провайдера и модели потребления (только мониторинг, либо реагирование на инциденты, устранение атак). И здесь экономия может достигать уже десятков миллионов рублей», — резюмирует Кирилл Солодовников, генеральный директор Infosecurity (входит в состав ГК Softline).
Помимо финансов облачный SOC экономит время. Реализация проекта по развертыванию облачного SOC, как правило, занимает до 2 месяцев при подключении к пакетному сервису и до 1 года при реализации On-site проекта для заказчика на его мощностях. Создание центра внутри инфраструктуры заказчика обычно занимает от 1 года и более. Фактически усовершенствованием собственного Центра мониторинга можно заниматься бесконечно, то же делает и облачный провайдер, но дополнительных ресурсов заказчик на это не тратит.
И, наконец, SOC в облаке решает кадровый вопрос. Специалисты, способные создать и поддерживать ситуационный центр, должны обладать очень высокой квалификацией — можно сказать, это элита на рынке ИБ. Спрос на таких экспертов на рынке труда очень велик, и, в случае ухода сотрудника, вы вряд ли сможете заменить его в считанные дни. Привлечение к обслуживанию SOC опытного провайдера позволяет получать стабильный уровень сервиса и не зависеть от личности конкретного специалиста.
Как выбрать провайдера?
Главный критерий при выборе поставщика услуг SOC — это опыт самостоятельного построения и эксплуатации Центров мониторинга и реагирования. Если провайдер смог построить и успешно обслуживать собственный SOC, то он однозначно понимает, как он работает и что действительно нужно заказчику.
Infosecurity a Softline Company имеет подтвержденный опыт внедрения решения и оказания сервиса в компаниях различных отраслей. Одним из заказчиков компании является группа компаний «Открытие», инфраструктуру которой специалисты Infosecurity обслуживали в течение 10 лет. Недавно пилотный проект по внедрению ISOC проведен в компании Plazius — разработчике системы мобильных платежей и платформы для цифрового маркетинга.
Компания заключила соглашение о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а также получила статус корпоративного центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Infosecurity имеет статус CERT университета Карнеги Меллон и является аккредитованным членом международного сообщества FIRST (Forum of Incident Response and Security Teams). Компания получила сертификаты ISO 27001, 20000, 9001 и лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг.
За помощь в создании материала автор благодарит Кирилла Солодовникова, генерального директора Infosecurity (входит в состав ГК Softline) и Андрея Колтакова, руководителя направлений SOC, MSSP ГК Softline.