Результаты опроса аудитории онлайн-конференции AM Live о критериях, которые являются определяющими при выборе услуг коммерческого центра мониторинга и реагирования на инциденты в области информационной безопасности (Security Operations Center, SOC).
- Что для вас наиболее важно при выборе коммерческого SOC?
- Должен ли коммерческий SOC нести ответственность за пропуск инцидента?
- Рассматриваете ли вы вендорские сервисы MDR как реальную альтернативу коммерческим SOC?
7 июля мы провели онлайн-конференцию в формате AM Live, на которой известные эксперты отрасли в прямом эфире обсуждали вопросы выбора коммерческого SOC. За те два часа, что продолжался прямой эфир, мы предложили зрителям поучаствовать в трёх опросах, о результатах которых хотели бы рассказать отдельно.
Что для вас наиболее важно при выборе коммерческого SOC?
В первом ключевом вопросе мы поинтересовались у гостей конференции, что для них наиболее важно при выборе коммерческого SOC. Большинство — 45 % опрошенных — уверенно выбрало вариант ответа «Команда специалистов», подчёркивая тем самым, что эффективность центра мониторинга и реагирования определяется уровнем мастерства его сотрудников. Если знаний, умений и навыков не хватает, то ни мешки денег, ни передовые технические средства обработки информации, ни искусственный интеллект уже не помогут.
Другие 22,6 % высказались за значимость возможностей интеграции коммерческого SOC с имеющимися средствами защиты и мониторинга на стороне заказчика, что вполне ожидаемо. Ещё почти 13 % высказались за первостепенную важность технологической платформы, на которой функционирует коммерческий SOC.
Взаимодействие с ГосСОПКА (НКЦКИ) играло главную роль для без малого 10 % респондентов, что оказалось несколько неожиданным.
Отметим, что в пользу важности цены на услуги коммерческого SOC высказалось всего лишь 6,5 % опрошенных. Становится очевидным, что для потенциального заказчика стоимость услуг на данном этапе зрелости рынка не играет ключевой роли и выбор партнёра по безопасности определяется в первую очередь не этим критерием.
Рисунок 1. Наиболее важный критерий при выборе коммерческого SOC
 Алексей Юдин, директор центра мониторинга ISOC:
На российском рынке прослеживается следующая тенденция: коммерческий SOC несет ответственность за недетектированный инцидент в соответствии с установленными в соглашении между заказчиком и исполнителем уровнем SLA и заранее определенными объектами мониторинга. Соответственно, в случаях, когда инцидент произошел в зоне ответственности заказчика или в момент, который не покрывается заявленным уровнем SLA, считается, что ответственность за инцидент несет сам заказчик. В любом случае, вне зависимости от того, кто виноват, нужно оперативно реагировать на любую аномалию, устранять ее, и затем производить полноценное расследование, а также сделать все возможное, чтобы подобные инциденты не повторились в будущем. Дополнительно подчеркну, что команда ISOC занимает в этом плане проактивную позицию: в случае обнаружения какого-либо инцидента или предпосылок к нему, вне нашей зоны ответственности, специалисты Infosecurity a Softline Company стремятся заблаговременно проинформировать об этом представителя заказчика. Softline имеет подтвержденный опыт работы в области расследования и реагирования на инциденты. Мы гарантируем своим заказчикам высокий уровень качества обслуживания SOC в режиме 24/7. Облачный сервис ISOC позволяет нашим клиентам создать Центр мониторинга и реагирования на инциденты фактически с нуля, получая все услуги, включая пользование SIEM и IRP, напрямую у провайдера. Работу ISOC можно увидеть своими глазами, посетив офис Infosecurity a Softline Company или офис одного из наших заказчиков. Для этого заполните заявку на референс-визит на нашем сайте. Вы сможете посмотреть изнутри на процессы реагирования и получить консультацию по построению SOC от экспертов. Если вы заполните заявку на референс-визит до 28 февраля 2021, то получите специальный подарок. |
Должен ли коммерческий SOC нести ответственность за пропуск инцидента?
Далее мы поинтересовались мнением аудитории об ответственности в рамках SLA, которую должен или не должен нести коммерческий SOC в случае пропуска инцидента в области информационной безопасности. Этот вопрос постоянно вызывает жаркие дискуссии на рынке, и было интересно получить цифры по общественному мнению.
В итоге почти 82 % опрошенных разделяют взвешенную позицию и ожидают, что коммерческий SOC будет нести ответственность за инциденты только в том случае, если те произошли в рамках его зоны мониторинга. Иными словами, обвинять специалистов внешнего SOC можно лишь тогда, когда они в принципе могли увидеть инцидент и имели необходимые для этого источники данных.
Интересно, что радикальную точку зрения — SOC виноват всегда и при любых инцидентах — разделили только 13,6 % респондентов.
Рисунок 2. Должен ли коммерческий SOC нести ответственность за пропуск инцидента
Рассматриваете ли вы вендорские сервисы MDR как реальную альтернативу коммерческим SOC?
Третий вопрос касался темы управляемого обнаружения угроз и реагирования на них — Managed Detection and Response, MDR. Она часто поднимается в разговорах на тему SOC, и решения этого класса обсуждают как альтернативу оперативным центрам мониторинга. Мы писали о соотношении двух типов услуг и об основных различиях между ними в нашем сравнении сервисов MDR. Конечно, нам было интересно узнать, что думают на этот счёт зрители, и мы спросили их, рассматривают ли они вендорские сервисы MDR как реальную возможную замену коммерческим SOC.
Результат вышел показательным: подавляющее большинство — 76,5 % — ответило «Нет», подчёркивая, что это — совершенно разные типы услуг. Лишь 23,5 % голосов было отдано за утвердительный вариант с оговорками («Да, но при определённых условиях»). В пользу же однозначного ответа «Да» не проголосовал вообще никто.
Несмотря на то, что по сути своей деятельности вендорские MDR близки к работе коммерческих SOC, они всё же имеют целый ряд ограничений, который понятен потенциальным заказчикам. Сюда можно отнести моновендорность, облачную архитектуру, специализацию на обнаружении одного или нескольких типов инцидентов (как правило, сложных целевых атак).
Рисунок 3. Являются ли вендорские сервисы MDR реальной альтернативой коммерческим SOC
Таковы были некоторые вопросы из многообразия тем, которые обсуждали эксперты во время прямого эфира. Полная запись трансляции доступна на нашем YouTube-канале. Подписывайтесь и ставьте «лайки», если результаты подобных мини-исследований рынка ИБ вам интересны.
