Что нового на российском рынке коммерческих SOC (Security Operations Center)? Какие можно выделить уровни зрелости в потреблении услуг коммерческих центров реагирования на киберинциденты? Что выбрать заказчику: коммерческий SOC или MDR?
- Введение
- Изменения на рынке услуг коммерческих SOC
- Практика работы с коммерческим SOC
- Прогнозы развития рынка коммерческих SOC
- Итоги эфира
- Выводы
Введение
Ведущие эксперты по коммерческим SOC (Security Operations Center, центр мониторинга информационной безопасности) в студии AM Live поговорили о том, какой спектр услуг предоставляют российские компании в этой области, а также кого из них стоит выбрать в 2023 г. в качестве поставщика и почему.
Рисунок 1. Эксперты российского рынка коммерческих SOC в студии Anti-Malware.ru
Спикеры прямого эфира:
- Алексей Мальнев, руководитель направления развития сервисов безопасности, «Лаборатория Касперского»;
- Евгений Ляпушкин, руководитель портфеля проектов MTS SOC, MTS RED;
- Владимир Зуев, руководитель коммерческого SOC, «МегаФон»;
- Александр Матвеев, директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита»;
- Максим Акимов, руководитель центра противодействия киберугрозам, Innostage CyberART;
- Андрей Шаляпин, руководитель управления мониторинга киберугроз, BI.ZONE;
- Алексей Павлов, директор по развитию SOC, «РТК-Солар».
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «AM Медиа».
Изменения на рынке услуг коммерческих SOC
Уровни зрелости
Алексей Павлов:
— Работа служб информационной безопасности при появлении функции SOC на аутсорсинге возрастает. Количество нарушений политик информационной безопасности, которое фиксируется SOC, вредоносы, зловреды и заражения обнаруживаются у всех на виду, как только в компании появляются такие специалисты. Сейчас большая проблема заключается в готовности заказчиков доверять внешним компаниям или автоматике реагирования.
Алексей Павлов, директор по развитию SOC, «РТК-Солар»
Александр Матвеев:
— Заказчики бывают разного уровня зрелости. Есть заказчики, которые не готовы реагировать на те рекомендации, которые мы даём в контексте подозрения на тот или иной инцидент. Они относятся к низкому уровню зрелости. Заказчики, которые готовы реагировать в контексте наших рекомендаций, — это, условно, средний уровень. И те, которые готовы отдавать SOC функцию реагирования, — это заказчики довольно высокого уровня зрелости.
Эксперты также выделили несколько категорий заказчиков. Например, с заказчиками, которые пришли в аутсорсинг «из-под палки» (выполнение внутренних требований, команда материнской компании), работать сложнее всего, потому что они не понимают функции сервиса и не взаимодействуют с аналитиками. Ко второй категории относятся те, кто пришёл в аутсорсинг с пониманием, желая закрыть некую внутреннюю потребность в безопасности, но им не хватает экспертизы. Это самая большая категория заказчиков, с ними работать проще всего. Третья категория — самая сложная, но самая полезная. У них есть понимание: они знают, за чем пришли, и обладают глубокой экспертизой.
Андрей Шаляпин, руководитель управления мониторинга киберугроз, BI.ZONE
Алексей Мальнев:
— Автоматизированное реагирование актуально только для высокого уровня зрелости заказчиков, потому что перед переходом к реагированию все процессы в компании должны быть чётко отлажены. Заказчики могут начинать с того, что не является критически важным, и постепенно переходить на автоматизирование всё большего количества систем.
Насколько и почему выросла потребность в услугах коммерческих SOC за последний год?
Эксперты отметили, что спрос на услуги SOC значительно вырос. За этой услугой стали обращаться те, кто раньше ей вовсе не интересовался. По словам Андрея Шаляпина, спрос вырос на 25–30 %. Стимулами выступили рост атак и геополитическая обстановка. В свою очередь, увеличившееся количество и качество киберугроз дали заказчикам понять, что необходимы дополнительные инструменты защиты.
Согласно проведённому опросу зрителей AM Live, 30 % готовы доверить внешним компаниям мониторинг безопасности всего, вплоть до критически важных участков и автоматизированных систем управления (АСУ ТП). 24 % готовы отдать на аутсорсинг только то, что не является критически значимым. У 21 % «нет другого выхода», 19 % опрошенных не доверяют мониторинг безопасности внешним компаниям и не согласятся на это ни при каких условиях. 6 % уже имели такой опыт, но были разочарованы услугой.
Рисунок 2. Вы готовы доверить мониторинг своей безопасности внешней компании?
Коммерческий SOC vs MDR: что выбрать заказчику?
По мнению экспертов, SOC — это премиальная, хорошо индивидуализированная услуга, цели которой — помощь в обеспечении безопасности, детектирование киберугроз и реагирование на них. SOC может инвентаризировать инфраструктуру, помогать обеспечивать взаимодействие со службой технической поддержки и т. д. MDR (Managed Detection and Response, управляемое обнаружение и реагирование) такой комплексной услугой не является.
Алексей Мальнев:
— MDR — это продукт сфокусированный исключительно на киберинцидентах. Как правило, это более «продуктовая» история, реализованная на своих технологиях. С точки зрения защищаемых устройств, сбора телеметрии и прочего MDR гораздо более специализирован. Сервис-провайдеры SOC также могут оказывать элементы услуг MDR, но такое совмещение может сказаться на конечной стоимости для заказчика.
Алексей Мальнев, руководитель направления развития сервисов безопасности, «Лаборатория Касперского»
Понимают ли зрители разницу между коммерческим SOC и MDR? Большинство (49 %) отвечает утвердительно и считает, что MDR дополняет SOC. Чуть более трети (36 %) респондентов не смогли ответить на вопрос. Совершенно разными продуктами SOC и MDR назвали 9 % опрошенных. Ещё 6 % полагают, что MDR может заменить SOC.
Рисунок 3. Понимаете ли вы разницу между коммерческим SOC и MDR?
Максим Акимов:
— Эти решения друг друга не исключают, а скорее дополняют. Обнаружение и реагирование не отвечают на вопрос о противодействии, то есть предотвращении атаки. Комплекс действий по улучшению состояния защищённости клиента — это отдельная услуга, а не техническое решение.
Максим Акимов, руководитель центра противодействия киберугрозам, Innostage CyberART
Как изменилась стоимость услуг коммерческих SOC и на что важно обращать внимание при выборе?
Сейчас цены на рынке коммерческих SOC выросли незначительно. В первую очередь это произошло из-за экономических факторов в виде инфляции и роста зарплат специалистов. С точки зрения доступности цен сервис-провайдеры SOC являются «заложниками» вендоров, которые значительно повышают стоимость, что отражается и на конечной цене SOC. При выборе таких решений, по мнению экспертов, нужно обращать внимание на накопленную экспертизу, экосистему услуг, технологическую платформу, качество сервиса и репутацию компании.
Ситуация с тем, на что заказчики обращают внимание при выборе коммерческого SOC, не слишком поменялась с 2022 г. Например, в прошлом году для 42 % респондентов была важна команда специалистов; в 2023 г. доля таких ответов выросла до 48 %. Слегка изменилось положение дел с теми, кто обращал внимание на возможность интеграции с имеющимися средствами защиты и мониторинга. Их количество сократилось с 38 % в 2022 г. до 21 % в 2023 г.
Заказчики также обращают внимание на доступную цену (в 2022 г. таких было 8 %, в 2023 г. — 14 %). Обеспечение взаимодействия с ГосСОПКА по-прежнему является важным критерием для 4 % участников опроса. Технологическая платформа была важна для 8 % респондентов в 2022 г. и только для 2 % в 2023 г.
Рисунок 4. Что для вас наиболее важно при выборе коммерческих SOC?
Практика работы с коммерческим SOC
Когда и для кого может быть полезно отдать контроль СЗИ в коммерческий SOC?
Доверить коммерческому SOC управление СЗИ (средствами защиты информации) можно, если речь идёт о госзаказчиках, посчитали эксперты. В коммерческих же организациях чаще всего используется EDR (Endpoint Detection & Response), технология проактивного обнаружения нетиповых угроз и целевых атак на конечных точках. Помимо этого такие компании используют средства автоматизации. Некоторые же вещи, например восстановление после инцидента или ликвидацию последствий, автоматизировать невозможно, заказчик делает это самостоятельно.
Автоматического реагирования не будет (или оно приведёт к ещё большему ущербу), пока у заказчика нет описанных информационных и бизнес-процессов применительно к системам и инфраструктуре. Поэтому заказчик сам должен быть готов к автоматизации. У него уже должны быть выстроены процессы и договорённости с ИТ-службой и безопасниками. В таком сценарии либо реагирование выполняется сервис-провайдером, либо аналитик сервис-провайдера сначала уведомляет о событиях, а заказчик подтверждает выполнение каких-либо действий. Третий вариант — это выделенная команда внешних специалистов (аутсорсинг или аутстафинг).
Опрос зрителей AM Live показал, что большая часть готова передать автоматизированное реагирование через СЗИ в коммерческий SOC (41 %). 32 % согласны передать только некоторые СЗИ или отдельный сегмент. Не готовы к такому 11 % респондентов. Ещё 16 % затруднились ответить.
Рисунок 5. Готовы ли вы передать в коммерческий SOC автоматизированное реагирование через СЗИ?
Ведущий дискуссии предложил экспертам обратить внимание на те факторы, которые в большей степени не устраивают заказчиков в услугах коммерческих SOC.
Илья Шабанов, генеральный директор «AM Медиа»
Согласно опросу зрителей, большинству не нравится высокая стоимость услуг (так посчитали 39 %). Чуть более четверти (28 %) недовольны отсутствием реальной ответственности у внешнего SOC. 11 % не устраивает недостаток экспертизы у специалистов SOC. 4 % респондентов огорчает зависимость от внешнего поставщика, ещё столько же не нашли подходящего варианта ответа. Всем довольны 14 %.
Рисунок 6. Что вас больше всего не устраивает в услугах коммерческих SOC?
Эксперты отметили, что высокая стоимость коммерческого SOC всё же несопоставима с той ценой, которую компании пришлось бы заплатить за выстраивание мониторинга и реагирования внутри организации. Большая проблема здесь заключается также в обучении и удержании ИБ-специалистов.
Прогнозы развития рынка коммерческих SOC
Каковы главные тенденции развития рынка коммерческих SOC?
Алексей Мальнев:
— В течение года можно говорить только о ландшафте с точки зрения информационной безопасности в России. Сюда можно отнести то, что будет происходить с рынком и какие будут угрозы. В более долгосрочной перспективе — адаптация больших данных (Big Data), умение работать в облаках и с облачной инфраструктурой, работа с промышленными системами безопасности, «нулевое доверие» (Zero Trust) и работа с аномалиями.
Евгений Ляпушкин:
— В первом квартале 2022 года всё начиналось с низкого уровня подготовки атакующих, но с большим количеством атак. Сейчас мы всё выше и выше поднимаемся вверх по лестнице инцидентов: количество их стало меньше, но сами атаки — более сложные. Соответственно, всем надо готовиться к тому, что будут ещё более серьёзные инциденты или попытки их реализации.
Евгений Ляпушкин, руководитель портфеля проектов MTS SOC, MTS RED
Максим Акимов:
— Главное — тенденция ко всё большему уходу в практическую безопасность в организациях. Сервис-операторам SOC нужно двигаться в сторону АСУ ТП, развивать компетенции технологических сегментов.
Александр Матвеев:
— Из трендов видится автоматизация, это связано в первую очередь с дефицитом кадров, компетентных сотрудников. Также никуда не ушёл тренд по импортозамещению, так как у заказчиков будет появляться всё больше новых источников СЗИ отечественного производства.
Александр Матвеев, директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита»
Андрей Шаляпин:
— Тренд по автоматизации обязательно будет, но дополненный применением методов машинного обучения, потому что данных, с которыми работает SOC, становится всё больше. По поводу импортозамещения — SOC должны будут научиться использовать отечественное ПО в своих инфраструктурах и работать с отечественными решениями в рамках сервиса.
Владимир Зуев:
— Тренд, который заключается в том, что информационная безопасность, в частности SOC, должна гнаться за развитием ИТ и «перебирать» ИТ в качестве предмета для мониторинга, должен смениться. Безопасники должны брать из ИТ лучшие практики: ИИ и GPT, анализ данных (Data Science).
Владимир Зуев, руководитель коммерческого SOC, «МегаФон»
Алексей Павлов:
— Мы продолжим импортозамещаться. Все игроки, здесь присутствующие, укрупнятся за счёт новых сервисов. Точно будет расти роль платформ реагирования (IRP), но помимо покупки самой IRP заказчики начнут дозревать до сценариев (плейбуков). Будет расти и роль киберразведки, сейчас все отрасли в полной мере ощутили, что могут оказаться на странице какого-нибудь телеграм-канала со своей утечкой. Надеюсь на развитие сервисов в части защиты внешнего периметра, причём именно непрерывного мониторинга внешнего периметра.
Итоги эфира
Финальный опрос зрителей AM Live на тему «Каково ваше мнение относительно коммерческих SOC после эфира?» показал, что 30 % убедились в правильности выбора SOC. Заинтересовались и готовы выбирать 25 % респондентов. Для 20 % такие решения пока избыточны, 15 % зрителей посчитали, что участники не смогли доказать необходимость коммерческих SOC, а 10 % будут менять поставщика.
Рисунок 7. Каково ваше мнение относительно коммерческих SOC после эфира?
Выводы
Сейчас угрозы, которые раньше казались только гипотетическими, реализовались. Со временем автоматическое реагирование на киберинциденты будет восприниматься примерно как автоматическая система пожаротушения. Потенциальное воздействие киберинцидентов на техносферу будет провоцировать всё больше и больше потенциальных жертв, количество информации и устройств, которые окружают людей в техносфере, станет просто колоссальным, и не найдётся другого выхода, кроме как перейти к автоматическому реагированию. При этом и нехватка специалистов на рынке подтолкнёт заказчиков к автоматизации процессов, так что эксперты отметили важность подготовки кадров в области информационной безопасности. Всё это, безусловно, повлияет на количество заинтересованных в услугах коммерческих SOC.
Проект AM Live продолжает свою работу. Впереди нас ждут ещё множество дискуссий с ведущими экспертами рынка на самые злободневные для российской кибербезопасности темы. Чтобы не пропускать свежие эпизоды онлайн-конференции, обязательно подпишитесь на YouTube-канал проекта. До встречи в эфире!
