Сравнение сервисов Managed Detection and Response (MDR)

Сравнение сервисов Managed Detection and Response (MDR)

На основании набора из 190 критериев сопоставлены сервисы по обнаружению угроз информационной безопасности, реагированию на них и расследованию киберинцидентов (Managed Detection and Response - MDR), предлагаемые российскими производителями средств защиты. В сравнении участвуют Group-IB Managed Detection and Response Services, Kaspersky Managed Detection and Response и Positive Technologies Expert Security Center. Приведённые данные помогут заказчикам сориентироваться в различиях вендорских услуг MDR и коммерческих  SOC, выбрав наиболее подходящий вариант.

 

 

 

  1. Введение
  2. Методология сравнения сервисов Managed Detection and Response
  3. Сравнение сервисов Managed Detection and Response
    1. 3.1. Общие сведения
    2. 3.2. Тестовый период
    3. 3.3. Личный кабинет (клиентский портал)
    4. 3.4. Основные сервисы вендорского MDR
    5. 3.5. Дополнительные вендорские сервисы
    6. 3.6. Детектирующие технологии (Detect)
    7. 3.7. Технологии реагирования (Response)
    8. 3.8. Технологии расследования (Investigation)
    9. 3.9. Интеграция со сторонними решениями
    10. 3.10. Особенности подключения сервиса вендорского MDR
    11. 3.11. Программы обучения специалистов заказчика
    12. 3.12. Персонал вендорского MDR
    13. 3.13. Гарантии качества (SLA)
    14. 3.14. Система оповещения и отчётность (для детектирования, анализа и реагирования)
    15. 3.15. Режим работы и техническая поддержка
    16. 3.16. Ценовая политика
  4. Выводы

 

Введение

В третьей части сравнения сервисов, так или иначе связанных с реагированием на угрозы безопасности и расследованием киберинцидентов в России, мы частично отошли в сторону от SOC. Изучению подверглись крупные вендоры, логичным развитием бизнеса для которых стало предоставление сервиса Managed Detection and Response (обнаружение киберугроз и реагирование на них; далее мы будем использовать аббревиатуру MDR). Отличительной чертой здесь является нативная интеграция с линейкой своих продуктов при необязательности требования подключать сторонние. Такие вендорские сервисы являются реальной альтернативой услугам коммерческих SOC и часто воспринимаются на рынке как конкурентные предложения.

При подготовке материала мы изначально рассчитывали включить в сравнение не только отечественных сервис-провайдеров, но и зарубежных (Cisco, Symantec, Trend Micro). Однако в процессе плотного общения с вендорами оказалось, что иностранцы если и готовы оказывать услуги коммерческого SOC (и тем более — MDR) в России, то крайне ограниченному кругу заказчиков. Это связано с рядом сложностей. Во-первых, для оказания услуг по мониторингу инцидентов нужна лицензия ФСТЭК России на ТЗКИ (деятельность по технической защите информации), оформленная на российское юридическое лицо. Во-вторых, центр мониторинга и реагирования должен располагаться на территории Российской Федерации, а также быть аттестованным и иметь в своём составе сертифицированные средства защиты информации. В итоге предоставление услуг SOC или MDR зарубежными компаниями в России выглядит малореалистичным, особенно если учитывать ещё и сложившуюся геополитическую обстановку.

Большинство вендорских сервисов MDR развивалось на базе собственных технологий и решений, благодаря чему достигается естественная синергия. Централизованная система управления (а иногда — и отдельные продукты) выносится в облако поставщика, а клиенту предоставляется интерфейс для мониторинга ситуации или управления. Как правило, производители в данном случае готовы брать на себя рутину администрирования конкретных средств защиты, предлагая клиенту ориентироваться на контрольные панели (дашборды) или вовсе предоставляя периодические отчёты. Такой подход имеет свои преимущества. Во-первых, вендор наиболее компетентен в применении собственных решений, поэтому готов отвечать за сервисы на их базе. Во-вторых, это позволяет не распылять усилия и не гнаться за интеграцией всего «зоопарка» продуктов ИБ, чтобы удовлетворить потребности клиентов в подключении «очередной сотни» источников событий. В-третьих, наличие у разработчика услуг по обеспечению кибербезопасности на базе собственных решений говорит о его зрелости на рынке. В его портфеле обязательно присутствует хотя бы один сложный комплексный продукт (как правило, решение класса anti-APT). Кроме того, он может себе позволить растить и поддерживать сервисные компетенции, что формирует определённый уровень доверия и к продуктам, и к услугам. Таким образом, основное отличие от SOC здесь состоит в концентрации на глубине и инструментах исследования угрозы, а не на широте работы с большим количеством инцидентов.

Чтобы сфокусировать внимание читателей на сервисах и их содержании, мы предлагаем в данном случае не относить компании-производители исключительно к одной категории: SOC, MSSP, CERT, CSIRT и прочим. С учётом этой оговорки будем использовать выражение «услуги MDR от производителей средств защиты» (или сокращение «вендорский MDR») как наиболее подходящее по смыслу.

Ключевые отличия сервисов Managed Detection and Response:

  • как правило, обязательное применение собственных продуктов;
  • активное использование проактивного обнаружения угроз (Threat Hunting);
  • собственная киберразведка (Threat Intelligence, пополняемая база знаний об угрозах);
  • активное реагирование на инциденты безопасности (как правило, с помощью собственных решений);
  • использование специфических типов событий для детектирования атак;
  • требование анализа телеметрии с сети и конечной точки;
  • глубокие и редкие знания специалистов (часто — разработчиков) в весьма нишевых областях.

 

Методология сравнения сервисов Managed Detection and Response

При разработке методологии сравнения мы исходили из реальной практики оказания услуг вендорского MDR отечественными поставщиками. Относительно предыдущих сравнений услуг коммерческих SOC (часть 1 и часть 2) набор критериев был существенно переработан. Это позволило учесть специфику и сфокусироваться на отличительных особенностях вендорских сервисов. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые сервисы могут серьёзно различаться даже на этом уровне. Следуя данному принципу, мы сформировали набор из 190 критериев, сравнение по которому упростит выбор поставщиков. К некоторым из критериев были добавлены пояснения.

Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Тестовый период
  3. Личный кабинет (клиентский портал)
  4. Основные сервисы
  5. Дополнительные сервисы
  6. Детектирующие технологии
  7. Технологии реагирования
  8. Технологии расследования
  9. Интеграция со сторонними решениями
  10. Особенности подключения
  11. Программы обучения специалистов заказчика
  12. Персонал
  13. Гарантии качества (SLA)
  14. Система оповещения и отчётности
  15. Режим работы и техническая поддержка
  16. Ценовая политика

Для участия в сравнении мы отобрали три наиболее известных в России сервиса MDR, предоставляемых российскими разработчиками средств защиты:

  • Group-IB Managed Detection and Response Services;
  • Kaspersky Managed Detection and Response;
  • Positive Technologies Expert Security Center.

Опасения относительно зарубежных вендоров были отражены во введении. Некоторые из иностранных провайдеров, увы, сразу же отказались от участия в сравнении, другие — высказали свои сомнения по поводу его целесообразности.

Все перечисленные выше поставщики активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведённом сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

 

Сравнение сервисов Managed Detection and Response

Общие сведения

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Компания-вендор ООО «ГРУППА АЙБИ СЕРВИС» АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» АО «ПОЗИТИВ ТЕКНОЛОДЖИЗ»
Целевой сегмент Средний, крупный бизнес, государственный сектор Средние и крупные организации (более 500 рабочих мест) Крупный бизнес, государственный сектор
Штаб-квартира Сингапур, Сингапур Россия, Москва Россия, Москва
Офисы присутствия команд специалистов Москва, Сингапур, Лондон, Бахрейн Москва Москва, Санкт-Петербург, Самара, Томск, Нижний Новгород
Физическое расположение ЦОДов Санкт-Петербург, Сингапур, Бахрейн Москва, Дублин, Берн Москва
Охват часовых поясов GMT+2 — GMT+12 24x7 GMT+2 — GMT+12
Количество клиентов (по данным поставщика) Более 200 Более 300 Более 30
География активных клиентов Более 60 стран мира, включая Россию, СНГ, Европу, Ближний Восток, Азию, Африку, Латинскую Америку Россия, Италия, Франция, Германия, Чехия, Индия, ОАЭ, США Россия
Крупнейшие публичные клиенты Не раскрывается РТИ
 Donau Chemie 
 CyberGuard (OGL)
FIFA
Олимпиада в Сочи
Веб-сайт group-ib.com kaspersky.com ptsecurity.com
Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в») Да Нет Да
Сертификаты на услугу SOC включён в область оценки по ГОСТ/ISO 9001 «Система менеджмента качества» (в процессе получения, ожидаемая дата — 2020 год) Нет Нет
Наличие сертификатов на внутренние процессы и безопасность самого провайдера SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» (в процессе получения, ожидаемая дата — 2020 год) Service and Organization Controls 2 (SOC 2); SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» Нет
Сроки подключения услуги 1 день 1 день 1 день
Языки интерфейса клиентского портала Русский, английский Русский, английский Русский, английский
Возможность клиентского визита к поставщику Да Нет Да
Срок существования услуги на рынке 5 лет 4 года 5 лет
Оказание услуги в сегментах АСУ ТП Да Да Да
Наличие соглашений об информационном обмене с другими провайдерами: MDR, SOC, CERT, CSIRT Более 10 прямых соглашений (например, с Интерполом, Европолом, FIRST, Trusted Introducer, OIC-CERT) и около 40 CERT, с которыми идёт обмен данными об угрозах ФинЦЕРТ ЦБ РФ; весь список участников GReAT; весь список участников AMR 5 соглашений, в том числе — с НКЦКИ, ФинЦЕРТ
Результаты независимого тестирования сервисов Нет Тест MITRE Нет
Сертификаты ФСТЭК, ФСБ на собственные продукты, задействованные в процессе оказания услуги Group-IB TDS — ФСТЭК, ИТ.СОВ.С4.ПЗ; OAЦ при Президенте Республики Беларусь, №BY/112 02 01 Kaspersky Anti Targeted Attack — ФСТЭК, РД НДВ4, ЗБ; Kaspersky Endpoint Security — ФСТЭК, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗ MaxPatrol 8 — ФСТЭК, НДВ4; MaxPatrol SIEM — ФСТЭК, НДВ4; PT Application Firewall — ФСТЭК, профиль защиты МЭ типа «Г» 4 класса; PT Network Attack Discovery — ФСТЭК, требования к СОВ уровня сети 4 класса защиты, ИТ.СОВ.С4.П3; PT Industrial Security Incident Manager — ФСТЭК, НДВ4

 

 Тестовый период

 

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Тестовый период От 2 недель От 1 до 3 месяцев Нет
Ограничения по функциональности и набору поставляемых решений Без ограничений Ограничений по функциональности на тестовый период нет Нет тестового периода
Количество дней (средний пилот) До 6 недель От 1 до 3 месяцев Нет тестового периода
Возможность получить примеры отчётов до покупки Да Да Нет тестового периода

 

Личный кабинет (клиентский портал)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Личный кабинет для самостоятельного мониторинга обстановки Да, бесплатно Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Предоставление доступа к личному кабинету Да, бесплатно Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Возможность самостоятельного управления базовыми параметрами услуги в личном кабинете Да Нет, будет доступен 1 июля 2020 г. Нет
Самостоятельное заведение новых источников, официально поддерживаемых поставщиком Да Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Самостоятельное создание контрольных панелей (дашбордов) Да Нет, будет доступен 1 июля 2020 г. Нет
Самостоятельная регистрация инцидентов Да Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Конструктор и выгрузка отчётов Да Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Возможность тонкой настройки Да, предоставляется возможность настройки дополнительных сигнатур, аналитических дашбордов с персонализированными срезами под конкретного клиента, а также поисковых запросов Нет, будет доступен 1 июля 2020 г. Нет
Ролевая модель доступа Да Нет, будет доступен 1 июля 2020 г. Нет
Возможность доменной авторизации (домен клиента) Да Нет, будет доступен 1 июля 2020 г. Нет
Самостоятельный поиск по инцидентам Да Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов
Наличие REST API Да Нет, будет доступен 1 июля 2020 г. Нет, только в рамках UI развёрнутых продуктов

 

Основные сервисы вендорского MDR

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Бизнес-отчёты о ситуации в киберпространстве для руководства Да Да, продаётся отдельно Да
Аналитические отчёты о целевых (APT) атаках Да Да, продаётся отдельно Да
Мониторинг ботнет-угроз Да Да Да
Мониторинг фишинговых угроз Да Да Да
Мониторинг публичных утечек данных Да Да Да
Мониторинг открытых источников, социальных сетей, участие в сообществе Да Да Да
Мониторинг теневых площадок и форумов Да Да Да
Мониторинг интернета на уровне провайдеров (ISP) Да Да Нет
Сбор данных с собственной распределённой по интернету системы ловушек (honeypots) Да Да Да
Ретроспективный (индивидуализированный) анализ событий ИБ Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента Да, в зависимости от тарифа: MDR Optimum — анализ событий за заданный промежуток времени проводится с использованием артефактов и образцов вендора; MDR Expert — клиент может предоставить свои образцы Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента для выявления возможных пропущенных инцидентов
Периодические индивидуализированные отчёты для целевого детектирования потенциальных атак Да, по согласованию с заказчиком Только по запросу Да, по запросу
Предоставление потоков данных об угрозах (feeds) Да Да Да
Предоставление репутационных данных (reputation feeds) Да Да Да
Платформа для самостоятельного исследования индикаторов угроз Да Да, продаётся отдельно Да
Специализированный непрерывный сервис обнаружения целевых атак Да Да Да
Глубокий анализ атаки снаружи: атрибуция, предметная область, классификация Да: источник (география, мотивация, атрибуция до преступной группы, целевой объект); цель (география, отрасль, целевая ИС); угроза (инструменты, способы распространения, риски, категория); описание атаки; индикаторы; рекомендации Да, предоставляется анализ используемых тактик и методов, включая анализ вредоносных программ, эксплойтов, CnC, целей злоумышленников и их атрибуции Да: атрибуция, классификация, предметная область
Глубокий анализ атаки внутри: возникновение и распространение в инфраструктуре, хронология Да, предоставляется полное описание атаки (насколько это возможно, в зависимости от количества собранных данных) с временными метками событий, полученными по результатам анализа. Тактики и техники атакующих расписываются в соответствии с матрицей MITRE ATT&CK Да, предоставляется отдельной услугой или в пакете с MDR Да: хронология инцидента, перечень затронутых активов, экспертная оценка значимости, артефакты. Оценка цели злоумышленника. Долгосрочный и краткосрочный план реагирования
Выявление затронутых активов и оценка ущерба Да Да Да
Экспертная поддержка при реагировании на атаку: удалённо Да: 24х7, время реакции от 3 часов Да, с понедельника по пятницу с 10:00 до 18:30 (GMT+1) Да, в двух форматах в зависимости от тарифа: 24х7 или 8х5
Экспертная поддержка при реагировании на атаку: выезд Да: по согласованию с клиентом, время реакции от 3 часов Да, 24х7 Да, на следующий рабочий день
Рекомендации по оперативному восстановлению после атаки Да, отчёт с рекомендациями Да: автоматизированный сценарий (playbook); инструкции в виде набора необходимых действий; сервис Incident Response Retainer Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента
Ретроспективный анализ атаки, разработка плана корректировки механизмов защиты Да, отчёт с рекомендациями Да, ретроспективный анализ (зависит от глубины хранения телеметрии, по умолчанию — 3 месяца). Разработка плана корректировки механизмов защиты — отдельный консалтинговый проект Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента

 

Дополнительные вендорские сервисы

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Управление уязвимостями Нет Нет Да
Внутренние технические аудиты ИБ Да Отдельный сервис Да
Compliance-проверки (по контрольным спискам) Да Нет Да
Тесты на проникновение (pentest, Red Teaming) Да, полный набор Да, полный набор Да, полный набор
Управление уровнем защищённости Нет Да Да
Выявление и полное расследование мошенничества и атак (форензика) Да Да Да
Криминалистический анализ, фиксация, документальное оформление Да Да Да
Юридическое сопровождение расследования Да Нет Нет
Защита бренда Да Другая услуга Нет
Киберразведка, OSINT (с отчётами) Да Да, продаётся отдельно Да
Threat Hunting Да: Endpoint, Network Да: Endpoint, Network Да: Endpoint, Network
Разработка и адаптация индивидуальных сценариев (playbook) по реагированию Да Да, на тарифном плане MDR Expert Да
Анализ защищённости мобильных приложений Да Отдельная услуга Да
Анализ безопасности кода приложений Да Да Да
Аудит безопасности аппаратных решений Да Отдельная услуга Да
Анализ защищённости банкоматов и POS-терминалов Да Отдельная услуга Да
Анализ защищённости промышленных технологий (АСУ ТП) Да Отдельная услуга Да
Анализ защищённости телеком-систем Да Да Да
Защита блокчейн-проектов и ICO Да Да Да

 

Детектирующие технологии (Detect)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Мониторинг сети (сенсоры) TDS Sensor, Network Research & Protection Kaspersky Anti Targeted Attack PT Network Attack Discovery, PT Industrial Security Incident Manager
Мониторинг рабочих мест (EPP / EDR) TDS Huntpoint, Behaviour Inspection & Host Forensics Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response Нет, отдельные элементы на базе MaxPatrol SIEM и Sysmon
Мониторинг почтового трафика TDS Sensor, Network Research & Protection KATA (в сети), KES (на конечной точке) MultiScanner
Мониторинг веб-трафика TDS Sensor, Network Research & Protection KATA (в сети), KES (на конечной точке) PT Application Firewall
Выявление артефактов потенциального инцидента IP-адреса и домены командных центров атакующих; контрольные суммы вредоносных файлов в форматах MD5, SHA1, SHA256; маркеры поведенческого анализа вредоносных объектов; рекомендации по реагированию на выявленные угрозы Полный отчёт об атаке или об исследовании Все возможные артефакты
Сигнатурный анализ: файлы TDS Polygon, Malware Detonation & Research Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response MultiScanner
Сигнатурный анализ: сетевой трафик TDS Sensor, Network Research & Protection Kaspersky Anti Targeted Attack PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Поиск по шаблонам вредоносных программ TDS Polygon, Malware Detonation & Research Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response, Kaspersky Anti Targeted Attack MultiScanner
Песочница (Sandbox) TDS Polygon, Malware Detonation & Research Kaspersky Research Sandbox, Kaspersky Anti Targeted Attack PT Sandbox
Потоки данных (feeds) Threat Intelligence Group-IB Threat Intelligence Kaspersky Threat Data Feeds PT Knowledge Base
Поиск аномалий в легитимном поведении TDS Huntbox Adaptive Anomaly Control, встроенный в Kaspersky Endpoint Security, и на базе собственной разработки PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Threat Intelligence Platform (TIP) Собственная разработка Kaspersky CyberTrace PT Cybersecurity Intelligence
Threat Hunting Platform (THP) TDS Huntbox Собственная разработка PT Network Attack Discovery
NTA / NFR (Network Traffic Analysis / Network Forensics) TDS Sensor Kaspersky Anti Targeted Attack PT Network Attack Discovery
UEBA (User and Entity Behavior Analysis) Нет Нет Нет
Корреляция событий, полученных из средств детектирования TDS Huntbox Собственная разработка MaxPatrol SIEM
Технологии, доступные локально TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint KES и KATA PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, PT Sandbox, MultiScanner

 

Технологии реагирования (Response)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Активная защита рабочих мест (EPP / EDR) TDS Huntpoint Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response Нет
Блокировка угроз в почтовом трафике TDS Sensor + TDS Polygon Есть, KES и KATA MultiScanner
Блокировка угроз в веб-трафике Нет Есть, KES и KATA PT Application Firewall
Сетевые блокировки (FW / NGFW) Нет Нет PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Блокировка вторжений (IPS) Нет Нет PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Генерация правил реагирования в стандартизированных форматах YARA-правила или пользовательские сигнатуры Нет Нет
Возможность самостоятельного написания правил реагирования Нет Kaspersky EDR Optimum и Expert Нет
SIEM-система Нет Собственная разработка MaxPatrol SIEM
Реакция на атаку: немедленное уведомление по всем согласованным каналам Да Да Да
Реакция на атаку (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласования Да, по предварительному согласованию охвата (scope) Да, только на заранее согласованные с заказчиком типы инцидентов Да, по предварительному согласованию охвата (scope)
Реакция на атаку: немедленное принятие мер на стороне клиента (если применимо) Да Да Да
Разработка сквозных сценариев реагирования между поставщиком и клиентом Да Да Да
Удалённое реагирование (воздействие на инфраструктуру заказчика) силами поставщика Да Да Да
Технологии, доступные локально TDS Polygon, TDS Sensor, TDS Huntpoint KES и KATA PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, MultiScanner

 

Технологии расследования (Investigation)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Инструменты расследования в режиме реального времени, доступные клиенту Графовый анализ процессов заражения рабочей станции (TDS Huntpoint), графовый анализ инфраструктуры атакующего (TDS Huntbox), события ИБ с полным контекстом атаки Kaspersky EDR Optimum и Expert, портал Kaspersky MDR MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner
Визуализация распространения атаки: графы, карты Да Да Да
Инструменты для ретроспективного расследования по всей собранной ранее базе артефактов Да Да Да
Прослеживаемый путь движения инцидента в системе (workflow) Да Да Да
Возможность менять значимость со стороны клиента Да Нет Да
Возможность помечать ложные срабатывания (false positive) Да Да Да
Сохранение мгновенного состояния расследования в «сыром» виде (snapshot) Да Да Да
Доступ к базе знаний (для использования клиентами) Да Да Да
Формальное документирование процесса анализа (casebook) Да Нет Да
Накопление и анализ статистики по атакам, изменение на её основе параметров услуги Да Да Да
Категорирование атак согласно матрице MITRE ATT&CK Да Да Да
Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагирования Да Да Да
Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагирования Да Нет Да
Технологии, доступные локально TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint В рамках сервиса Incident Response Retainer MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner

 

Интеграция со сторонними решениями

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Интеграция с Threat Intelligence, возможность импорта и экспорта IoC Да: STIX, TAXII, API Да, в рамках сервиса команда может использовать любые данные MRTI Да
FW / NGFW (Firewall / Next Generation Firewall) Да, выгрузка IOC на сторонние FW и NGFW с применением RestAPI Нет Нет
IDS / IPS (Intrusion Detection System / Intrusion Prevention System) Нет Нет Нет
Endpoint (антивирус, HIDS, EDR) Нет Нет Нет
DLP (Data Leak Prevention) Нет Нет Нет
WAF (Web Application Firewall) Нет Нет Нет
SIEM / LM (Security Information and Event Management / Log Management) Да Нет Да, события в SIEM
IRP / SOAR (Incident Response Platform / Security Orchestration and Reaction) Да Нет Нет
DBF / DAM (Database Firewall / Activity Monitor) Нет Нет Нет
TIP (Threat Intelligence Platform) Да Нет Нет
VM / VA (Vulnerability Management / Assessment) Нет Нет Нет
Песочница (SandBox) Нет Нет Нет
NTA (Network Traffic Analysis) Да: извлечение и пересылка файлов в Polygon, отправление расшифрованного трафика с TDS Decryptor в NTA Нет Нет
Интеграция с защитными решениями для облаков Да, интеграция с облачными файловыми и почтовыми серверами Нет Нет
Интеграция с защитными решениями для мобильных устройств Нет
Запланировано на 2020 г.
Нет Нет
Интеграция с популярными системами запросов (Service Desk) Да Нет Да
Предоставление API для интеграции со сторонними системами Да Нет Да

 

Особенности подключения сервиса вендорского MDR

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Способы подключения площадок клиента На площадке клиента, облачный, гибридный На площадке клиента На площадке клиента
Возможность разворачивания необходимых решений в виртуальной среде Да, все популярные среды Нет Да: виртуализация VMware, Kernel-based Virtual Machine
Подключение нестандартных (сторонних) источников Нет Нет Да, от 1 недели
Разработка правил корреляции и правил реагирования для клиента Создание правила корреляции — от 1 суток; создание правила реагирования — по запросу Создание правила корреляции — не более 1 дня; создание правил реагирования и фильтров — в постоянном режиме для клиента Создание правила корреляции или правила реагирования — от 1 дня
Возможность выбора сценариев мониторинга Нет 24х7 или 8х5 Да
Предоставление клиенту оборудования для разворачивания необходимых решений Да, платно Нет Да, входит в стоимость услуги
Возможность локального хранения и обработки клиентских данных Да Да, в рамках Kaspersky EDR Optimum и Expert Да
Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО Не предъявляются Требуется установка Kaspersky Endpoint Security for Business Не предъявляются
Минимальная ширина канала 10 Мбит/с С одного хоста — не больше 5 МБ телеметрии в день Требования отсутствуют
Необходимость приобретения решений TDS Sensor Kaspersky Endpoint Security for Business и / или Kaspersky Endpoint Detection and Response и / или Kaspersky Anti Targeted Attack Нет
Обеспечение конфиденциальности клиентских данных, передаваемых поставщику Да, шифрование SSL/TLS  Да: физическая безопасность, логический контроль доступа, шифрование каналов при передаче, взаимная аутентификация, регулярный анализ защищённости Да: шифрование, ограничение доступа, локальное хранение данных у клиента

 

Программы обучения специалистов заказчика

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Цифровая криминалистика Да Да Да
Анализ вредоносных программ и обратная разработка (reverse engineering) Да Да Да
Реагирование на инциденты Да Да Да
Написание комплексных правил Да Да Да
Анализ инцидентов Да Да Да
Проактивный поиск угроз (Threat Hunting) Да Да Да
Аналитика SOC Да Нет Да
Администрирование собственных продуктов Да Да Да
Иные Полный список курсов
group-ib.ru
Полный список курсов
support.kaspersky.ru
Киберучения The Standoff

 

Персонал вендорского MDR

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Подтверждённый опыт команды аналитиков Сертификаты SSCP, CISSP, CISA, OSCP, CEH, CWSP, GCFA, GIAC Reverse Engineering Malware, GIAC Cyber Threat Intelligence — GCTI и др. Сертификаты Offensive Security, EC-Council, SANS, ISACA, ISC2 у аналитиков и руководства SOC, у группы реагирования на инциденты Сертификаты SANS, ISACA, ISC2, Offensive Security и др.
Численность персонала, суммарно и по каждой линии (L1, L2, L3) Суммарно: 100 чел.
L1 — 26
L2 — 24
L3 — 28
L4 — 22
27 чел.
Динамически масштабируемая команда SOC. На текущем уровне развития в среднем — 20 000 EPP на одного аналитика, в перспективе — до 100 000 EPP на одного аналитика (достигается автоматизацией работы и применением машинного обучения)
Суммарно: 39 чел.
L1 — 7
L2 — 10
L3 — 22
Экспертиза и задачи L1 (1-й линии) Базовая обработка и анализ инцидентов, фильтрация ложных срабатываний, обработка входящих запросов, подготовка отчёта по инциденту, эскалация на L2 Автоматика (обогащение, разметка, автоаналитика — машинное обучение) Экспертная валидация и классификация запроса, решение 95% типовых инцидентов
Процедура предварительного обследования и анализа рисков клиентов Да, в соответствии с собственной методикой Да: при подключении клиента тратится 2-4 недели на период адаптации. В это время отлаживаются клиентские фильтры, вместе с клиентом на основе выявленных инцидентов определяется, что легитимно, а что — нет Да
Выделение технического куратора услуги для заказчика (аналитика) Да Да, два ответственных аналитика Да
Выделение организационного куратора услуги для заказчика (сервис-менеджера) Да Да Да
Кадровая динамика за последние три года Ежегодный рост численности специалистов на 50 % Март 2016 г. — 2 человека, март 2020 г. — 27 человек. Есть политика динамического увеличения операционной части SOC в зависимости от объёма клиентской базы С 2017 года — пятикратный рост
Кадровая политика Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества (Курс кибербойца СЕRТ-GIB) для новых специалистов и стажёров Со стороны SOC есть стандартный процесс включения в работу (on-boarding), требования к квалификации. Соответствующего по квалификации кандидата можно подготовить в среднем за 2-4 месяца Работа с ключевыми вузами, обучение, стажировки

 

Гарантии качества (SLA)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Максимальное гарантируемое число обработки событий в секунду (EPS) от одного клиента, исходя из реальной практики Неприменимо, в технологическом стеке отсутствует SIEM EPS — динамическая характеристика, изменяющаяся в зависимости от объёма клиентской базы. На данный момент в мониторинге — 200 000 EPP, до конца года — до 500 000, соответственно возрастёт и EPS Не замерялось
Уровень гарантируемого времени обнаружения и реакции на атаку (detection-to-mitigation) 99% Не замерялось Не замерялось
Выявление атак, периодичность 24х7 24х7 По договорённости
Время выдачи рекомендаций (отчёта) по следам атаки От 1 часа От 2 часов до 1 дня От 4 часов (немедленные рекомендации) до 24 часов (полный разбор)
Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им) Не раскрывается Не замерялось 0%

 

Система оповещения и отчётность (для детектирования, анализа и реагирования)

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Отправка отчётов на почту Да, периодичность обсуждается с заказчиком Да: карточка инцидента, еженедельная отчётность Да, по согласованию с клиентом
Телефонный звонок при инцидентах Да, по согласованию с клиентом Да, по договорённости с заказчиком Да, по договорённости
Оповещение по SMS и в мессенджерах Да Да Да
Возможность получения «отчётов для руководства», написанных вручную Да, периодичность обсуждается с заказчиком Только в рамках отдельного сервиса Да

 

Режим работы и техническая поддержка

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Возможность выбора режимов работы Всегда 24х7 Всегда 24х7 Да, можно установить любой режим по договорённости
Дежурная смена мониторинга и реагирования на инциденты 24х7 Да Да Да
Техническая поддержка 24х7 по телефону Да Нет Да
Чат технической поддержки (онлайн-помощник) Нет Да, на тарифном плане MDR Expert Да
Техническая поддержка в мессенджерах (Skype, Telegram и др.) Да: Telegram, WhatsApp, Skype Да, Telegram Да, любые необходимые по согласованию с заказчиком
Возможность выезда на площадку заказчика Да Да, в случае если клиент запрашивает реагирование на инцидент силами «Лаборатории Касперского». Услуга опциональна и тарифицируется отдельно Да, по запросу клиента

 

Ценовая политика 

Критерий сравнения Group-IB Managed Detection and Response Services Kaspersky Managed Detection and Response Positive Technologies Expert Security Center
Описание политики формирования стоимости, исследования Не раскрывается Стоимость зависит от количества узлов в мониторинге, а также от уровня сервиса — MDR Optimum или MDR Expert. В рамках MDR Expert клиент получает доступ к SOC-аналитику «Лаборатории Касперского», возможность хранить «сырые» данные в течение большего количества времени, возможность формировать индивидуализированные сценарии (playbooks), API для выгрузки данных, а также доступ к выделенным функциям Kaspersky Threat Intelligence Portal. Сложные случаи могут потребовать непосредственного вовлечения команды по реагированию. Если клиент хочет привлечь команду «Лаборатории Касперского», то её работа тарифицируется исходя из количества потребовавшихся на реагирование рабочих часов. Исходя из набора услуг и коэффициента сложности клиента определяется количество требуемых человекочасов для оказания запрошенных услуг
Описание политики формирования стоимости, детектирование и реагирование Не раскрывается
Описание политики формирования стоимости, восстановление Не раскрывается
Тарифные планы Не раскрывается MDR Optimum и MDR Expert Не раскрывается
Минимальная стоимость оказания услуг вендорского MDR Не раскрывается Не раскрывается Формируется исходя из набора услуг и требуемых человекочасов
Схема продаж услуги Смешанная Партнёрская Прямая, партнёрская, смешанная
Заявка на подключение group-ib.ru kaspersky.com ptsecurity.com

 

Выводы

Услуги мониторинга, реагирования на угрозы и расследования киберинцидентов в России набирают популярность. Этот факт подтверждается ростом количества клиентов не только коммерческих сервисов SOC, но и услуг Managed Detection and Response от производителей средств защиты, что порождает всё больше публичных историй успеха, в том числе — и с зарубежными заказчиками. Кроме того, заявленное время подключения услуги у всех поставщиков составляет считаные дни (у SOC, как правило, соответствующая операция осуществляется в течение месяца), что является не только поводом для гордости, но и индикатором серьёзного уровня зрелости отечественных вендоров. Однако далеко не все из них готовы предоставлять тестовый период или приглашать на клиентский визит. В отличие от SOC, где личный кабинет и определённая самостоятельность клиента являются ключевыми «фишками», не все вендорские MDR имеют общую консоль сервиса, отдавая управление конкретным средствам защиты.

Одно из самых «вкусных» преимуществ сервисов MDR от производителей средств защиты кроется в наборе сервисов. Всесторонний мониторинг киберпространства, максимальное количество знаний об угрозах и вредоносных объектах, техниках и тактиках атакующих, хакерских группировках — всё это имеется в различных вариациях в арсенале каждого участника сравнения. Полезным является также предоставление клиенту кратких и подробных отчётов, в том числе — бизнес-сводок для высшего руководства. Накопленные вендорами компетенции позволяют помимо классических пентестов и аудитов предлагать также нетривиальные услуги, такие как анализ надёжности кода приложений, аудит безопасности аппаратных решений, проверка защищённости банкоматов и POS-терминалов, промышленных технологий (АСУ ТП) и телеком-систем, защита блокчейн-проектов и ICO. Отдельные поставщики помогают и с задачами смежного профиля, вроде юридического сопровождения расследований, защиты бренда или управления уязвимостями у клиента. Кроме того, уникальными могут оказаться специализированные обучающие курсы по редким и важным темам: цифровая криминалистика, анализ вредоносных программ и обратная разработка (Reverse Engineering), реагирование на инциденты, написание комплексных правил, анализ инцидентов, проактивный поиск угроз (Threat Hunting), аналитика SOC и другие. Все представленные вендоры имеют собственные тренировочные центры.

В силу специфики того или иного поставщика в его портфеле могут отсутствовать некоторые классы решений, такие как EPP, UEBA, WAF, FW, IDS. Однако собственных технологий вендорского MDR, как правило, хватает для качественного детектирования угроз и реагирования на атаки, а «родная» интеграция позволяет максимально эффективно выполнять поставленные клиентом задачи. Отдельно стоит упомянуть SIEM-системы, которые в ряде случаев не представлены самостоятельными продуктами, но всё равно так или иначе являются неотъемлемой частью всех услуг вендорского MDR, пусть и в качестве собственных внутренних разработок. Технологии расследования инцидентов широко и качественно представлены всеми поставщиками. Они позволяют клиенту собрать все необходимые факты и наглядно представить их в отчётах согласно лучшим методикам, фреймворкам и практикам, в том числе — с визуализацией. Ожидаемо, что интеграция со сторонними решениями со стороны вендоров не является всеобъемлющей. При этом почти все готовы предоставлять собственные API, а также взаимодействовать с другими продуктами в рамках общепринятых стандартов (STIX, TAXII, OpenIOC, YARA, Sigma и т.п.).

Подключение сервиса MDR и развёртывание необходимых для него продуктов на площадке заказчика все вендоры осуществляют оперативно, способны за считаные дни индивидуализировать сценарии работы и правила корреляции, а также согласны хранить все важные клиентские данные локально, без передачи в облако. Отметим, впрочем, что не все участники сравнения готовы в принципе предоставлять такой сервис при полной изолированности площадки заказчика от внешних сетей.

Анализ особенностей персонала и технической поддержки MDR не выявил особенных отличий в сравнении с поставщиками SOC: такой же активный прогресс и наращивание компетенций — кроме, пожалуй, одного факта. Реализация довольно интересной и широко обсуждаемой сегодня концепции «центр мониторинга и реагирования без первой линии» (полностью заменяется применением автоматизации, технологиями машинного обучения) встретилась лишь у одного вендора.

Как и в случае с SOC, поставщики услуг MDR крайне неохотно раскрывают собственную ценовую политику и особенности лицензирования. Отдельная благодарность от редакции звучит в адрес «Лаборатории Касперского» за то, что коллеги согласились хотя бы подробно описать особенности формирования стоимости услуги (увы, без конкретных цен) и назвать тарифные планы. Бюджет, необходимый для выделения, клиенты смогут оценить исключительно по запросу.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru