Первое публичное сравнение услуг известных в России коммерческих центров мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC — Security Operations Center). Результаты сравнения помогут потенциальному заказчику выбрать наиболее подходящего поставщика, способного взять SOC на аутсорсинг и обеспечить взаимодействие с НКЦКИ. Сравнение проводилось по 179 критериям, характеризующим полноту и качество предоставляемых услуг. В первой части сравнения участвуют: Solar JSOC, BI.ZONE SOC, IZ:SOC, Angara Cyber Resilience Center, JET CSIRT, CyberART.
- Введение
- Методология сравнения услуг коммерческих SOC
- Сравнение услуг коммерческих SOC
- 3.1. Общие сведения
- 3.2. Тестовый период
- 3.3. Личный кабинет (клиентский портал)
- 3.4. Мониторинг и управление событиями безопасности
- 3.5. Управление инцидентами
- 3.6. Расследование инцидентов
- 3.7. Управление средствами защиты клиента (аутсорсинг эксплуатации)
- 3.8. Услуги Центра ГосСОПКА
- 3.9. Дополнительные услуги
- 3.10. Технологии поставщика SOC
- 3.11. Персонал SOC
- 3.12. Возможности двусторонней интеграции с инфраструктурой клиента
- 3.13. Гарантии качества (SLA)
- 3.14. Система оповещения и отчетность
- 3.15. Режим работы и техническая поддержка
- 3.16. Предоставление актуальных для целей SOC средств защиты в аренду (модель MSSP)
- 3.17. Ценовая политика
- Выводы
Введение
Это первая часть сравнения, которое проводилось в преддверии SOC-Форум 2019, масштабного и важнейшего для отрасли события. Вторую часть можно найти здесь — «Сравнение услуг коммерческих SOC (Security Operations Center). Часть 2».
«Что такое SOC?» Вопросы подобного рода и ответы на них до сих пор рождают жаркие споры в среде безопасников. Считается, что история центров мониторинга началась с 90-х годов прошлого века, когда в ответ на эпидемию Червя Морриса Университет Карнеги-Меллон в США создал и зарегистрировал патент на первую CERT (Computer Emergency Response Team — команда экстренного реагирования на компьютерные атаки). Дальнейшее становление центров мониторинга в мире шло «в ногу» с развитием ИТ- и ИБ-отрасли в целом, что неизбежно привело к появлению сервисной модели поддержки при киберинцидентах. Помимо государственных и внутрикорпоративных служб мониторинга стали появляться и коммерческие организации, готовые оказать комплексную помощь в борьбе с кибератаками. Итак, попробуем разобраться с определениями.
Организационно центр оперативного мониторинга и реагирования на инциденты кибербезопасности (SOC) представляет собой группу экспертов по защите информации, отвечающую за постоянный контроль и анализ состояния безопасности организации, используя комбинацию технологических решений и действуя в рамках четко выстроенных процессов. SOC обычно укомплектованы аналитиками и инженерами в области безопасности, а также сервис-менеджерами, которые обеспечивают оперативное взаимодействие с клиентом. Кроме того, для быстрого устранения последствий инцидентов подключается группа реагирования.
SOC призван отслеживать активность в сетях, на серверах и рабочих станциях, в базах данных, приложениях, веб-сайтах и других системах, обнаруживая аномальные и злонамеренные действия, которые могут указывать на инцидент безопасности или компрометацию данных. Важно подчеркнуть: вообще говоря, сервис-провайдер SOC несет ответственность за то, чтобы потенциальные и реальные инциденты безопасности были правильно идентифицированы, проанализированы, зарегистрированы и расследованы.
Можно долго спорить, что важнее для SOC — люди или технологии; но без структуры процессов точно не будет ожидаемого результата. Таким образом, первым шагом при привлечении сервиса SOC должно быть четкое определение целей, и желательно таких, которые коррелируют со стратегией информационной безопасности компании. В качестве ключевых вопросов для формирования таких целей могут выступать следующие:
- какие конкретно сервисы SOC вам нужны в первую очередь,
- каковы ваши ожидания от услуги в целом с учетом вашей инфраструктуры и состава средств защиты, достаточно ли их для полноценного сервиса,
- какие из процессов (например, детектирование, реагирование, расследование) вы действительно готовы отдать на аутсорсинг, и какова ответственность,
- насколько вы готовы предоставлять доступ к собственной инфраструктуре (а он точно понадобится в том или ином виде),
- исходя из чего вы будете оценивать экономическую эффективность с учетом предложенных тарифов,
- какие сопутствующие услуги важно получать дополнительно: предоставление средств защиты «как сервис», управление собственным парком средств защиты, аудиты безопасности, Threat Hunting и т.п.
Последний пункт в этом перечне крайне важен, поскольку деятельность коммерческих SOC в России обычно тесно связана с предложением сопутствующих сервисов. Самый популярный тип таковых — это MSSP (Managed Security Service Provider — предоставление управляемых сервисов безопасности). Управляемые услуги безопасности нужны для контроля и администрирования конкретных защитных решений и могут предлагаться довольно широким набором: от настройки инфраструктуры до управления безопасностью или активного (самостоятельного) реагирования на инциденты. Обычно желание работать с MSSP обусловлено отсутствием внутренних ресурсов или опыта в определенных областях или продуктах ИБ, а также для оперативного мониторинга и управления в нерабочее время. Кроме того, нередко возникает потребность и в получении самих средств защиты «as a service», т.е. в аренду. Такого рода бизнес исторически является прерогативой интеграторов, однако схожие предложения нередко существуют в портфелях провайдеров SOC. Подобный дополнительный сервис может оказаться полезным для ряда заказчиков при переходе на преимущественно операционную модель затрат (OPEX).
Другое актуальное сейчас предложение — услуга центра ГосСОПКА. Поскольку объекты критической информационной инфраструктуры (КИИ) и некоторые другие сущности обязаны подключаться к НКЦКИ, возможность собирать «правильные» инциденты ИБ или хотя бы приводить их к нужным форматам — хорошее дополнение к коммерческому сервису SOC.
Справедливым будет и упоминание о технологиях. Выбирая поставщика SOC, заказчики ожидают как минимум получить классические преимущества любого облачного сервиса: доступ к наиболее продвинутым техническим решениям без необходимости следить за особенностями конкретных вендоров и актуальностью версий. Перечень конкретных решений — тема для отдельных жарких споров, но без ряда базовых средств мониторинга и защиты информации сложно себе представить даже «in-source» (внутренний) SOC в средней компании, не говоря уже о коммерческом центре. К таким средствам принято относить управление журналами и событиями (Log Management/SIEM), реагирование на инциденты (Incident Response Platform, IRP), киберразведку (Threat Intelligence Platform, TIP), обслуживание обращений (Service Desk), анализ трафика и сетевые расследования (Network Traffic Analysis / Network Forensics, NTA / NFR), детектирование и реагирование на конечных точках (Endpoint Detection and Response, EDR), подключение к источникам данных о репутации или базам индикаторов компрометации (IoC). В сравнении мы расширили данный перечень, чтобы представить как можно более полную картину при выборе поставщика SOC.
Если есть средства («чем мониторить»), необходимо, чтобы был объект («что мониторить»). Разумеется, существуют минимальные требования к инфраструктуре заказчика и к уровню зрелости его ИБ в целом. Этим обусловлен своего рода ценз (в том числе — финансовый) при рассмотрении возможности приобретения аутсорсингового SOC. Перечень конкретных требований может быть расплывчатым, но для получения результата почти все поставщики сходятся в следующем.
- Должна быть возможность получения событий с хостов или установки агента на конечных точках.
- Должны быть, как минимум, базовые источники для получения протоколов (AD, FW).
- Следует определить периметр сети или по крайней мере описать ключевые инфраструктурные средства защиты.
- Необходимо обеспечить доступ к системам анализа сетевого трафика или возможность установки NTA.
Кстати, ровно год назад мы проводили собственный анализ российского рынка услуг и продуктов для центров мониторинга информационной безопасности (SOC). Поэтому долгих рассказов о видах SOC в России и ключевых поставщиках не будет; сосредоточимся на самом сравнении.
Методология сравнения услуг коммерческих SOC
При разработке методологии сравнения мы исходили из реальной практики оказания услуг SOC отечественными поставщиками. Именно поэтому для тех читателей, кто активно сотрудничал в этой области только с зарубежными партнерами, подбор категорий может показаться местами странным. Однако, таковы реалии спроса и предложения на данный сервис в России.
Краеугольным камнем любого сравнения является набор критериев, по которому оно проводится. Их количество зависит от ряда факторов: глубины исследования, степени различий между провайдерами SOC, разброс и наполнение которых весьма широки. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и содержание развернутых ответов по каждому из них, так как сервисы могут серьезно различаться даже на этом уровне. Следуя такому принципу, мы отобрали 179 критериев, сравнение по которым упростит выбор поставщиков SOC.
Для удобства все критерии разделены на следующие категории:
- Общие сведения
- Тестовый период
- Личный кабинет
- Мониторинг и управление событиями безопасности
- Управление инцидентами
- Расследование инцидентов
- Управление средствами защиты
- Услуги центра ГосСОПКА
- Дополнительные услуги
- Технологии поставщика SOC
- Персонал SOC
- Возможность двусторонней интеграции с инфраструктурой клиента
- Гарантии качества (SLA)
- Система оповещения и отчетность
- Режим работы и техническая поддержка
- Предоставление актуальных в рамках SOC средств защиты в аренду (MSSP)
- Ценовая политика
Для участия в сравнении было отобрано шесть наиболее известных в России коммерческих SOC:
- Solar JSOC
- BI.ZONE SOC
- IZ:SOC
- Angara Cyber Resilience Center
- JET CSIRT
- CyberART (ранее — SOC ICL СТ)
Все перечисленные выше поставщики сервисов SOC активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение услуг коммерческих SOC
Общие сведения
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Компания-вендор | ООО «СОЛАР СЕКЬЮРИТИ» | ООО «БИЗон» | АО НИП «Информзащита» | ООО «Ангара ассистанс» | АО «Инфосистемы Джет» | ООО «АЙСИЭЛ СТ» |
| Целевой сегмент | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний бизнес, государственный сектор | Финансовый сектор, субъекты КИИ, государственные органы, крупный и средний бизнес |
| Штаб-квартира | Москва | Москва | Москва | Москва | Москва | Казань |
| Офисы присутствия команд специалистов | Москва, Нижний Новгород, Хабаровск, Самара, Ростов-на-Дону | Москва | Москва | Москва, Рязань | Москва, Самара | Казань, Москва |
| Физическое расположение ЦОДов | Москва | Москва | Москва | Москва | Москва | Казань |
| Охват часовых поясов | GMT+02 — GMT+12 | GMT+2 — GMT+12 | GMT+2 — GMT+12 | GMT+2 — GMT+12 | GMT+2 — GMT+12 | GMT+2 — GMT+12 |
| Количество клиентов (по данным поставщика) | 110 | 12 | 10 | 6 | 11 | 10 |
| География активных клиентов | Россия | Россия, Казахстан, Ближний Восток, Азия, Восточная Европа | Россия | Россия | Россия | Россия |
| Крупнейшие публичные клиенты | Почта-банк Тинькофф Банк Леруа Мерлен Юнипро НСПК МТС Банк Министерство связи и ИТ Хабаровского края Росфинмониторинг |
Не раскрывается | Не раскрывается | Банк Юнистрим |
Не раскрывается | Не раскрывается |
| Веб-сайт | rt-solar.ru | BI.ZONE | izsoc.ru | angarapro.ru | csirt.jet.su | st-soc.ru |
| Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в») | ФСТЭК №2676 — ТЗКИ (а, б, в, г, д, е) | ФСТЭК №3500 — ТЗКИ (а, б, в, г, д, е) | ФСТЭК №0283 — ТЗКИ (а, б, в, г, д, е) | ФСТЭК №3175 — ТЗКИ (б, в, д, е) | ФСТЭК №0134 — ТЗКИ (а, б, в, г, д, е) | ФСТЭК №3082 — ТЗКИ (а, б, в, г, д, е) |
| Сертификаты на услугу | PCI DSS | SOC включён в область оценки по ГОСТ/ISO 9001 «Система менеджмента качества» (в процессе получения, ожидаемая дата — Q1 2020) | Нет | Нет | SOC включен в область оценки по ГОСТ/ISO 9001:2015, процесс оказания услуг соответствует требованиям ISO/IEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001-2006 | SOC включен в область оценки по ГОСТ/ISO 9001 «Системы менеджмента качества» |
| Наличие сертификатов на внутренние процессы и безопасность самого SOC | PCI DSS | SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» (в процессе получения, ожидаемая дата — Q1 2020) | Нет | Нет | СМИБ в отношении процесса оказания услуг соответствует требованиям ISO/IEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001-2006 | SOC включен в область оценки по ГОСТ/ISO 27001 «Системы менеджмента информационной безопасности» |
| Сроки подключения услуги | 1 месяц | От 1 недели до 1 месяца | От 5 дней до 1 месяца | От 1 недели до 1 месяца | От 1 недели до 1 месяца | От 2 недель до 1 месяца |
| Языки интерфейса клиентского портала | Русский | Русский, английский | Русский, английский | Русский | Русский, английский | Русский |
| Возможность клиентского визита в SOC | Да | Да | Да | Да | Да | Да |
| Срок существования услуги на рынке | 7 лет | 1 год | 5 лет | 2 года | 2 года | 3 года |
| Оказание услуги SOC в сегментах АСУТП | Да | Да | Да | Да | Да | Да |
| Наличие соглашений об информационном обмене с другими SOC | 5 соглашений с российскими и зарубежными SOC | 6 соглашений | 3 соглашения | Нет | Нет | 4 соглашения |
Тестовый период
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Тестовый период | Да | Да | Да | Да | Да | Да |
| Ограничения по функциональности | Без ограничений | Без ограничений | Обсуждаются индивидуально | 1 нестандартный источник, 1 персональный отчет | Обсуждаются индивидуально | Без ограничений |
| Количество дней (средний пилот) | 1-2 месяца | 1 месяц | 1-2 месяца | 1 месяц | 1 месяц | 1-2 месяца |
| Возможность получить примеры отчетов до покупки | Да | Да | Да | Да | Да | Да |
Личный кабинет (клиентский портал)
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Личный кабинет для самостоятельного мониторинга обстановки | Собственный портал и доступ на чтение к консоли SIEM | Специально разработанный личный кабинет | Доступ к SIEM и/или IRP | Доступ к собственной платформе ACRC | Доступ к SIEM и/или IRP | Доступ к SIEM и/или IRP |
| Предоставление доступа к личному кабинету | Платно | Бесплатно | Бесплатно | Бесплатно | Платно | Бесплатно |
| Возможность самостоятельного управления базовыми параметрами услуги в личном кабинете | Нет | Да | Да | Нет | Да | Да |
| Самостоятельное заведение новых источников | Нет | Нет | Нет | Да | Да | Да |
| Самостоятельное создание контрольных панелей (дашбордов) | Да | Да | Да | Да | Да | Да |
| Самостоятельная регистрация инцидентов | Да | Да | Да | Да | Да | Да |
| Конструктор и выгрузка отчетов | Да | Да | Нет | Нет | Да | Да |
| Возможность тонкой настройки | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) | Предоставляется возможность самостоятельной настройки дополнительных правил корреляции |
| Ролевая модель доступа | Да | Да | Да | Да | Да | Да (стандартные роли: ИБ-специалист клиента, ИТ-специалист клиента, менеджер клиента) |
| Возможность доменной авторизации (домен клиента) | Да | Нет | Нет | Да | Да | Да |
| Самостоятельный поиск по инцидентам | Да | Да | Да | Да | Да | Да |
| Самостоятельный поиск по событиям | Да | Нет | Да | Да | Да | Да |
| Наличие REST API | Нет | Да | Да | Да | Да | Да |
| Интеграция личного кабинета с ГосСОПКА (инциденты в форматах ГосСОПКА) | Да | Да | Да | Да | Да | Да |
Мониторинг и управление событиями безопасности
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Способы подключения площадок клиента | Сервер коллекторов поставщика SOC разворачивается на площадке клиента или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента; SOC интегрируется с существующими LM/SIEM-системами заказчика; на площадке клиента разворачиваются полнофункциональные средства SOC (LM/SIEM, EDR, SOAR и др.) |
| Возможность разворачивания коллекторов в виртуальной среде | Любая среда виртуализации | Любая среда виртуализации, обеспечивающая работоспособность Red Hat Enterprise Linux | Любая среда виртуализации, обеспечивающая работоспособность ОС *.nix | Любая среда виртуализации, обеспечивающая работоспособность ОС *.nix | Поддерживаются VMware, Hyper-V, KVM, AWS | Любая среда виртуализации |
| Типы поддерживаемых источников | Более 40 (DLP, AD, OS, IDS, AV, AntiDDoS, WAF, FW, Proxy, AntiSpam, VM, EDR, DB, Mail, VPN, Web, CRM, TDS, DNS, DHCP, СЗИ от НСД, HoneyPot, Sandbox, Hypervisor, операционные системы, бизнес-приложения) | Около 30 типов | Около 30 типов | Около 30 типов | Около 20 типов | Более 10 типов (FW, AV, VPN и другие СЗИ, OS, AD, гипервизоры, средства ИТ-мониторинга, СУБД и приложения) |
| Общее количество поддерживаемых источников (вендоров) | 401 | 400 | 344 | 65 | 428 | 300 |
| Подключение нестандартных источников | 72 часа | До 5 рабочих дней | От 2 дней | До 5 рабочих дней | 5 рабочих дней | От 4 часов до 5 рабочих дней |
| Метод сбора событий | Безагентский | Агентский, безагентский, смешанный | Агентский, безагентский, смешанный | Агентский, безагентский, смешанный | Агентский, безагентский, смешанный | Агентский, безагентский, смешанный |
| Основные поддерживаемые форматы сбора событий | Syslog; Windows Event Log; Windows WMI log; NetFlow; ODBC Log; SSH File Log; Check Point LEA; SNMP Traps; остальные форматы ArcSight и PT SIEM | Syslog, JDBC, WMI, SMB, FTP/SFTP, SSH, SCP, SNMP, SNMP Traps, LDAP, JMX, AWS S3, OPSEC/LEA, Netflow/Jflow, сбор текстовых файлов, REST API, Kafka, TCP/UDP Sockets, eStreamer, NSEL, WS-Management, HTTP | Syslog, FTP/SFTP, HTTP, Netflow/JFlow, OPSEC/LEA, Lumberjack, WMI, JDBC, eStreamer, NSEL, EMC, NSM, MQ JMS, PCAP, SNMP, SSH, LDAP, API, JMX, AWS S3, сбор текстовых файлов, получение событий/данных по почте | Syslog, SNMP, JDBC, FTP, smb, vSphere API, WMI, Netflow, сбор текстовых файлов | Syslog, Netflow, WMI, JDBC, eStreamer, SNMP, SSH, LDAP, API (при наличии интеграции), JMX, Telnet, сбор текстовых файлов, получение событий/данных по почте | Поддерживаются все структурированные форматы событий (CSV, Syslog, XML, JSON, JDBC, SNMP, REST API и другие) |
| Количество типов стандартных правил корреляции (use cases) | Более 200 унифицированных сценариев | 8 типов, 250 правил | 30 типов, более 300 правил | 26 типов, 208 правил | 9 типов | Более 200 типовых сценариев мониторинга (use cases) для выявления 20 типов компьютерных инцидентов и кибератак |
| Разработка правил корреляции для клиента | 72 часа | 1-3 рабочих дня | От 1 рабочего дня | 1-3 рабочих дня | 1-3 рабочих дня | От 4 часов до 3 рабочих дней |
| Корреляция событий по историческим данным | Да | Да | Да | Да | Да | Да |
| Возможность выбора сценариев мониторинга | Несколько наборов корреляционных правил: AV health, Internet Access and Application Control, Threat Hunting, User Management, Credential Theft, Network Security, Critical system profiling, возможность подключения индивидуальных сценариев, бизнес-систем и АСУ ТП | Сценарии по техникам и тактикам атак MITRE ATT&CK; по категориям источников событий; по решаемым функциональным задачам (контроль привилегированных пользователей, мониторинг сетевого периметра, выявление нарушения политик ИБ и т.п.) | Есть пакеты типовых сценариев и шаблоны сценариев для адаптации | 3 уровня услуги (разовый мониторинг, оперативный мониторинг, управление инцидентами) | Сценарии могут быть выбраны исходя из отрасли, требований, особенностей бизнес-процессов | Сценарии могут быть выбраны по типам выявляемых компьютерных атак и инцидентов, например атаки на периметр сети, атаки на ИТ-инфраструктуру, нарушения правил безопасности, типовые инциденты в приложениях |
| Возможность задать информацию об активах и уровень их критичности (assets) | Да | Да | Да | Да | Да | Да |
| Предоставление клиенту оборудования для разворачивания коллекторов | Платно | Платно | Платно | Платно | Платно | Платно или бесплатно (зависит от выбранного тарифа) |
| Передача клиенту правил корреляции, разработанных по его требованиям | Да (в рамках отдельной услуги) | Да | Да (только если услуга оказывается при помощи SIEM заказчика) | Да (в рамках отдельной услуги) | Да (закрепляется отдельным положением в рамках договора) | Да (заказчик получает все разработанные по его требованиям сценарии мониторинга (use cases), включая правила корреляции) |
| Хранение и обработка «сырых» событий на стороне клиента без их передачи в облако провайдера (внутри периметра компании) | Да | Да | Да | Да | Да | Да |
| Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Наличие хотя бы 1 источника событий | Наличие ресурсов для развертывания сервера коллекторов либо наличие у заказчика уже развернутого LM/SIEM, с которого можно перенаправить события в сторону поставщика | Наличие хотя бы 1 источника событий | Возможность получения событий с хостов или возможность установки Endpoint, межсетевой экран (периметр сети), доступ к системам анализа сетевого трафика и/или наличие возможности съема сетевого трафика | Наличие хотя бы 1 источника событий | Наличие хотя бы 1 источника событий |
| Минимальная ширина канала | 5 Мбит/с | 5 Мбит/c | 0,72 Мбит/с | 2 Мбит/с | 3 Мбит/с | 2 Мбит/с |
Управление инцидентами
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Определение инцидента в терминологии поставщика услуги | Инцидент ИБ — активность в инфраструктуре заказчика, которая является действиями злоумышленника, злонамеренной активностью или нарушением внутренних политик безопасности. | Инцидент ИБ — одно или серия нежелательных или непредвиденных событий ИБ, которые со значительной степенью вероятности указывают на свершившуюся ранее или предпринимаемую в настоящее время реализацию угрозы ИБ. | Инцидент ИБ — срабатывание одного или нескольких правил согласно согласованным с заказчиком use-cases или подозрительная активность, замеченная аналитиками в процессе работы. | Инцидент ИБ — одно или серия нежелательных или непредвиденных событий ИБ, которые со значительной степенью вероятности указывают на свершившуюся ранее или предпринимаемую в настоящее время реализацию угрозы ИБ. | Инцидент ИБ – появление одного или нескольких событий, которые указывают на совершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. | Инцидент ИБ – факт нарушения безопасности или прекращения функционирования объекта защиты. |
| Критерии отнесения инцидента к потенциальному | Срабатывание одного или нескольких правил корреляции | Срабатывание правила корреляции из согласованного с заказчиком списка, не сопровождаемое наличием связных событий, достоверно указывающих на ложное срабатывание | Не раскрывается | Превышение заданного значения взвешенного параметра на основе показателей достоверности, опасности и приоритета, характерного для каждого события/цепочки и каждого ИТ-актива | Наличие потенциально опасных событий, обнаружение известных паттернов вредоносной активности | Выявление событий безопасности, которые могут свидетельствовать о потенциальных инцидентах |
| Критерии отнесения инцидента к достоверному (подтвержденному) | Подтверждение от заказчика | Наличие связных событий, однозначно указывающих на достоверность инцидента при отсутствии подтверждения со стороны специалистов заказчика отношения к наблюдаемой активности | Не раскрывается | Подтверждение аналитиком | Подтверждение аналитиком | По результатам диагностики инцидента выявлен факт нарушения (например, обнаружено вредоносное ПО, несанкционированное изменение конфигурации объекта и пр. ) |
| Возможность раскрытия всех деталей расследования инцидента от аналитиков сервис-провайдера клиенту (с техническими подробностями) | Да | Да | Да | Да | Да (на основе собственной сценарной базы выявления угроз (атак) ИБ, реализованной с учетом 12 этапов Kill chain Mitre и других методик) | Да |
| Объем данных об инциденте (карточка) | 11 базовых разделов; карточки могут быть индивидуализированы под интеграцию с IRP конкретного заказчика, отдельный формат взаимодействия с ГосСОПКА | 18 базовых полей, опциональный набор полей для ГосСОПКА, также возможна индивидуализация под интеграцию с IRP / ServiceDesk заказчика | 36 базовых полей, возможность неограниченно добавлять дополнительные поля | 25 базовых полей, возможность неограниченно добавлять дополнительные поля | 25 базовых полей, возможность неограниченно добавлять дополнительные поля | 25 базовых полей, отдельные специфические разделы (ГосСОПКА и т.п.) и возможность неограниченно добавлять дополнительные поля |
| Прослеживаемый путь движения инцидента (workflow) | Да | Да | Да | Да | Да | Да |
| Возможность менять критичность со стороны клиента | Да | Да | Да | Да | Да | Да |
| Возможность помечать ложные срабатывания (false positive) | Да | Да | Да | Да | Да | Да |
| Реакция на инцидент: немедленное уведомление по всем согласованным каналам | Да | Да | Да | Да | Да | Да |
| Реакция на инцидент (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласования | Индивидуально прорабатывается и согласовывается с заказчиком по гарантированным сценариям. Инструменты: через управление СЗИ, через скрипты автоматизации в SIEM и IRP | Производится в случае подключения соответствующих защитных сервисов в рамках отдельной услуги | Производится в случае подключения соответствующих защитных сервисов в рамках отдельной услуги | По заранее согласованным сценариям — сетевая изоляция хоста, блокирование процесса, извлечение экземпляра, помещение в карантин | Не раскрывается | Есть возможность выдачи управляющих команд на средства защиты информации заказчика через SOAR-платформу поставщика сервиса (например, блокирование сетевого доступа, блокирование учётной записи, изоляция хоста и пр. ) |
| Реакция на инцидент: немедленное принятие мер на стороне клиента (если применимо) | Меры представлены, но не ограничиваются: - настройкой телекоммуникационного оборудования и средств, используемых для обеспечения информационной безопасности ИР; − ликвидацией вредоносного ПО; − восстановлением информации из резервных копий (при их наличии); − восстановлением удаленной или поврежденной информации |
В рамках услуги по администрированию средств защиты могут осуществляться необходимые изменения их конфигураций, инициироваться сканирования AV, помещение файлов в карантин, сканирование на уязвимости, блокировка процессов, удаление вредоносных файлов, сбор необходимых для расследования данных (например, образы диска/памяти, forensics-артефакты) и т.д. | В зависимости от приобретенных сервисов, возможно управление СЗИ заказчика | Согласно процедурам эскалации аналитик может передать инцидент в подразделение, занимающееся обслуживанием СЗИ | Сдерживание, изоляция, устранение и восстановление | Изоляция, блокировка, проверка (сканирование) системы, снятие образа |
| Выдача рекомендаций по следам инцидента (отчет об инциденте) | Скорректировать настройки СЗИ, обновить ПО, обновить политику, рекомендации по обучению персонала и другие организационные меры | Конфигурация средств защиты, обновление ПО, рекомендации по настройке ПО/ОС, рекомендованные организационные меры, изоляция скомпрометированных хостов, сброс паролей учётных записей, блокировка учётных записей, внеплановая проверка средствами AV, рекомендации по удалению «остатков» заражений, сбор необходимых для дальнейшего расследования данных | Конфигурация средств защиты, обновление ПО, конфигурация политик безопасности систем, конфигурация ПО, применение организационных мер | Конфигурация средств защиты, обновление ПО, конфигурация политик безопасности систем, конфигурация ПО, применение организационных мер | Конфигурация средств защиты, обновление ПО, конфигурация политик безопасности систем, конфигурация ПО, применение организационных мер | Конфигурация систем и ПО, изменение политик безопасности, рекомендации по устранению уязвимостей, конфигурация средств защиты, компенсирующие меры |
| Устранение последствий инцидента силами поставщика | Да | Да | Да | Да | Да | Да |
| Разработка сквозных сценариев реагирования между поставщиком и клиентом | Да (входит в стоимость услуги) | Да (входит в стоимость услуги) | Да (платно) | Да (платно) | Да (входит в стоимость услуги) | Да (платно) |
| Накопление и анализ статистики по инцидентам, изменение на ее основе параметров услуги | Да | Да (адаптация правил корреляции под особенности инфраструктуры заказчика, выдача рекомендаций по настройке СЗИ, компонентов инфраструктуры, аудиту событий) | Да (адаптация правил корреляции согласно особенностям инфраструктуры заказчика) | Да (адаптация правил корреляции согласно особенностям инфраструктуры заказчика) | Да (адаптация корреляционной логики сценариев, рекомендации по настройке СЗИ и информационных систем) | Да (статистика по инцидентам используется для корректировки метрик услуги — например, снижение числа FP, снижение времени обработки и пр.) |
| Автоматическая проверка выполнения выданных рекомендаций по итогам инцидентов | Да (в рамках алгоритма контроля повторного выявления активностей (повторные инциденты), контроль действий по ликвидации инцидентов по журнальным файлам) | Да (повторная проверка отсутствия/появления соответствующих событий безопасности) | Да (только в части устранения уязвимостей, проводится периодический анализ защищенности) | Да (повторная проверка уязвимостей, отсутствие/появление соответствующих событий безопасности) | Да (в рамках предоставления услуги управления уязвимостями или в рамках автоматического реагирования технологическими средствами SOC) | Да (проверка выполнения рекомендаций включена в типовые сценарии реагирования) |
| Категорирование инцидентов согласно матрице ATT&CK | Да | Да | Да | Да (собственная методика построения killchain, по согласованию накладывается на матрицу ATT&CK) | Да | Да |
| Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагирования | Да | Да | Да | Нет | Да | Да |
| Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагирования | Да | Да | Да | Да | Да | Да |
Расследование инцидентов
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Выявление и полное описание внешней атаки | Да (согласно методологии SANS) | Да (описание всех зафиксированных шагов атаки в хронологическом порядке, построенное вокруг 12 тактик матрицы MITRE ATT&CK. По каждой из тактик отражаются наблюдаемые в ее рамках техники MITRE ATT&CK) | Нет | Да (собственная методология на базе MITRE ATT&CK: Разведка, Доставка, Эксплуатация, Заражение, Закрепление, Уничтожение следов, Достижение целей) | Да (на основе собственной сценарной базы выявления угроз (атак) ИБ, реализованной с учетом 12 этапов Kill chain Mitre и других методик) | Да (описание может основываться на методологии kill chain, на рекомендациях НКЦКИ, на требованиях ФинЦЕРТ, заказчика, иных лучших практиках) |
| Выявление и полное описание ошибки персонала | Да (согласно методологии SANS) | Да (анализируется весь набор релевантных событий, сопоставляется с активными пользовательскими учётными записями на связанных с инцидентом активах, предоставляется описание действий пользователя в хронологическом порядке) | Нет | Да (отклонение от базового контроля (заполняется на этапе подключения услуги) и статистического анализа) | Да (статистический анализ, параметры формируются на этапе подключения) | Да (описание может основываться на методологии kill chain, на рекомендациях НКЦКИ, на требованиях ФинЦЕРТ, заказчика, иных лучших практиках) |
| Выявление и полное описание злонамеренных действий пользователей | Да (согласно методологии SANS) | Да (анализируется весь набор релевантных событий, сопоставляется с активными пользовательскими учётными записями на связанных с инцидентом активах, предоставляется описание действий пользователя в хронологическом порядке) | Нет | Да (анализируется весь набор событий, связанных с инцидентом) | Да (на этапе расследования устанавливается причастность пользователя к обнаруженной активности) | Да (описание может основываться на методологии kill chain, на рекомендациях НКЦКИ, на требованиях ФинЦЕРТ, заказчика, иных лучших практиках) |
| Ретроспективный поиск индикаторов компрометации, выявленных в результате реагирования на инциденты | Да | Да | Да | Да | Да | Да |
| Исследование (reverse engineering) образцов вредоносного ПО, выявленных в результате реагирования на инциденты | Да | Да | Да | Нет | Да | Да |
Управление средствами защиты клиента (аутсорсинг эксплуатации)
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Управление средствами защиты, задействованными при мониторинге и реагировании на инциденты (детектирующие) | Да | Да (отдельный сервис администрирования средств защиты в рамках SOC: SIEM, NGFW, WAF, IDS, AV, EDR, Sandbox) | Да | Да | Да (около 150 решений различных вендоров) | Да (управления всеми средствами, применяемыми в рамках услуг SOC: LM\SIEM, VPN, IDS, NGFW, Sandbox, WAF, EDR и др.) |
| Управление определенной группой средств защиты | Да (без ограничений) | Да (без ограничений) | Да (без ограничений) | Да (без ограничений) | Да (возможность передачи на эксплуатацию только определенных средств защиты, входящих в утвержденный перечень) | Да (без ограничений) |
| Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Не предъявляются | Не предъявляются | Не предъявляются | Не предъявляются | Не предъявляются | Не предъявляются |
| Минимальная ширина канала | 256 кбит/с | 1 Мбит/с | 1 Мб/с | от 2 Мбит/сек | 64 кбит/с | 2 Мбит/с |
Услуги Центра ГосСОПКА
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Предоставляются | Да | Да | Да | Да | Да | Да |
| Наличие официально заключенного соглашения с НКЦКИ | Да (с 2018 года) | Да (с 2018 года) | Да (с 2018 года) | Да (c 2019 года) | Да (c 2020 года) | Нет (соглашение с НКЦКИ находится на стадии заключения) |
| Класс Центра ГосСОПКА (А, Б ,В) | А | A | А | A | А | А (соглашение с НКЦКИ находится на стадии заключения) |
| Количество проектов с реализованной функцией Центра (клиентов) | Более 10 (публичный клиент — ЦИТ Волгоградской области) | 2 | 1 | 0 | 2 | 0 |
| Услуги взаимодействия с НКЦКИ | Да | Да | Да | Да | Да | Да |
| Разработка документов (ОРД) для клиента | Да | Да | Да | Да | Да | Да |
| Эксплуатация средств защиты клиента в рамках процессов ГосСОПКА | Да | Да | Да | Да | Да | Да |
| Прием, регистрация и анализ событий, сообщений об инцидентах и атаках | Да | Да | Да | Да | Да | Да |
| Инвентаризация информационных ресурсов клиента | Да | Да | Да | Да | Да | Да |
| Анализ угроз, прогнозирование их развития и направление сведений в НКЦКИ | Да | Да | Да | Да | Да | Да |
| Составление перечня угроз для клиента | Да | Да | Да | Да | Да | Да |
| Выявление уязвимостей информационных ресурсов клиента | Да | Да | Да | Да | Да | Да |
| Формирование предложений по повышению уровня защищенности информационных ресурсов клиента | Да | Да | Да | Да | Да | Да |
| Составление перечня последствий компьютерных инцидентов | Да | Да | Да | Да | Да | Да |
| Ликвидация последствий компьютерных инцидентов | Да | Да | Да | Да | Да | Да |
| Анализ результатов ликвидации последствий инцидентов | Да | Да | Да | Да | Да | Да |
| Установление причин компьютерных инцидентов | Да | Да | Да | Да | Да | Да |
Дополнительные услуги
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Управление уязвимостями | Да | Да | Да | Да | Да | Да |
| Внутренние технические аудиты | Да | Да | Да | Да | Да | Да |
| Compliance-проверки (по чек-листам) | Да | Да | Да | Да | Да | Да |
| Тесты на проникновение (pentest, Red Teaming) | Да | Да | Да | Да | Да | Да |
| Выявление и полное расследование мошенничества и атак (форензика) | Да | Да | Да | Да | Да | Да |
| Киберразведка, OSINT (с отчетами) | Да | Да | Да | Да | Да | Да |
| Threat Hunting | Да | Да | Да | Да | Да | Да |
| Инвентаризация инфраструктуры клиента на периодической основе | Да | Да | Да | Да | Да | Да |
| Разработка и адаптация индивидуальных сценариев (playbook) по реагированию | Да | Да | Да (согласно процессам организации) | Да | Да (в зависимости от требований и выстроенных процессов) | Да |
| Обучение специалистов заказчиков | Да | Да (есть курсы для аналитиков SOC, курсы по Incident Response & Digital Forensics, Penetration Testing, Threat Hunting) | Да (возможна практика в IZ:SOC) | Да (есть курсы для двух ролей: аналитик (1-я линия) и аналитик-эксперт (2-я линия)) | Да (есть учебные материалы, обучение проводится по запросам, специальных курсов нет) | Да (обучающие материалы по работе с SIEM, IRP и другими СЗИ, специальных курсов нет) |
| Трансфер экспертизы в SOC клиента | Да | Да (включая построение SOC «под ключ») | Да (информация предоставляется по запросу) | Да (есть опыт обучения специалистов SOC с помощью презентационного материала, лабораторных работ и дальнейшего тестирования) | Да (обучение специалистов, помощь в поиске кадров, есть схема перехода от аутсорсинга к схеме с SOC клиента) | Да |
Технологии поставщика SOC
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Log Management/SIEM | Micro Focus ArcSight SIEM, Positive Technologies MaxPatrol SIEM | IBM QRadar | IBM QRadar, КОМРАД | Собственный стек технологий ACRC | Fortinet FortiSIEM | Не раскрывается |
| Incident Response Platform (IRP) | Собственная разработка на базе Kayako | Собственная разработка | Собственная разработка | Собственный стек технологий ACRC | R-Vision IRP | КСУИБ (собственная платформа) |
| Configuration Management Database (CMD) | Собственная разработка | Собственная разработка | Open Source | Собственный стек технологий ACRC | R-Vision, Fortinet FortiSIEM | КСУИБ (собственная платформа) |
| Threat Intelligence Platform (TIP) | Собственная разработка | Собственная разработка – BI.ZONE ThreatVision | Собственная разработка, Kaspersky Threat Intelligence, IBM X-Force, MISP | Собственный стек технологий ACRC | Kaspersky Threat Intelligence, Group-IB Threat Intelligence, Fortinet FortiIOC | MISP |
| Threat Hunting Platform (THP) | Cобственная разработка, специализированный контент в SIEM | Собственная разработка на базе Open Source | Собственная разработка на базе Open Source | Нет | Нет | Не раскрывается |
| База знаний (для использования клиентами) | Нет | Нет | Нет | Собственный стек технологий ACRC | На базе Gitlab | Собственная разработка |
| Service Desk | Собственная разработка на базе Kayako | Jira | Jira и собственный портал | Собственный стек технологий ACRC | BMC Remedy | КСУИБ (собственная платформа) |
| SandBox (песочница) | Несколько технологических платформ, внутренняя разработка | Fortinet FortiSandbox, Huawei FireHunter, Cuckoo Sandbox (с доработками), собственная разработка для APK-файлов (Android) | Check Point SandBlast, McAfee Advanced Threat Defense | Стек технологий ACRC и Kaspersky KATA | Fortinet FortiSandbox | Не раскрывается |
| NTA/NFR (Network Traffic Analysis / Network Forensics) | Positive Technologies Network Attack Discovery | Zeek, Suricata | IBM QRadar Incident Forensics | Стек технологий ACRC и Kaspersky KATA | Нет | Не раскрывается |
| UEBA (User and Entity Behavior Analysis) | Специализированный контент в SIEM | IBM QRadar UBA | IBM QRadar UBA | Cтек технологий ACRC | Частично средствами FortiSIEM | Не раскрывается |
| EDR (Endpoint Detection and Response) | Нет (тестируется несколько технологий, есть опыт работы с KEDR) | Собственная разработка – BI.ZONE Sensors | Нет | Стек технологий ACRC и Kaspersky EDR | Kaspersky EDR | Не раскрывается |
| Антивирусный мультисканер (многоядерный) | VirusTotal | Собственная разработка – BI.ZONE Octopoda | VirusTotal | VirusTotal | VirusTotal | Не раскрывается |
| Подключение к каналам данных об уязвимостях (vulnerability intelligence feeds) | Собственная аналитика на основании коммерческих подписок и открытых источников | С использованием платформы Threat Intelligence собственной разработки, NVD | Подключение через TIP к разным источникам | OSINT tools | Собственные инструменты, используется NVD, БДУ ФСТЭК | OSINT tools и аналитика на базе собственной разработки |
| Подключение к репутационным каналам (reputation feeds) / базам индикаторов компрометации | Kaspersky, ESET, Group-IB, открытые источники, собственные исследования | С использованием платформы Threat Intelligence собственной разработки, IBM X-Force, MISP | Подключение через TIP к разным источникам | Дополнительная услуга (на базе Kaspersky KATA) или подключение собственных баз/IoC клиента | Fortinet, Kaspersky | Не раскрывается |
| Обеспечение конфиденциальности клиентских данных | Есть внутренние методики самоконтроля, самомониторинга и разграничения доступа к данным, попадающим под определение конфиденциальных или составляющих КТ | Передача данных по защищенному каналу, выделенный сетевой сегмент под инфраструктуру SOC, разграничение данных разных клиентов по тенантам, система контроля доступа и действий аналитиков | Передача данных по защищенному каналу, выделенный сетевой сегмент под инфраструктуру SOC, разграничение данных разных клиентов по тенантам | Изолированное хранение данных каждого клиента, разграничение доступа, шифрование всех межсегментных соединений, система контроля доступа аналитиков | Реализована комплексная система защиты, передача данных в рамках шифрованного канала, размещение в ЦОД уровня Tier 3 | Система защиты клиентских данных аттестована по 1 классу защищенности в соответствии с требованиями 17-го приказа ФСТЭК России, реализован весь входящий в него набор мер |
| Возможность организации канала VPN по ГОСТу | Да | Да | Да | Да | Да | Да |
Персонал SOC
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Подтвержденный опыт команды аналитиков | Все аналитики с опытом работы в SOC от 2 лет, 6 аналитиков с опытом работы в SOC более 5 лет | Offensive Security Certified Professional (OSCP), Offensive Security Certified Expert (OSCE), GIAC Certified Forensic Analyst (GCFA), GIAC Network Forensic Analyst (GNFA), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN), eLearnSecurity's Certified Threat Hunting Professional (eCTHP), GIAC Reverse Engineering Malware (GREM), GIAC Certified Forensic Examiner (GCFE), EC-Council Certified Ethical Hacker (CEH) | Все аналитики с опытом работы в SOC от 2 лет, 6 аналитиков с опытом работы в SOC более 5 лет | Подтверждённый аналитический опыт команды — более 3 лет | Сертификаты: CISSP, CISA, CISM, CRISC, OSCP, CEH. Сертификация по системам: CCNP, CCSE, Microfocus Arcsight, IBM QRadar, Certified Professional MaxPatrol SIEM, Kaspersky Lab Certified Professional, Trend Micro Deep Security, F5 Certified BIG-IP Administrator, F5 Certified Technology Specialist, Fortinet NSE 1, NSE 2, NSE 3, NSE 4, NSE 5, NSE 7 и другие, подтвержденный опыт создания и работы в корпоративных и коммерческих SOC | Более 25 сертифицированных специалистов и более 100 сертификатов по средствам защиты (SIEM, VA, WAF, AV, EDR и пр.), по практикам мониторинга и реагирования на инциденты ИБ, по ИТ-технологиям, по анализу защищённости и этичному хакингу, по информационной безопасности и менеджменту ИБ |
| Численность персонала клиентского SOC, суммарно и по каждой линии (L1, L2, L3) | 170 человек (L1 — 50, L2 — 22, L3 — 10, L4 — 12, группа развития услуг MDR — 18, сопутствующие сервисы — 58) | 45 человек (L1 — 12, L2 — 6, L3 — 5, форензика/reverse engineering — 8, внутренняя группа автоматизации — 6, эксплуатация СЗИ — 8) | 93 человека (L1 — 7, L2 — 8, L3 — 8, эксплуатация СЗИ — 70) | 43 человека (L1 — 7, L2 — 7, L3 — 6, эксплуатация СЗИ — 23) | 40 человек (L1 — 14, L2 — 8, L3 — 4, эксплуатация СЗИ — 14) | 30 человек (численность по линиям не раскрывается) |
| Экспертиза и задачи L1 (1-й линии) | Дополнительная приоритизация инцидентов, анализ инцидентов, фильтрация ложных срабатываний, подготовка аналитических справок, проведение расследований | Базовая обработка и анализ инцидентов, решение типовых и нетиповых инцидентов (в каждой смене есть старший аналитик 1 линии, компетенций которого достаточно для решения нетиповых инцидентов) | Первичный анализ инцидентов, выявление ложных срабатываний, оповещения, базовая работа по сценариям (playbooks) | Первичное расследование подозрений на инцидент ИБ, сбор необходимой информации (обогащение), ранжирование и подтверждение или опровержение подозрений по типовым (описанным) признакам атак, передача для дальнейшего расследования, контроль доступности источников событий и поступающих с них событий, ретроспективный анализ событий за прошедшие сутки для выявления тенденций и подозрительной динамики | Базовая обработка и анализ инцидентов, диспетчеризация, решение типовых случаев | Анализ инцидентов, базовая обработка сценариев (playbooks), диспетчеризация, автоматизация обзвона |
| Процедура предварительного обследования и анализа рисков клиентов | Представляет собой комплекс технических и организационных работ по настройке, адаптации и тестированию подключаемых услуг: обследование инфраструктуры, базовый анализ рисков, подключение источников событий, подключение релевантных сценариев мониторинга инцидентов ИБ | Да, в соответствии с собственной методикой | Да, в соответствии с собственной методикой | Да, в соответствии с собственной методикой | Да, в соответствии с собственной методикой | Да, в соответствии с рекомендациями ФСТЭК и собственной методикой |
| Выделение технического куратора услуги для заказчика (аналитика) | Да | Да | Да | Да | Да | Да |
| Выделение организационного куратора услуги для заказчика (сервис-менеджера) | Да | Да | Да | Да | Да | Да |
| Кадровая динамика за последние три года | Более чем двукратный рост на протяжении последних 3 лет через программы обучения студентов и кадровой возгонки экспертизы внутренних сотрудников | SOC существует с августа 2018 года, за это время команда выросла с 12 до 45 человек | Не раскрывается | Не раскрывается | Увеличение численности на 25 человек за 3 года | Ежегодный рост численности специалистов SOC на 25% |
| Кадровая политика SOC | Совместные образовательные программы с вузами-партнерами, совместные мероприятия с вузами в регионах с привлечением специалистов РТК-Солар, стажировки для студентов на базе компании, обучающая и адаптационная программа для молодых специалистов компании | Непрерывное обучение (внутреннее, внешнее, в т.ч. и за рубежом), международные сертификации, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров | Ежегодное плановое обучение, оценка компетенций | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров |
| Выделенная команда только под услугу SOC для клиентов | Да | Да | Да | Да | Да | Да |
Возможности двусторонней интеграции с инфраструктурой клиента
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Интеграция с SIEM/LM | Да | Да | Да | Да | Да | Да |
| Интеграция с Service Desk | Да | Да | Да | Да | Да | Да |
| Интеграция с ITSM/CMDB | Да | Да | Да | Да | Да | Да |
| Интеграция с TI/импорт-экспорт IoC | Да | Да | Да | Да | Да | Да |
| Иные решения | Нет | IRP, SOAR | Нет | Нет | IRP | SOAR, ИТ-оркестрация |
Гарантии качества (SLA)
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Максимальное гарантируемое число обработки событий в секунду (EPS), исходя из реальных инсталляций | 54 000 | 50 000 | 50 000 | 27 000 | 35 000 | 50 000 |
| Уровень гарантируемой доступности услуги мониторинга и реагирования | 99,50% | 99% | 99% | 99% | 98,50% | 99% |
| Уровень гарантируемой доступности услуги управления средствами защиты | 99,50% | 99% | 99% | 99% | 98,50% | 99% |
| Уровень гарантируемой доступности услуги предоставления средств защиты в аренду | 99,50% | 99% | 99% | 99% | 98,50% | 99% |
| Мониторинг и анализ событий | 24х7 | 24х7 | 24х7 | 24х7 | 24x7 | 9х5 и 24х7 в зависимости от тарифа |
| Выявление инцидентов, периодичность | 24х7 | 24х7 | 24х7 | 9х5 и 24х7 в зависимости от тарифа | 24x7 | 9х5 и 24х7 в зависимости от тарифа |
| Гарантируемое время обнаружения потенциального инцидента | 20 минут | 15 минут | 15 минут | 15 минут | 25 минут | 10 минут |
| Гарантируемое время подтверждения инцидента (после исключения ложных срабатываний до оповещения заказчика) | 30 минут | От 30 до 120 минут в зависимости от приоритета инцидента | От 30 до 120 минут в зависимости от приоритета инцидента | До 60 минут | 45 минут | 30 минут |
| Время выдачи рекомендаций (отчета) по следам инцидента | 30 минут | От 30 до 120 минут в зависимости от приоритета инцидента | От 30 до 120 минут в зависимости от приоритета инцидента | До 120 минут | 45 минут | 30 минут |
| Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им) | Не выше 0,5% | Не раскрывается | Не выше 0,1% | Не раскрывается | Не раскрывается | Не более 5% |
Система оповещения и отчетность
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Отправка периодических отчетов на почту | Периодичность обсуждается с заказчиком | Раз в месяц | Раз в неделю, месяц или квартал | Раз в неделю, месяц или квартал | Раз в месяц | Раз в неделю, месяц или квартал |
| Телефонный звонок при инцидентах | Да (при подозрении на высококритичный инцидент) | Да (при критических инцидентах) | Да | Да (по согласованию с клиентом, при реакции на определённые инциденты) | Да (подтверждение легитимности действий, подтверждение действий по реагированию на инцидент, при невозможности уведомления по иным каналам связи) | Да (в соответствии с SLA и матрицей эскалации) |
| Оповещение по SMS и в мессенджерах | Да (при подозрении на высококритичный инцидент) | Нет | Да | Да | Нет | Да (в соответствии с SLA и матрицей эскалации) |
| Возможность получения «отчетов для руководства», написанных вручную | Периодичность обсуждается с заказчиком | Периодичность обсуждается с заказчиком | Раз в неделю, месяц или квартал | По умолчанию — 1 раз в квартал, есть возможность предоставления дополнительных отчётов по запросу | Раз в месяц | Да (в соответствии с SLA и матрицей эскалации) |
Режим работы и техническая поддержка
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Возможность выбора режимов работы | Да (всегда 24х7) | Да (всегда 24х7) | Да (стандартные 8х5, 24х7, также можно выбрать режим согласно часовым поясам по филиалам) | Да (есть возможность выбора 9х5 и 24х7) | Да (есть возможность выбора 8x5 или 24x7) | Да (есть возможность выбора 8x5, 12x5, 12x7, 24x7) |
| Дежурная смена мониторинга и реагирования на инциденты 24х7 | Да | Да | Да | Да | Да | Да |
| Техническая поддержка 24х7 по телефону | Да | Да | Да | Да | Да | Да |
| Чат технической поддержки (онлайн-помощник) | Нет | Нет | Да | Нет | Нет | Да |
| Техническая поддержка в мессенджерах (Skype, Telegram и др.) | Да | Нет | Да | Да | Да | Да |
| Возможность выезда на площадку заказчика | Да | Да | Да | Да | Да | Да |
Предоставление актуальных для целей SOC средств защиты в аренду (модель MSSP)
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| FW/NGFW (Firewall / Next Generation Firewall) | Fortinet, Check Point | Fortinet | Check Point | Нет | Fortinet | Не раскрывается |
| IDS/IPS (Intrusion Detection System / Intrusion Prevention System) | Fortinet, Check Point | Fortinet | Check Point | ACRC platform | Fortinet | Не раскрывается |
| Endpoint (антивирус, HIDS, EDR) | Kaspersky | Собственная разработка — BI.ZONE Sensors | Не раскрывается | Собственный HIDS или Kaspersky EDR | Kaspersky, Bitdefender | Не раскрывается |
| DLP (Data Leak Prevention) | Solar Dozor | Собственная разработка — модуль контроля утечек информации в составе BI.ZONE Sensors | Нет | Нет | InfoWatch | Не раскрывается |
| WAF (Web Application Firewall) | PT Application Firewall (планируется расширение перечня решений) | Wallarm, WAF собственной разработки — BI.ZONE CWAF | Не раскрывается | Wallarm | F5, Imperva, Fortinet, PT Application Firewall | Не раскрывается |
| SIEM/LM (Security Information and Event Management / Log Management) | MaxPatrol SIEM, Micro Focus ArcSight | IBM QRadar | IBM QRadar | ACRC Platform | Fortinet | Не раскрывается |
| IRP/SOAR (Incident Response Platform / Security Orchestration and Reaction) | R-Vision | R-Vision | Нет | Нет | R-Vision | КСУИБ (собственная разработка) |
| DBF/DAM (Database Firewall / Activity Monitor) | Нет | Нет | Нет | Нет | Нет | Не раскрывается |
| TIP (Threat Intelligence Platform) | Нет | Собственная разработка — BI.ZONE ThreatVision | Нет | Нет | Нет | Не раскрывается |
| VM/VA (Vulnerability Management / Assessment) | Qualys | Собственная разработка — BI.ZONE Continuous Penetration Testing | Не раскрывается | Нет | PT MaxPatrol, Teenable Nessus | Не раскрывается |
| Песочница (SandBox) | Нет | FortiSandbox | Не раскрывается | Kaspersky KATA | FortiSandbox | Не раскрывается |
| NTA (Network Traffic Analysis) | Нет | Нет | Нет | Kaspersky KATA | Нет | Не раскрывается |
Ценовая политика
| Критерий сравнения | Solar JSOC | BI.ZONE | IZ:SOC | Angara Cyber Resilience Center | JET CSIRT | CyberART |
| Описание политики формирования стоимости, мониторинг и реагирование на инциденты | 1. Количество EPS 2. Количество категорий Use Case: AV health, Internet Access and Application Control, Threat Hunting, User Management, Credential Theft, Network Security, Critical system profiling 3. Дополнительные опции |
1. Количество EPS 2. Количество подключаемых нетиповых источников (для которых нет разработанных коннекторов) 3. Количество дополнительно разрабатываемых индивидуальных Use Case (под специфичные сценарии заказчика) 4. Количество подключаемых площадок 5. Архитектура сбора событий (хранение данных на стороне заказчика или на стороне провайдера услуги) |
1. Количество EPS и подключаемых источников 2. Количество подключаемых площадок 3. Количество подключенных сценариев мониторинга 4. Режим работы 8х5/24х7 5. Подключение нетиповых источников |
1. Количество EPS 2. Режим предоставления сервиса 3. Варианты SLA 4. Дополнительные услуги в виде добавления нетиповых источников, отчётов, дашбордов, услуг MSSP |
1. Количество EPS и подключаемых источников 2. Количество подключаемых площадок 3. Количество подключенных сценариев мониторинга 4. Режим работы 8х5/24х7 5. Подключение новых источников 6. Количество СЗИ, передающихся заказчиком в процесс реагирования |
1. Количество источников событий ИБ 2. Типы источников событий ИБ 3. Количество площадок 4. Количество сценариев мониторинга 5. Режим мониторинга (8х5, 24х7) |
| Описание политики формирования стоимости, управление средствами защиты | Количество и тип устройств | 1. Количество и тип устройств/терминалов 2. Режим работы 8x5/24x7 3. Уровень поддержки 4. Уровень эксплуатации |
1. Количество и тип устройств 2. Уровень поддержки 3. Уровень эксплуатации 4. Режим работы 8х5/24х7 |
1. Уровень и режим оказания услуги 2. Количество СЗИ и их тип (прикладное, сетевое) 3. Территориальная расположенность 4. Тип удаленного доступа |
1. Количество и тип устройств 2. Уровень поддержки 3. Уровень эксплуатации 4. Режим работы 8х5/24х7 |
1. Количество СЗИ 2. Типы СЗИ 3. Количество площадок 4. Тип управления (SLA) 5. Режим управления (8х5, 24х7) |
| Описание политики формирования стоимости, «средства защиты как сервис» | ГОСТ VPN — по запросу (от вендора, количества площадок, типа оборудования и т.д.), SEG — от количества писем в час, UTM — ширина канала, WAF — от количества RPS, по запросу | Количество пользователей (защита почты), RPS (WAF), QPS (Secure DNS), ширина канала (AnitDDoS), EPS (SIEM) | Не раскрывается | 1. Уровень и режим оказания услуги 2. Количество СЗИ и их тип (прикладное, сетевое) 3. Территориальная расположенность 4. Тип удаленного доступа |
Не раскрывается | 1. Количество СЗИ 2. Типы СЗИ 3. Количество площадок 4. Тип управления (SLA) 5. Режим управления (8х5, 24х7) |
| Тарифные планы | Не раскрывается | Не раскрывается | Не раскрывается | Не раскрывается | Не раскрывается | Не раскрывается |
| Минимальная стоимость оказания услуг SOC | Не раскрывается | от 141 000 руб./мес. | от 150 000 руб./мес. | Не раскрывается | Не раскрывается | Не раскрывается |
| Схема продаж услуги | Прямая, партнерская | Прямая, партнерская | Прямая, партнерская | Прямая | Прямая | Прямая, партнерская |
| Заявка на подключение | rt-solar.ru | BI.ZONE | izsoc.ru | angarapro.ru | csirt.jet.su | st-soc.ru |
Выводы
Как видно из расставленных акцентов в сравнении, понимание ключевых функций, которые должен выполнять коммерческий центр мониторинга информационной безопасности, сильно разнится. Во многом это по-прежнему объясняется уровнем зрелости рынка SOC в России, который отстает от общемировых тенденций. Однако появление серьезной конкуренции, которой не было еще 2-3 года назад, оказывает благоприятное влияние на общее качество услуги в стране. Так, всеми поставщиками SOC применяется актуальный стек технологий, в том числе еще не повсеместно распространенные Threat Hunting Platform (THP) и Network Traffic Analysis (NTA). Исключение здесь составляют автоматизация базы знаний для клиентов (используют 3 провайдера) и Endpoint Detection and Response (используют 3 провайдера). Отметим интересную статистику по персоналу рассмотренных SOC, компетенции и численность которых растут, а функции — грамотно распределяются между подразделениями.
Удовлетворяя совершенно разноплановые запросы клиентов, сервис-провайдеры вынуждены оказывать дополнительные услуги, фокусируясь не только на классической для SOC задаче мониторинга и оперативного реагирования на инциденты ИБ. Например, аутсорсинг эксплуатации клиентских средств защиты информации предлагают все без исключения поставщики. Кроме того, портфель каждого провайдера содержит широкий спектр сопутствующих сервисов, прямо не связанных с основной деятельностью SOC. К ним можно отнести управление уязвимостями, внутренние технические аудиты, compliance-проверки, Threat Hunting, инвентаризацию инфраструктуры клиента на периодической основе и другие. Интересно, что сильно разнится состав услуги по предоставлению средств защиты (актуальных в рамках SOC или близких к нему) в аренду: если FW, IDS, WAF, Sandbox или SIEM на таких условиях предлагают практически все поставщики, то Database Activity Monitor, Threat Intelligence Platform, Network Traffic Analysis, Vulnerability Management, IRP и даже DLP встречается у единиц.
Список сценариев реагирования исчисляется десятками, а перечень поддерживаемых систем для постановки на мониторинг — сотнями. Отметим, что доработка под нестандартный коннектор или создание нового правила корреляции занимает у всех поставщиков от нескольких часов до нескольких суток, что крайне оперативно. Порадовало, что в целом провайдеры готовы делиться разработанными индивидуальными объектами такого рода с клиентами, хоть и на особых условиях.
После анализа раздела «Управление инцидентами» должно стать очевидным то, почему мы начали с определения термина «инцидент» и отнесения его к различным типам. От этого очень сильно зависит трактовка всех остальных критериев, поэтому рекомендуем внимательно изучить эти нюансы. Так или иначе, все сервис-провайдеры заявляют гибкие сценарии по работе с инцидентами и ретроспективный анализ, а накапливаемый опыт отражается в индивидуальной «тонкой настройке» сервиса. Почти каждый предлагает и сопутствующую услугу — обратную разработку (reverse engineering) образцов вредоносного программного обеспечения.
У всех поставщиков есть возможность оказания технической поддержки 24х7, но конкретная сервисная программа может зависеть от тарифа. Оповещение об инцидентах и любое другое взаимодействие с заказчиком может быть налажено почти по любому современному каналу связи. Увы, но на самые интересные вопросы — касающиеся стоимости услуг SOC — прямой ответ смогли дать единицы. Даже несмотря на то, что критерии формирования ценовой политики в целом похожи, итоговая стоимость для заказчика определяется на основании многих факторов:
- количества подключаемых источников,
- объема поступающих данных,
- уровня технической поддержки,
- числа нестандартных коннекторов или сценариев (use-cases),
- количество и типы устройств (для сопутствующих сервисов: «управление средствами защиты» и «предоставление средств защиты в аренду»).
С учетом отечественного законодательства все без исключения рассматриваемые игроки обязаны работать в правовом поле и имеют соответствующие лицензии регуляторов, основная из которых — ФСТЭК ТЗКИ с пунктом «в». А вот подтверждений качества со стороны внешних сертификаций по ИБ — немного, но видно, что провайдеры активно движутся в этом направлении. Сроки подключения услуги вполне разумны и составляют в среднем 1 месяц, с возможностью предварительного тест-драйва. Личный кабинет специально под сервис разработан еще не всеми, но даже в его отсутствие есть возможность попасть в собственную консоль SIEM или IRP, ограниченную правами конкретного клиента. При необходимости организация канала VPN согласно алгоритмам по ГОСТу также не является проблемой.
Отдельно стоит упомянуть услуги центра ГосСОПКА. При всем существующем ажиотаже вокруг темы критической информационной инфраструктуры в целом, далеко не каждый провайдер готов похвастаться большим количеством клиентов, по факту их — единицы. Кроме того, на момент написания сравнения некоторые SOC еще не успели заключить официальное соглашение с НКЦКИ. Однако инфраструктура, отвечающая требования регулятора, построена у всех рассматриваемых поставщиков услуги. Она позволяет работать с компьютерными атаками и наладить необходимое взаимодействие с НКЦКИ.
 Алексей Юдин, директор центра мониторинга ISOC:
При выборе провайдера для реализации проекта по SOC необходимо проводить всеобъемлющую оценку поставщика: от определения возможностей предполагаемого стека технологий и декларируемого уровня сервисного обслуживания (SLA) до профессионализма команды и внутренних стандартов компании. Так, например, если заказчиком планируется обработка огромного количества информации из различных источников, рекомендуется сделать выбор в пользу провайдера, решение которого предполагает использование технологий Big Data для моментальной обработки инцидентов, а также узнать об уже разработанных коннекторах для подключения к системам. Дополнительно, на этапе проведения пилотных проектов, стоит убедиться, что подрядчик способен проводить экспертизу и расследовать инциденты, а не просто их детектировать – это позволит оптимизировать работы по реагированию и минимизировать последствия инцидента. Кроме того, рекомендуется соотнести ваши потребности с опытом провайдера: уточнить есть ли у компании опыт реализации аналогичных или больших по масштабам проектов, а также организовать референс-визиты к существующим заказчикам. Так, например, Softline имеет опыт построения одного из крупнейших SOC в банковском секторе России, с численностью более 35 000 рабочих станций и региональной распределенностью по всей стране. Вы можете посетить наш офис ISOC или организовать референс-визит к нашим заказчикам, чтобы на деле увидеть, как работает SOC: посмотреть изнутри на процессы реагирования и получить консультацию по построению SOC от экспертов. Если вы заполните заявку на референс-визит до 28 февраля 2021, то получите специальный подарок. |
