На основании набора из 190 критериев сопоставлены сервисы по обнаружению угроз информационной безопасности, реагированию на них и расследованию киберинцидентов (Managed Detection and Response - MDR), предлагаемые российскими производителями средств защиты. В сравнении участвуют Group-IB Managed Detection and Response Services, Kaspersky Managed Detection and Response и Positive Technologies Expert Security Center. Приведённые данные помогут заказчикам сориентироваться в различиях вендорских услуг MDR и коммерческих SOC, выбрав наиболее подходящий вариант.
- Введение
- Методология сравнения сервисов Managed Detection and Response
- Сравнение сервисов Managed Detection and Response
- 3.1. Общие сведения
- 3.2. Тестовый период
- 3.3. Личный кабинет (клиентский портал)
- 3.4. Основные сервисы вендорского MDR
- 3.5. Дополнительные вендорские сервисы
- 3.6. Детектирующие технологии (Detect)
- 3.7. Технологии реагирования (Response)
- 3.8. Технологии расследования (Investigation)
- 3.9. Интеграция со сторонними решениями
- 3.10. Особенности подключения сервиса вендорского MDR
- 3.11. Программы обучения специалистов заказчика
- 3.12. Персонал вендорского MDR
- 3.13. Гарантии качества (SLA)
- 3.14. Система оповещения и отчётность (для детектирования, анализа и реагирования)
- 3.15. Режим работы и техническая поддержка
- 3.16. Ценовая политика
- Выводы
Введение
В третьей части сравнения сервисов, так или иначе связанных с реагированием на угрозы безопасности и расследованием киберинцидентов в России, мы частично отошли в сторону от SOC. Изучению подверглись крупные вендоры, логичным развитием бизнеса для которых стало предоставление сервиса Managed Detection and Response (обнаружение киберугроз и реагирование на них; далее мы будем использовать аббревиатуру MDR). Отличительной чертой здесь является нативная интеграция с линейкой своих продуктов при необязательности требования подключать сторонние. Такие вендорские сервисы являются реальной альтернативой услугам коммерческих SOC и часто воспринимаются на рынке как конкурентные предложения.
При подготовке материала мы изначально рассчитывали включить в сравнение не только отечественных сервис-провайдеров, но и зарубежных (Cisco, Symantec, Trend Micro). Однако в процессе плотного общения с вендорами оказалось, что иностранцы если и готовы оказывать услуги коммерческого SOC (и тем более — MDR) в России, то крайне ограниченному кругу заказчиков. Это связано с рядом сложностей. Во-первых, для оказания услуг по мониторингу инцидентов нужна лицензия ФСТЭК России на ТЗКИ (деятельность по технической защите информации), оформленная на российское юридическое лицо. Во-вторых, центр мониторинга и реагирования должен располагаться на территории Российской Федерации, а также быть аттестованным и иметь в своём составе сертифицированные средства защиты информации. В итоге предоставление услуг SOC или MDR зарубежными компаниями в России выглядит малореалистичным, особенно если учитывать ещё и сложившуюся геополитическую обстановку.
Большинство вендорских сервисов MDR развивалось на базе собственных технологий и решений, благодаря чему достигается естественная синергия. Централизованная система управления (а иногда — и отдельные продукты) выносится в облако поставщика, а клиенту предоставляется интерфейс для мониторинга ситуации или управления. Как правило, производители в данном случае готовы брать на себя рутину администрирования конкретных средств защиты, предлагая клиенту ориентироваться на контрольные панели (дашборды) или вовсе предоставляя периодические отчёты. Такой подход имеет свои преимущества. Во-первых, вендор наиболее компетентен в применении собственных решений, поэтому готов отвечать за сервисы на их базе. Во-вторых, это позволяет не распылять усилия и не гнаться за интеграцией всего «зоопарка» продуктов ИБ, чтобы удовлетворить потребности клиентов в подключении «очередной сотни» источников событий. В-третьих, наличие у разработчика услуг по обеспечению кибербезопасности на базе собственных решений говорит о его зрелости на рынке. В его портфеле обязательно присутствует хотя бы один сложный комплексный продукт (как правило, решение класса anti-APT). Кроме того, он может себе позволить растить и поддерживать сервисные компетенции, что формирует определённый уровень доверия и к продуктам, и к услугам. Таким образом, основное отличие от SOC здесь состоит в концентрации на глубине и инструментах исследования угрозы, а не на широте работы с большим количеством инцидентов.
Чтобы сфокусировать внимание читателей на сервисах и их содержании, мы предлагаем в данном случае не относить компании-производители исключительно к одной категории: SOC, MSSP, CERT, CSIRT и прочим. С учётом этой оговорки будем использовать выражение «услуги MDR от производителей средств защиты» (или сокращение «вендорский MDR») как наиболее подходящее по смыслу.
Ключевые отличия сервисов Managed Detection and Response:
- как правило, обязательное применение собственных продуктов;
- активное использование проактивного обнаружения угроз (Threat Hunting);
- собственная киберразведка (Threat Intelligence, пополняемая база знаний об угрозах);
- активное реагирование на инциденты безопасности (как правило, с помощью собственных решений);
- использование специфических типов событий для детектирования атак;
- требование анализа телеметрии с сети и конечной точки;
- глубокие и редкие знания специалистов (часто — разработчиков) в весьма нишевых областях.
Методология сравнения сервисов Managed Detection and Response
При разработке методологии сравнения мы исходили из реальной практики оказания услуг вендорского MDR отечественными поставщиками. Относительно предыдущих сравнений услуг коммерческих SOC (часть 1 и часть 2) набор критериев был существенно переработан. Это позволило учесть специфику и сфокусироваться на отличительных особенностях вендорских сервисов. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые сервисы могут серьёзно различаться даже на этом уровне. Следуя данному принципу, мы сформировали набор из 190 критериев, сравнение по которому упростит выбор поставщиков. К некоторым из критериев были добавлены пояснения.
Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Тестовый период
- Личный кабинет (клиентский портал)
- Основные сервисы
- Дополнительные сервисы
- Детектирующие технологии
- Технологии реагирования
- Технологии расследования
- Интеграция со сторонними решениями
- Особенности подключения
- Программы обучения специалистов заказчика
- Персонал
- Гарантии качества (SLA)
- Система оповещения и отчётности
- Режим работы и техническая поддержка
- Ценовая политика
Для участия в сравнении мы отобрали три наиболее известных в России сервиса MDR, предоставляемых российскими разработчиками средств защиты:
- Group-IB Managed Detection and Response Services;
- Kaspersky Managed Detection and Response;
- Positive Technologies Expert Security Center.
Опасения относительно зарубежных вендоров были отражены во введении. Некоторые из иностранных провайдеров, увы, сразу же отказались от участия в сравнении, другие — высказали свои сомнения по поводу его целесообразности.
Все перечисленные выше поставщики активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведённом сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение сервисов Managed Detection and Response
Общие сведения
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Компания-вендор | ООО «ГРУППА АЙБИ СЕРВИС» | АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» | АО «ПОЗИТИВ ТЕКНОЛОДЖИЗ» |
| Целевой сегмент | Средний, крупный бизнес, государственный сектор | Средние и крупные организации (более 500 рабочих мест) | Крупный бизнес, государственный сектор |
| Штаб-квартира | Сингапур, Сингапур | Россия, Москва | Россия, Москва |
| Офисы присутствия команд специалистов | Москва, Сингапур, Лондон, Бахрейн | Москва | Москва, Санкт-Петербург, Самара, Томск, Нижний Новгород |
| Физическое расположение ЦОДов | Санкт-Петербург, Сингапур, Бахрейн | Москва, Дублин, Берн | Москва |
| Охват часовых поясов | GMT+2 — GMT+12 | 24x7 | GMT+2 — GMT+12 |
| Количество клиентов (по данным поставщика) | Более 200 | Более 300 | Более 30 |
| География активных клиентов | Более 60 стран мира, включая Россию, СНГ, Европу, Ближний Восток, Азию, Африку, Латинскую Америку | Россия, Италия, Франция, Германия, Чехия, Индия, ОАЭ, США | Россия |
| Крупнейшие публичные клиенты | Не раскрывается | РТИ Donau Chemie CyberGuard (OGL) |
FIFA Олимпиада в Сочи |
| Веб-сайт | group-ib.com | kaspersky.com | ptsecurity.com |
| Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в») | Да | Нет | Да |
| Сертификаты на услугу | SOC включён в область оценки по ГОСТ/ISO 9001 «Система менеджмента качества» (в процессе получения, ожидаемая дата — 2020 год) | Нет | Нет |
| Наличие сертификатов на внутренние процессы и безопасность самого провайдера | SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» (в процессе получения, ожидаемая дата — 2020 год) | Service and Organization Controls 2 (SOC 2); SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» | Нет |
| Сроки подключения услуги | 1 день | 1 день | 1 день |
| Языки интерфейса клиентского портала | Русский, английский | Русский, английский | Русский, английский |
| Возможность клиентского визита к поставщику | Да | Нет | Да |
| Срок существования услуги на рынке | 5 лет | 4 года | 5 лет |
| Оказание услуги в сегментах АСУ ТП | Да | Да | Да |
| Наличие соглашений об информационном обмене с другими провайдерами: MDR, SOC, CERT, CSIRT | Более 10 прямых соглашений (например, с Интерполом, Европолом, FIRST, Trusted Introducer, OIC-CERT) и около 40 CERT, с которыми идёт обмен данными об угрозах | ФинЦЕРТ ЦБ РФ; весь список участников GReAT; весь список участников AMR | 5 соглашений, в том числе — с НКЦКИ, ФинЦЕРТ |
| Результаты независимого тестирования сервисов | Нет | Тест MITRE | Нет |
| Сертификаты ФСТЭК, ФСБ на собственные продукты, задействованные в процессе оказания услуги | Group-IB TDS — ФСТЭК, ИТ.СОВ.С4.ПЗ; OAЦ при Президенте Республики Беларусь, №BY/112 02 01 | Kaspersky Anti Targeted Attack — ФСТЭК, РД НДВ4, ЗБ; Kaspersky Endpoint Security — ФСТЭК, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗ | MaxPatrol 8 — ФСТЭК, НДВ4; MaxPatrol SIEM — ФСТЭК, НДВ4; PT Application Firewall — ФСТЭК, профиль защиты МЭ типа «Г» 4 класса; PT Network Attack Discovery — ФСТЭК, требования к СОВ уровня сети 4 класса защиты, ИТ.СОВ.С4.П3; PT Industrial Security Incident Manager — ФСТЭК, НДВ4 |
Тестовый период
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Тестовый период | От 2 недель | От 1 до 3 месяцев | Нет |
| Ограничения по функциональности и набору поставляемых решений | Без ограничений | Ограничений по функциональности на тестовый период нет | Нет тестового периода |
| Количество дней (средний пилот) | До 6 недель | От 1 до 3 месяцев | Нет тестового периода |
| Возможность получить примеры отчётов до покупки | Да | Да | Нет тестового периода |
Личный кабинет (клиентский портал)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Личный кабинет для самостоятельного мониторинга обстановки | Да, бесплатно | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Предоставление доступа к личному кабинету | Да, бесплатно | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Возможность самостоятельного управления базовыми параметрами услуги в личном кабинете | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельное заведение новых источников, официально поддерживаемых поставщиком | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Самостоятельное создание контрольных панелей (дашбордов) | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельная регистрация инцидентов | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Конструктор и выгрузка отчётов | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Возможность тонкой настройки | Да, предоставляется возможность настройки дополнительных сигнатур, аналитических дашбордов с персонализированными срезами под конкретного клиента, а также поисковых запросов | Нет, будет доступен 1 июля 2020 г. | Нет |
| Ролевая модель доступа | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Возможность доменной авторизации (домен клиента) | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельный поиск по инцидентам | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Наличие REST API | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
Основные сервисы вендорского MDR
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Бизнес-отчёты о ситуации в киберпространстве для руководства | Да | Да, продаётся отдельно | Да |
| Аналитические отчёты о целевых (APT) атаках | Да | Да, продаётся отдельно | Да |
| Мониторинг ботнет-угроз | Да | Да | Да |
| Мониторинг фишинговых угроз | Да | Да | Да |
| Мониторинг публичных утечек данных | Да | Да | Да |
| Мониторинг открытых источников, социальных сетей, участие в сообществе | Да | Да | Да |
| Мониторинг теневых площадок и форумов | Да | Да | Да |
| Мониторинг интернета на уровне провайдеров (ISP) | Да | Да | Нет |
| Сбор данных с собственной распределённой по интернету системы ловушек (honeypots) | Да | Да | Да |
| Ретроспективный (индивидуализированный) анализ событий ИБ | Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента | Да, в зависимости от тарифа: MDR Optimum — анализ событий за заданный промежуток времени проводится с использованием артефактов и образцов вендора; MDR Expert — клиент может предоставить свои образцы | Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента для выявления возможных пропущенных инцидентов |
| Периодические индивидуализированные отчёты для целевого детектирования потенциальных атак | Да, по согласованию с заказчиком | Только по запросу | Да, по запросу |
| Предоставление потоков данных об угрозах (feeds) | Да | Да | Да |
| Предоставление репутационных данных (reputation feeds) | Да | Да | Да |
| Платформа для самостоятельного исследования индикаторов угроз | Да | Да, продаётся отдельно | Да |
| Специализированный непрерывный сервис обнаружения целевых атак | Да | Да | Да |
| Глубокий анализ атаки снаружи: атрибуция, предметная область, классификация | Да: источник (география, мотивация, атрибуция до преступной группы, целевой объект); цель (география, отрасль, целевая ИС); угроза (инструменты, способы распространения, риски, категория); описание атаки; индикаторы; рекомендации | Да, предоставляется анализ используемых тактик и методов, включая анализ вредоносных программ, эксплойтов, CnC, целей злоумышленников и их атрибуции | Да: атрибуция, классификация, предметная область |
| Глубокий анализ атаки внутри: возникновение и распространение в инфраструктуре, хронология | Да, предоставляется полное описание атаки (насколько это возможно, в зависимости от количества собранных данных) с временными метками событий, полученными по результатам анализа. Тактики и техники атакующих расписываются в соответствии с матрицей MITRE ATT&CK | Да, предоставляется отдельной услугой или в пакете с MDR | Да: хронология инцидента, перечень затронутых активов, экспертная оценка значимости, артефакты. Оценка цели злоумышленника. Долгосрочный и краткосрочный план реагирования |
| Выявление затронутых активов и оценка ущерба | Да | Да | Да |
| Экспертная поддержка при реагировании на атаку: удалённо | Да: 24х7, время реакции от 3 часов | Да, с понедельника по пятницу с 10:00 до 18:30 (GMT+1) | Да, в двух форматах в зависимости от тарифа: 24х7 или 8х5 |
| Экспертная поддержка при реагировании на атаку: выезд | Да: по согласованию с клиентом, время реакции от 3 часов | Да, 24х7 | Да, на следующий рабочий день |
| Рекомендации по оперативному восстановлению после атаки | Да, отчёт с рекомендациями | Да: автоматизированный сценарий (playbook); инструкции в виде набора необходимых действий; сервис Incident Response Retainer | Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента |
| Ретроспективный анализ атаки, разработка плана корректировки механизмов защиты | Да, отчёт с рекомендациями | Да, ретроспективный анализ (зависит от глубины хранения телеметрии, по умолчанию — 3 месяца). Разработка плана корректировки механизмов защиты — отдельный консалтинговый проект | Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента |
Дополнительные вендорские сервисы
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Управление уязвимостями | Нет | Нет | Да |
| Внутренние технические аудиты ИБ | Да | Отдельный сервис | Да |
| Compliance-проверки (по контрольным спискам) | Да | Нет | Да |
| Тесты на проникновение (pentest, Red Teaming) | Да, полный набор | Да, полный набор | Да, полный набор |
| Управление уровнем защищённости | Нет | Да | Да |
| Выявление и полное расследование мошенничества и атак (форензика) | Да | Да | Да |
| Криминалистический анализ, фиксация, документальное оформление | Да | Да | Да |
| Юридическое сопровождение расследования | Да | Нет | Нет |
| Защита бренда | Да | Другая услуга | Нет |
| Киберразведка, OSINT (с отчётами) | Да | Да, продаётся отдельно | Да |
| Threat Hunting | Да: Endpoint, Network | Да: Endpoint, Network | Да: Endpoint, Network |
| Разработка и адаптация индивидуальных сценариев (playbook) по реагированию | Да | Да, на тарифном плане MDR Expert | Да |
| Анализ защищённости мобильных приложений | Да | Отдельная услуга | Да |
| Анализ безопасности кода приложений | Да | Да | Да |
| Аудит безопасности аппаратных решений | Да | Отдельная услуга | Да |
| Анализ защищённости банкоматов и POS-терминалов | Да | Отдельная услуга | Да |
| Анализ защищённости промышленных технологий (АСУ ТП) | Да | Отдельная услуга | Да |
| Анализ защищённости телеком-систем | Да | Да | Да |
| Защита блокчейн-проектов и ICO | Да | Да | Да |
Детектирующие технологии (Detect)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Мониторинг сети (сенсоры) | TDS Sensor, Network Research & Protection | Kaspersky Anti Targeted Attack | PT Network Attack Discovery, PT Industrial Security Incident Manager |
| Мониторинг рабочих мест (EPP / EDR) | TDS Huntpoint, Behaviour Inspection & Host Forensics | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | Нет, отдельные элементы на базе MaxPatrol SIEM и Sysmon |
| Мониторинг почтового трафика | TDS Sensor, Network Research & Protection | KATA (в сети), KES (на конечной точке) | MultiScanner |
| Мониторинг веб-трафика | TDS Sensor, Network Research & Protection | KATA (в сети), KES (на конечной точке) | PT Application Firewall |
| Выявление артефактов потенциального инцидента | IP-адреса и домены командных центров атакующих; контрольные суммы вредоносных файлов в форматах MD5, SHA1, SHA256; маркеры поведенческого анализа вредоносных объектов; рекомендации по реагированию на выявленные угрозы | Полный отчёт об атаке или об исследовании | Все возможные артефакты |
| Сигнатурный анализ: файлы | TDS Polygon, Malware Detonation & Research | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | MultiScanner |
| Сигнатурный анализ: сетевой трафик | TDS Sensor, Network Research & Protection | Kaspersky Anti Targeted Attack | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Поиск по шаблонам вредоносных программ | TDS Polygon, Malware Detonation & Research | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response, Kaspersky Anti Targeted Attack | MultiScanner |
| Песочница (Sandbox) | TDS Polygon, Malware Detonation & Research | Kaspersky Research Sandbox, Kaspersky Anti Targeted Attack | PT Sandbox |
| Потоки данных (feeds) Threat Intelligence | Group-IB Threat Intelligence | Kaspersky Threat Data Feeds | PT Knowledge Base |
| Поиск аномалий в легитимном поведении | TDS Huntbox | Adaptive Anomaly Control, встроенный в Kaspersky Endpoint Security, и на базе собственной разработки | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Threat Intelligence Platform (TIP) | Собственная разработка | Kaspersky CyberTrace | PT Cybersecurity Intelligence |
| Threat Hunting Platform (THP) | TDS Huntbox | Собственная разработка | PT Network Attack Discovery |
| NTA / NFR (Network Traffic Analysis / Network Forensics) | TDS Sensor | Kaspersky Anti Targeted Attack | PT Network Attack Discovery |
| UEBA (User and Entity Behavior Analysis) | Нет | Нет | Нет |
| Корреляция событий, полученных из средств детектирования | TDS Huntbox | Собственная разработка | MaxPatrol SIEM |
| Технологии, доступные локально | TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint | KES и KATA | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, PT Sandbox, MultiScanner |
Технологии реагирования (Response)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Активная защита рабочих мест (EPP / EDR) | TDS Huntpoint | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | Нет |
| Блокировка угроз в почтовом трафике | TDS Sensor + TDS Polygon | Есть, KES и KATA | MultiScanner |
| Блокировка угроз в веб-трафике | Нет | Есть, KES и KATA | PT Application Firewall |
| Сетевые блокировки (FW / NGFW) | Нет | Нет | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Блокировка вторжений (IPS) | Нет | Нет | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Генерация правил реагирования в стандартизированных форматах | YARA-правила или пользовательские сигнатуры | Нет | Нет |
| Возможность самостоятельного написания правил реагирования | Нет | Kaspersky EDR Optimum и Expert | Нет |
| SIEM-система | Нет | Собственная разработка | MaxPatrol SIEM |
| Реакция на атаку: немедленное уведомление по всем согласованным каналам | Да | Да | Да |
| Реакция на атаку (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласования | Да, по предварительному согласованию охвата (scope) | Да, только на заранее согласованные с заказчиком типы инцидентов | Да, по предварительному согласованию охвата (scope) |
| Реакция на атаку: немедленное принятие мер на стороне клиента (если применимо) | Да | Да | Да |
| Разработка сквозных сценариев реагирования между поставщиком и клиентом | Да | Да | Да |
| Удалённое реагирование (воздействие на инфраструктуру заказчика) силами поставщика | Да | Да | Да |
| Технологии, доступные локально | TDS Polygon, TDS Sensor, TDS Huntpoint | KES и KATA | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, MultiScanner |
Технологии расследования (Investigation)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Инструменты расследования в режиме реального времени, доступные клиенту | Графовый анализ процессов заражения рабочей станции (TDS Huntpoint), графовый анализ инфраструктуры атакующего (TDS Huntbox), события ИБ с полным контекстом атаки | Kaspersky EDR Optimum и Expert, портал Kaspersky MDR | MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner |
| Визуализация распространения атаки: графы, карты | Да | Да | Да |
| Инструменты для ретроспективного расследования по всей собранной ранее базе артефактов | Да | Да | Да |
| Прослеживаемый путь движения инцидента в системе (workflow) | Да | Да | Да |
| Возможность менять значимость со стороны клиента | Да | Нет | Да |
| Возможность помечать ложные срабатывания (false positive) | Да | Да | Да |
| Сохранение мгновенного состояния расследования в «сыром» виде (snapshot) | Да | Да | Да |
| Доступ к базе знаний (для использования клиентами) | Да | Да | Да |
| Формальное документирование процесса анализа (casebook) | Да | Нет | Да |
| Накопление и анализ статистики по атакам, изменение на её основе параметров услуги | Да | Да | Да |
| Категорирование атак согласно матрице MITRE ATT&CK | Да | Да | Да |
| Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагирования | Да | Да | Да |
| Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагирования | Да | Нет | Да |
| Технологии, доступные локально | TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint | В рамках сервиса Incident Response Retainer | MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner |
Интеграция со сторонними решениями
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Интеграция с Threat Intelligence, возможность импорта и экспорта IoC | Да: STIX, TAXII, API | Да, в рамках сервиса команда может использовать любые данные MRTI | Да |
| FW / NGFW (Firewall / Next Generation Firewall) | Да, выгрузка IOC на сторонние FW и NGFW с применением RestAPI | Нет | Нет |
| IDS / IPS (Intrusion Detection System / Intrusion Prevention System) | Нет | Нет | Нет |
| Endpoint (антивирус, HIDS, EDR) | Нет | Нет | Нет |
| DLP (Data Leak Prevention) | Нет | Нет | Нет |
| WAF (Web Application Firewall) | Нет | Нет | Нет |
| SIEM / LM (Security Information and Event Management / Log Management) | Да | Нет | Да, события в SIEM |
| IRP / SOAR (Incident Response Platform / Security Orchestration and Reaction) | Да | Нет | Нет |
| DBF / DAM (Database Firewall / Activity Monitor) | Нет | Нет | Нет |
| TIP (Threat Intelligence Platform) | Да | Нет | Нет |
| VM / VA (Vulnerability Management / Assessment) | Нет | Нет | Нет |
| Песочница (SandBox) | Нет | Нет | Нет |
| NTA (Network Traffic Analysis) | Да: извлечение и пересылка файлов в Polygon, отправление расшифрованного трафика с TDS Decryptor в NTA | Нет | Нет |
| Интеграция с защитными решениями для облаков | Да, интеграция с облачными файловыми и почтовыми серверами | Нет | Нет |
| Интеграция с защитными решениями для мобильных устройств | Нет Запланировано на 2020 г. |
Нет | Нет |
| Интеграция с популярными системами запросов (Service Desk) | Да | Нет | Да |
| Предоставление API для интеграции со сторонними системами | Да | Нет | Да |
Особенности подключения сервиса вендорского MDR
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Способы подключения площадок клиента | На площадке клиента, облачный, гибридный | На площадке клиента | На площадке клиента |
| Возможность разворачивания необходимых решений в виртуальной среде | Да, все популярные среды | Нет | Да: виртуализация VMware, Kernel-based Virtual Machine |
| Подключение нестандартных (сторонних) источников | Нет | Нет | Да, от 1 недели |
| Разработка правил корреляции и правил реагирования для клиента | Создание правила корреляции — от 1 суток; создание правила реагирования — по запросу | Создание правила корреляции — не более 1 дня; создание правил реагирования и фильтров — в постоянном режиме для клиента | Создание правила корреляции или правила реагирования — от 1 дня |
| Возможность выбора сценариев мониторинга | Нет | 24х7 или 8х5 | Да |
| Предоставление клиенту оборудования для разворачивания необходимых решений | Да, платно | Нет | Да, входит в стоимость услуги |
| Возможность локального хранения и обработки клиентских данных | Да | Да, в рамках Kaspersky EDR Optimum и Expert | Да |
| Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Не предъявляются | Требуется установка Kaspersky Endpoint Security for Business | Не предъявляются |
| Минимальная ширина канала | 10 Мбит/с | С одного хоста — не больше 5 МБ телеметрии в день | Требования отсутствуют |
| Необходимость приобретения решений | TDS Sensor | Kaspersky Endpoint Security for Business и / или Kaspersky Endpoint Detection and Response и / или Kaspersky Anti Targeted Attack | Нет |
| Обеспечение конфиденциальности клиентских данных, передаваемых поставщику | Да, шифрование SSL/TLS | Да: физическая безопасность, логический контроль доступа, шифрование каналов при передаче, взаимная аутентификация, регулярный анализ защищённости | Да: шифрование, ограничение доступа, локальное хранение данных у клиента |
Программы обучения специалистов заказчика
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Цифровая криминалистика | Да | Да | Да |
| Анализ вредоносных программ и обратная разработка (reverse engineering) | Да | Да | Да |
| Реагирование на инциденты | Да | Да | Да |
| Написание комплексных правил | Да | Да | Да |
| Анализ инцидентов | Да | Да | Да |
| Проактивный поиск угроз (Threat Hunting) | Да | Да | Да |
| Аналитика SOC | Да | Нет | Да |
| Администрирование собственных продуктов | Да | Да | Да |
| Иные | Полный список курсов group-ib.ru |
Полный список курсов support.kaspersky.ru |
Киберучения The Standoff |
Персонал вендорского MDR
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Подтверждённый опыт команды аналитиков | Сертификаты SSCP, CISSP, CISA, OSCP, CEH, CWSP, GCFA, GIAC Reverse Engineering Malware, GIAC Cyber Threat Intelligence — GCTI и др. | Сертификаты Offensive Security, EC-Council, SANS, ISACA, ISC2 у аналитиков и руководства SOC, у группы реагирования на инциденты | Сертификаты SANS, ISACA, ISC2, Offensive Security и др. |
| Численность персонала, суммарно и по каждой линии (L1, L2, L3) | Суммарно: 100 чел. L1 — 26 L2 — 24 L3 — 28 L4 — 22 |
27 чел. Динамически масштабируемая команда SOC. На текущем уровне развития в среднем — 20 000 EPP на одного аналитика, в перспективе — до 100 000 EPP на одного аналитика (достигается автоматизацией работы и применением машинного обучения) |
Суммарно: 39 чел. L1 — 7 L2 — 10 L3 — 22 |
| Экспертиза и задачи L1 (1-й линии) | Базовая обработка и анализ инцидентов, фильтрация ложных срабатываний, обработка входящих запросов, подготовка отчёта по инциденту, эскалация на L2 | Автоматика (обогащение, разметка, автоаналитика — машинное обучение) | Экспертная валидация и классификация запроса, решение 95% типовых инцидентов |
| Процедура предварительного обследования и анализа рисков клиентов | Да, в соответствии с собственной методикой | Да: при подключении клиента тратится 2-4 недели на период адаптации. В это время отлаживаются клиентские фильтры, вместе с клиентом на основе выявленных инцидентов определяется, что легитимно, а что — нет | Да |
| Выделение технического куратора услуги для заказчика (аналитика) | Да | Да, два ответственных аналитика | Да |
| Выделение организационного куратора услуги для заказчика (сервис-менеджера) | Да | Да | Да |
| Кадровая динамика за последние три года | Ежегодный рост численности специалистов на 50 % | Март 2016 г. — 2 человека, март 2020 г. — 27 человек. Есть политика динамического увеличения операционной части SOC в зависимости от объёма клиентской базы | С 2017 года — пятикратный рост |
| Кадровая политика | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества (Курс кибербойца СЕRТ-GIB) для новых специалистов и стажёров | Со стороны SOC есть стандартный процесс включения в работу (on-boarding), требования к квалификации. Соответствующего по квалификации кандидата можно подготовить в среднем за 2-4 месяца | Работа с ключевыми вузами, обучение, стажировки |
Гарантии качества (SLA)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Максимальное гарантируемое число обработки событий в секунду (EPS) от одного клиента, исходя из реальной практики | Неприменимо, в технологическом стеке отсутствует SIEM | EPS — динамическая характеристика, изменяющаяся в зависимости от объёма клиентской базы. На данный момент в мониторинге — 200 000 EPP, до конца года — до 500 000, соответственно возрастёт и EPS | Не замерялось |
| Уровень гарантируемого времени обнаружения и реакции на атаку (detection-to-mitigation) | 99% | Не замерялось | Не замерялось |
| Выявление атак, периодичность | 24х7 | 24х7 | По договорённости |
| Время выдачи рекомендаций (отчёта) по следам атаки | От 1 часа | От 2 часов до 1 дня | От 4 часов (немедленные рекомендации) до 24 часов (полный разбор) |
| Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им) | Не раскрывается | Не замерялось | 0% |
Система оповещения и отчётность (для детектирования, анализа и реагирования)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Отправка отчётов на почту | Да, периодичность обсуждается с заказчиком | Да: карточка инцидента, еженедельная отчётность | Да, по согласованию с клиентом |
| Телефонный звонок при инцидентах | Да, по согласованию с клиентом | Да, по договорённости с заказчиком | Да, по договорённости |
| Оповещение по SMS и в мессенджерах | Да | Да | Да |
| Возможность получения «отчётов для руководства», написанных вручную | Да, периодичность обсуждается с заказчиком | Только в рамках отдельного сервиса | Да |
Режим работы и техническая поддержка
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Возможность выбора режимов работы | Всегда 24х7 | Всегда 24х7 | Да, можно установить любой режим по договорённости |
| Дежурная смена мониторинга и реагирования на инциденты 24х7 | Да | Да | Да |
| Техническая поддержка 24х7 по телефону | Да | Нет | Да |
| Чат технической поддержки (онлайн-помощник) | Нет | Да, на тарифном плане MDR Expert | Да |
| Техническая поддержка в мессенджерах (Skype, Telegram и др.) | Да: Telegram, WhatsApp, Skype | Да, Telegram | Да, любые необходимые по согласованию с заказчиком |
| Возможность выезда на площадку заказчика | Да | Да, в случае если клиент запрашивает реагирование на инцидент силами «Лаборатории Касперского». Услуга опциональна и тарифицируется отдельно | Да, по запросу клиента |
Ценовая политика
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Описание политики формирования стоимости, исследования | Не раскрывается | Стоимость зависит от количества узлов в мониторинге, а также от уровня сервиса — MDR Optimum или MDR Expert. В рамках MDR Expert клиент получает доступ к SOC-аналитику «Лаборатории Касперского», возможность хранить «сырые» данные в течение большего количества времени, возможность формировать индивидуализированные сценарии (playbooks), API для выгрузки данных, а также доступ к выделенным функциям Kaspersky Threat Intelligence Portal. Сложные случаи могут потребовать непосредственного вовлечения команды по реагированию. Если клиент хочет привлечь команду «Лаборатории Касперского», то её работа тарифицируется исходя из количества потребовавшихся на реагирование рабочих часов. | Исходя из набора услуг и коэффициента сложности клиента определяется количество требуемых человекочасов для оказания запрошенных услуг |
| Описание политики формирования стоимости, детектирование и реагирование | Не раскрывается | ||
| Описание политики формирования стоимости, восстановление | Не раскрывается | ||
| Тарифные планы | Не раскрывается | MDR Optimum и MDR Expert | Не раскрывается |
| Минимальная стоимость оказания услуг вендорского MDR | Не раскрывается | Не раскрывается | Формируется исходя из набора услуг и требуемых человекочасов |
| Схема продаж услуги | Смешанная | Партнёрская | Прямая, партнёрская, смешанная |
| Заявка на подключение | group-ib.ru | kaspersky.com | ptsecurity.com |
Выводы
Услуги мониторинга, реагирования на угрозы и расследования киберинцидентов в России набирают популярность. Этот факт подтверждается ростом количества клиентов не только коммерческих сервисов SOC, но и услуг Managed Detection and Response от производителей средств защиты, что порождает всё больше публичных историй успеха, в том числе — и с зарубежными заказчиками. Кроме того, заявленное время подключения услуги у всех поставщиков составляет считаные дни (у SOC, как правило, соответствующая операция осуществляется в течение месяца), что является не только поводом для гордости, но и индикатором серьёзного уровня зрелости отечественных вендоров. Однако далеко не все из них готовы предоставлять тестовый период или приглашать на клиентский визит. В отличие от SOC, где личный кабинет и определённая самостоятельность клиента являются ключевыми «фишками», не все вендорские MDR имеют общую консоль сервиса, отдавая управление конкретным средствам защиты.
Одно из самых «вкусных» преимуществ сервисов MDR от производителей средств защиты кроется в наборе сервисов. Всесторонний мониторинг киберпространства, максимальное количество знаний об угрозах и вредоносных объектах, техниках и тактиках атакующих, хакерских группировках — всё это имеется в различных вариациях в арсенале каждого участника сравнения. Полезным является также предоставление клиенту кратких и подробных отчётов, в том числе — бизнес-сводок для высшего руководства. Накопленные вендорами компетенции позволяют помимо классических пентестов и аудитов предлагать также нетривиальные услуги, такие как анализ надёжности кода приложений, аудит безопасности аппаратных решений, проверка защищённости банкоматов и POS-терминалов, промышленных технологий (АСУ ТП) и телеком-систем, защита блокчейн-проектов и ICO. Отдельные поставщики помогают и с задачами смежного профиля, вроде юридического сопровождения расследований, защиты бренда или управления уязвимостями у клиента. Кроме того, уникальными могут оказаться специализированные обучающие курсы по редким и важным темам: цифровая криминалистика, анализ вредоносных программ и обратная разработка (Reverse Engineering), реагирование на инциденты, написание комплексных правил, анализ инцидентов, проактивный поиск угроз (Threat Hunting), аналитика SOC и другие. Все представленные вендоры имеют собственные тренировочные центры.
В силу специфики того или иного поставщика в его портфеле могут отсутствовать некоторые классы решений, такие как EPP, UEBA, WAF, FW, IDS. Однако собственных технологий вендорского MDR, как правило, хватает для качественного детектирования угроз и реагирования на атаки, а «родная» интеграция позволяет максимально эффективно выполнять поставленные клиентом задачи. Отдельно стоит упомянуть SIEM-системы, которые в ряде случаев не представлены самостоятельными продуктами, но всё равно так или иначе являются неотъемлемой частью всех услуг вендорского MDR, пусть и в качестве собственных внутренних разработок. Технологии расследования инцидентов широко и качественно представлены всеми поставщиками. Они позволяют клиенту собрать все необходимые факты и наглядно представить их в отчётах согласно лучшим методикам, фреймворкам и практикам, в том числе — с визуализацией. Ожидаемо, что интеграция со сторонними решениями со стороны вендоров не является всеобъемлющей. При этом почти все готовы предоставлять собственные API, а также взаимодействовать с другими продуктами в рамках общепринятых стандартов (STIX, TAXII, OpenIOC, YARA, Sigma и т.п.).
Подключение сервиса MDR и развёртывание необходимых для него продуктов на площадке заказчика все вендоры осуществляют оперативно, способны за считаные дни индивидуализировать сценарии работы и правила корреляции, а также согласны хранить все важные клиентские данные локально, без передачи в облако. Отметим, впрочем, что не все участники сравнения готовы в принципе предоставлять такой сервис при полной изолированности площадки заказчика от внешних сетей.
Анализ особенностей персонала и технической поддержки MDR не выявил особенных отличий в сравнении с поставщиками SOC: такой же активный прогресс и наращивание компетенций — кроме, пожалуй, одного факта. Реализация довольно интересной и широко обсуждаемой сегодня концепции «центр мониторинга и реагирования без первой линии» (полностью заменяется применением автоматизации, технологиями машинного обучения) встретилась лишь у одного вендора.
Как и в случае с SOC, поставщики услуг MDR крайне неохотно раскрывают собственную ценовую политику и особенности лицензирования. Отдельная благодарность от редакции звучит в адрес «Лаборатории Касперского» за то, что коллеги согласились хотя бы подробно описать особенности формирования стоимости услуги (увы, без конкретных цен) и назвать тарифные планы. Бюджет, необходимый для выделения, клиенты смогут оценить исключительно по запросу.
