Вторая часть сравнения услуг известных в России коммерческих центров мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC — Security Operations Center). Результаты сравнения помогут потенциальному заказчику выбрать наиболее подходящего поставщика, способного взять SOC на аутсорсинг и обеспечить взаимодействие с НКЦКИ. Сравнение проводилось по 179 критериям, характеризующим полноту и качество предоставляемых услуг. Во второй части сравнения участвуют: МТС SOC, Infosecurity ISOC и «Перспективный мониторинг».
- Введение
- Методология сравнения услуг коммерческих SOC
- Сравнение услуг коммерческих SOC
- 3.1. Общие сведения
- 3.2. Тестовый период
- 3.3. Личный кабинет (клиентский портал)
- 3.4. Мониторинг и управление событиями безопасности
- 3.5. Управление инцидентами
- 3.6. Расследование инцидентов
- 3.7. Управление средствами защиты клиента (аутсорсинг эксплуатации)
- 3.8. Услуги Центра ГосСОПКА
- 3.9. Дополнительные услуги
- 3.10. Технологии поставщика SOC
- 3.11. Персонал SOC
- 3.12. Возможности двусторонней интеграции с инфраструктурой клиента
- 3.13. Гарантии качества (SLA)
- 3.14. Система оповещения и отчетность
- 3.15. Режим работы и техническая поддержка
- 3.16. Предоставление актуальных для целей SOC средств защиты в аренду (модель MSSP)
- 3.17. Ценовая политика
- Выводы
Введение
Вторая часть сравнения имеет цель дополнить перечень лидирующих в России коммерческих центров мониторинга и реагирования на инциденты информационной безопасности (SOC — Security Operations Center), которые уже были подробно описаны в первой части.
То, что такое коммерческий SOC и что должно в нем быть, мы подробно описывали во вводной главе первой части, а также в анализе российского рынка услуг и продуктов для центров мониторинга информационной безопасности (SOC). Поэтому не будем углубляться в рассказы о видах SOC в России и сосредоточимся на самом сравнении.
Организационно SOC представляет собой группу экспертов по защите информации, отвечающую за постоянный контроль и анализ состояния безопасности организации, используя комбинацию технологических решений и действуя в рамках четко выстроенных процессов. SOC обычно укомплектованы аналитиками и инженерами в области безопасности, а также сервис-менеджерами, которые обеспечивают оперативное взаимодействие с клиентом. Кроме того, для быстрого устранения последствий инцидентов подключается группа реагирования.
Деятельность коммерческих SOC в России обычно тесно связана с предложением сопутствующих сервисов. Самый популярный тип таковых — это MSSP (Managed Security Service Provider — предоставление управляемых сервисов безопасности). Управляемые услуги безопасности нужны для контроля и администрирования конкретных защитных решений и могут предлагаться довольно широким набором: от настройки инфраструктуры до управления безопасностью или активного (самостоятельного) реагирования на инциденты.
Важными критериями при выборе SOC могут являться услуги центра ГосСОПКА. Поскольку объекты критической информационной инфраструктуры (КИИ) и некоторые другие сущности обязаны подключаться к НКЦКИ, возможность собирать «правильные» инциденты ИБ или хотя бы приводить их к нужным форматам — хорошее дополнение к коммерческому сервису SOC.
Выбирая поставщика SOC, заказчики ожидают как минимум получить классические преимущества любого облачного сервиса: доступ к наиболее продвинутым техническим решениям без необходимости следить за особенностями конкретных вендоров и актуальностью версий. К таким средствам принято относить управление журналами и событиями (Log Management/SIEM), реагирование на инциденты (Incident Response Platform, IRP), киберразведку (Threat Intelligence Platform, TIP), обслуживание обращений (Service Desk), анализ трафика и сетевые расследования (Network Traffic Analysis / Network Forensics, NTA / NFR), детектирование и реагирование на конечных точках (Endpoint Detection and Response, EDR), подключение к источникам данных о репутации или базам индикаторов компрометации (IoC).
Разумеется, существуют минимальные требования к инфраструктуре заказчика и к уровню зрелости его ИБ в целом. Этим обусловлен своего рода ценз (в том числе — финансовый) при рассмотрении возможности приобретения аутсорсингового SOC. Перечень конкретных требований может быть расплывчатым, но для получения результата почти все поставщики сходятся в следующем.
- Должна быть возможность получения событий с хостов или установки агента на конечных точках.
- Должны быть, как минимум, базовые источники для получения протоколов (AD, FW).
- Следует определить периметр сети или по крайней мере описать ключевые инфраструктурные средства защиты.
- Необходимо обеспечить доступ к системам анализа сетевого трафика или возможность установки NTA.
Методология сравнения услуг коммерческих SOC
При разработке методологии сравнения мы исходили из реальной практики оказания услуг SOC отечественными поставщиками. Краеугольным камнем любого сравнения является набор критериев, по которому оно проводится. Их количество зависит от ряда факторов: глубины исследования, степени различий между провайдерами SOC, разброс и наполнение которых весьма широки. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и содержание развернутых ответов по каждому из них, так как сервисы могут серьезно различаться даже на этом уровне.
В сравнении используется набор из 179 критериев, которые идентичны тем, что были использованы в первой части.
Для удобства все критерии разделены на следующие категории:
- Общие сведения
- Тестовый период
- Личный кабинет
- Мониторинг и управление событиями безопасности
- Управление инцидентами
- Расследование инцидентов
- Управление средствами защиты
- Услуги центра ГосСОПКА
- Дополнительные услуги
- Технологии поставщика SOC
- Персонал SOC
- Возможность двусторонней интеграции с инфраструктурой клиента
- Гарантии качества (SLA)
- Система оповещения и отчетность
- Режим работы и техническая поддержка
- Предоставление актуальных в рамках SOC средств защиты в аренду (MSSP)
- Ценовая политика
Для участия в сравнении были отобраны три из наиболее известных в России коммерческих SOC:
- МТС SOC
- Infosecurity ISOC
- «Перспективный мониторинг»
Несмотря на изначальный оптимизм в отношении состава второй части сравнения, мы не смогли включить в него большее количество участников. Несколько компаний, чьи имена были на слуху, отказались от участия, понимая недостаточный уровень зрелости своих услуг относительно конкурентов.
Другие компании не подошли нам по причине несоответствия определению рынка. Здесь необходимо краткое пояснение. Учитывая еще не устоявшиеся границы рынка коммерческих SOC, под их видом предлагают услуги по аутсорингу услуг обнаружения и реагирования на инциденты информационной безопасности (Managed Detection and Response, MDR) и киберразведки (Threat Intelligence Platform, TIP). В большинстве случаев эти услуги предлагаются вендорами и зачастую могут работать только с данными от собственных и партнерских средств защиты. К этой группе можно отнести, например, такие компании, как Group-IB, «Лаборатория Касперского», Positive Technologies и другие.
С другой стороны, услуги MDR от вендоров с точки зрения рынка можно рассматривать как альтернативу коммерческим SOC, востребованную частью заказчиков. Но сравнивать их напрямую некорректно из-за серьезных идеологических и технологических различий. Поэтому мы приняли решение не смешивать SOC с MDR и выделить последний в особое сравнение рынка, которое будет готово в первом квартале 2020 года.
В приведенном сравнении мы не делали итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение услуг коммерческих SOC
Общие сведения
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Компания-вендор | ПАО «МТС» | ООО «Инфосекьюрити» | ЗАО «Перспективный мониторинг» |
Целевой сегмент | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний, малый бизнес, государственный сектор | Крупный, средний, малый бизнес, государственный сектор |
Штаб-квартира | Москва | Москва | Москва |
Офисы присутствия команд специалистов | Москва, Краснодар | Москва, Екатеринбург | Москва, Санкт-Петербург, Новосибирск |
Физическое расположение ЦОДов | Москва, Краснодар | Москва | Москва |
Охват часовых поясов | GMT+02 — GMT+12 | GMT+02 — GMT+12 | GMT+02 — GMT+12 |
Количество клиентов (по данным поставщика) | 14 | 8 | 17 |
География активных клиентов | Россия | Россия, Великобритания, Ирландия, Республика Беларусь | Россия |
Крупнейшие публичные клиенты | Не раскрывается | Росгосстрахбанк, SBI банк, Sova-Capital | Управление защиты информации Администрации Главы и Аппарата Правительства Республики Тыва |
Веб-сайт | Нет | in4security.com | amonitoring.ru |
Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в») | ФСТЭК №2012 — ТЗКИ (а, б, в, г, е) | ФСТЭК №2305 — ТЗКИ (б, в, г, д, е) | ФСТЭК №1966 — ТЗКИ (а, б, в, г, д, е) |
Сертификаты на услугу | PCI DSS (в процессе получения, ожидаемая дата — Q1 2020) | Нет | Нет |
Наличие сертификатов на внутренние процессы и безопасность самого SOC | SOC включён в область оценки по ISO 27001 (в процессе получения, ожидаемая дата — Q1 2020) | Нет | Нет |
Сроки подключения услуги | 1-2 месяца | от 0,5 до 1,5 месяцев в зависимости от выбранных контролей и систем на мониторинге | от 1 недели до 1 месяца |
Языки интерфейса клиентского портала | Русский, английский | Русский, английский | Русский, английский |
Возможность клиентского визита в SOC | Да | Да | Да |
Срок существования услуги на рынке | 3 года | 4 года | 5 лет |
Оказание услуги SOC в сегментах АСУТП | Да | Да | Да |
Наличие соглашений об информационном обмене с другими SOC | 4 соглашения | 2 соглашения | 2 соглашения |
Тестовый период
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Тестовый период | Да | Да | Да |
Ограничения по функциональности | Без ограничений | Набор типовых источников и контролей | Без ограничений |
Количество дней (средний пилот) | 1-2 месяца | 1 месяц | 1-2 месяца |
Возможность получить примеры отчетов до покупки | Да | Да | Да |
Личный кабинет (клиентский портал)
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Личный кабинет для самостоятельного мониторинга обстановки | Доступ к SIEM и/или IRP | Портал управления инцидентами, Портал статистики | Доступ к SIEM и/или IRP |
Предоставление доступа к личному кабинету | Бесплатно | Бесплатно | Бесплатно |
Возможность самостоятельного управления базовыми параметрами услуги в личном кабинете | Нет | Нет | Нет |
Самостоятельное заведение новых источников | Нет | Нет | Нет |
Самостоятельное создание контрольных панелей (дашбордов) | Да | Нет | Да |
Самостоятельная регистрация инцидентов | Нет | Да | Да |
Конструктор и выгрузка отчетов | Да | Нет | Нет |
Возможность тонкой настройки | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) | По запросу (изменение или добавление правил) |
Ролевая модель доступа | Да | Да | Да |
Возможность доменной авторизации (домен клиента) | Нет | Нет | Нет |
Самостоятельный поиск по инцидентам | Да | Да | Да |
Самостоятельный поиск по событиям | Да | Есть, как дополнительная опция | Да |
Наличие REST API | Да | Да | Нет |
Интеграция личного кабинета с ГосСОПКА (инциденты в форматах ГосСОПКА) | Да | Да | Да |
Мониторинг и управление событиями безопасности
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Способы подключения площадок клиента | Сервер коллекторов поставщика SOC разворачивается на площадке клиента, или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов (и/или сенсоров) поставщика SOC разворачивается на площадке клиента, или SOC интегрируется с существующими LM/SIEM-системами заказчика | Сервер коллекторов поставщика SOC разворачивается на площадке клиента, или SOC интегрируется с существующими LM/SIEM-системами заказчика |
Возможность разворачивания коллекторов в виртуальной среде | Любая среда виртуализации, обеспечивающая работоспособность Red Hat Enterprise Linux | Любая среда виртуализации, поддерживающая Windows и Linux | Любая среда виртуализации |
Типы поддерживаемых источников | Более 40 (инфраструктурные источники, СЗИ, операционные системы, базы данных, бизнес-приложения) | Около 25 типов | Около 20 типов (AV, FW, IDS, OS, WAF, AD, DLP, Proxy, DNS, DHCP, СЗИ от НСД, VPN, гипервизоры, СУБД, WEB) |
Общее количество поддерживаемых источников (вендоров) | 401 | 85 | 300 |
Подключение нестандартных источников | 5 дней | От 2 дней | До 5 рабочих дней |
Метод сбора событий | Безагентский | Безагентский | Агентский, безагентский, смешанный |
Основные поддерживаемые форматы сбора событий | Все стандартизированные форматы (CSV, Syslog, JSON, XML, SNMPTRAP, REST API и другие) | Syslog, SNMP, JDBC/ODBC, FTP, SMB, WMI, Netflow, текстовые файлы, JSON, XML, CEF | Поддерживаются структурированные форматы событий (CEF, CSV, Syslog, XML, JSON, JDBC, SNMP, REST API и другие) |
Количество типов стандартных правил корреляции (use cases) | 8 типов, более 200 правил | 12 типов, более 250 правил | 21 тип |
Разработка правил корреляции для клиента | 1-4 рабочих дня | 1-2 рабочих дня | 1-5 рабочих дней |
Корреляция событий по историческим данным | Да | Да | Да |
Возможность выбора сценариев мониторинга | Да (сценарии могут быть выбраны исходя из отрасли, требований, особенностей бизнес-процессов) | Да (оповещение, верификация инцидента, реагирование, расследование инцидента, судебная киберкриминалистика) | Да (есть типовой набор сценариев, который адаптируется под каждого заказчика) |
Возможность задать информацию об активах и уровень их критичности (assets) | Да | Да | Да |
Предоставление клиенту оборудования для разворачивания коллекторов | Да, платно (в рамках отдельной услуги) | Да, платно | Да, платно |
Передача клиенту правил корреляции, разработанных по его требованиям | Да (в рамках отдельной услуги) | Да (по согласованию) | Да (в рамках отдельной услуги) |
Хранение и обработка «сырых» событий на стороне клиента без их передачи в облако провайдера (внутри периметра компании) | Да | Да, при наличии у клиента своего SIEM | Да |
Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Наличие ресурсов для развертывания сервера коллекторов. Наличие сетевого оборудования, поддерживающего VPN | Получение событий с критичных узлов и/или наличие одного или нескольких СЗИ: межсетевые экраны, средства обнаружения вторжений, антивирусное ПО | Наличие хотя бы 1 источника событий |
Минимальная ширина канала | 5 Мбит/с | 1 Мбит/с | 2 Мбит/с |
Управление инцидентами
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Определение инцидента в терминологии поставщика услуги | Инцидент ИБ — срабатывание одного или нескольких правил в соответствии с перечнем сценариев, либо подозрительная активность, замеченная аналитиками в процессе работы | Единичное событие или серия нежелательных или неожиданных событий, связанных с информационной безопасностью, которые со значительной вероятностью способны нанести ущерб бизнес-операциям (деловым операциям) и поставить под угрозу информационную безопасность | Инцидент ИБ — одно или серия нежелательных событий в инфраструктуре заказчика, которые являются действиями злоумышленника, злонамеренной активностью или нарушением внутренних политик безопасности |
Критерии отнесения инцидента к потенциальному | Срабатывание одного или нескольких правил корреляции |
Подтверждение аналитиком | Срабатывание одного или нескольких правил корреляции (срабатывание некоторых правил корреляции предварительно согласовывается с заказчиком) |
Критерии отнесения инцидента к достоверному (подтвержденному) | Подтверждение от заказчика. При отсутствии подтверждения со стороны специалистов заказчика — наличие связанных событий, однозначно указывающих на достоверность инцидента | Подтверждение аналитиком | Подтверждение от заказчика; наличие связных событий, однозначно указывающих на достоверность инцидента |
Возможность раскрытия всех деталей расследования инцидента от аналитиков сервис-провайдера клиенту (с техническими подробностями) | Да | Да | Да |
Объем данных об инциденте (карточка) | Карточка формируется вручную под каждый инцидент. 15 базовых полей. Карточки могут быть индивидуализированы | 20 основных полей, возможность неограниченного расширения карточки инцидента | 10 базовых разделов, в соответствии с форматом ГосСОПКА |
Прослеживаемый путь движения инцидента (workflow) | Да | Да | Да |
Возможность менять критичность со стороны клиента | Да | Да | Да |
Возможность помечать ложные срабатывания (false positive) | Да | Да | Да |
Реакция на инцидент: немедленное уведомление по всем согласованным каналам | Да | Да | Да |
Реакция на инцидент (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласования | Индивидуально прорабатывается и согласовывается с заказчиком | Изоляция узла, запуск дополнительного анивирусного ПО, блокировка IOC на сетевых средствах защиты | Возможно управление СЗИ заказчика в рамках дополнительной услуги |
Реакция на инцидент: немедленное принятие мер на стороне клиента (если применимо) | Индивидуально прорабатывается и согласовывается с заказчиком | Передача инцидента в подразделение эксплуатации СЗИ (заказчика или поставщика, при наличии сервиса) | Возможно управление СЗИ заказчика в рамках дополнительной услуги |
Выдача рекомендаций по следам инцидента (отчет об инциденте) | Рекомендации выдаются в зависимости от самого инцидента: настройка СЗИ, применение рекомендованных политик безопасности систем, конфигурация ПО, обновление ПО, реконфигурация сети и другие | Конфигурация средств защиты, обновление ПО, конфигурация политик безопасности систем, конфигурация ПО, применение организационных мер | Конфигурация средств защиты, обновление ПО, рекомендации по настройке ПО/ОС, рекомендованные организационные меры, изоляция скомпрометированных хостов, сброс паролей учётных записей, блокировка учётных записей, внеплановая проверка средствами AV, рекомендации по удалению «остатков» заражений, сбор необходимых для дальнейшего расследования данных |
Устранение последствий инцидента силами поставщика | Да (индивидуально прорабатывается и согласовывается с заказчиком) | Да | Да |
Разработка сквозных сценариев реагирования между поставщиком и клиентом | Да (индивидуально прорабатывается и согласовывается с заказчиком) | Да (входит в стоимость услуги) | Да (входит в стоимость услуги) |
Накопление и анализ статистики по инцидентам, изменение на ее основе параметров услуги | Да (адаптация правил корреляции в соответствии со спецификой инфраструктуры заказчика) | Да (профилирование правил корреляции, настройка источников) | Да (адаптация правил) |
Автоматическая проверка выполнения выданных рекомендаций по итогам инцидентов | Да (повторная проверка отсутствия/ появления соответствующих событий безопасности) | Да (регулярная проверка уязвимостей по SLA, отсутствие/появление соответствующих событий безопасности) | Да |
Категорирование инцидентов согласно матрице ATT&CK | Да | Да (внутренняя методика категорирования инцидентов) | Да (в процессе построения) |
Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагирования | Да | Да | Да |
Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагирования | Да | Да | Да |
Расследование инцидентов
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Выявление и полное описание внешней атаки | Да (описание основывается на лучших практиках: НКЦКИ, ФинЦЕРТ, методологии kill chain, собственной практике, требованиях заказчика) | Да (предоставляется полный сценарий обработки инцидента по собственной методологии) | Да (описание всех зафиксированных шагов атаки в хронологическом порядке) |
Выявление и полное описание ошибки персонала | Да (описание основывается на лучших практиках: НКЦКИ, ФинЦЕРТ, методологии kill chain, собственной практике, требованиях заказчика) | Да (предоставляется полный сценарий обработки инцидента по собственной методологии) | Да (анализируется весь набор релевантных событий, сопоставляется с активными пользовательскими учётными записями на связанных с инцидентом активах, предоставляется описание действий пользователя в хронологическом порядке) |
Выявление и полное описание злонамеренных действий пользователей | Да (описание основывается на лучших практиках: НКЦКИ, ФинЦЕРТ, методологии kill chain, собственной практике, требованиях заказчика) | Да (полный разбор инцидента) | Да (на этапе расследования устанавливается причастность пользователя к обнаруженной активности) |
Ретроспективный поиск индикаторов компрометации, выявленных в результате реагирования на инциденты | Да | Да | Да |
Исследование (reverse engineering) образцов вредоносного ПО, выявленных в результате реагирования на инциденты | Да (в рамках отдельной услуги) | Да | Да |
Управление средствами защиты клиента (аутсорсинг эксплуатации)
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Управление средствами защиты, задействованными при мониторинге и реагировании на инциденты (детектирующие) | Да | Да | Да |
Управление определенной группой средств защиты | Да (без ограничений) | Да (без ограничений) | Да (без ограничений) |
Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Не предъявляются | Наличие терминального сервера | Не предъявляются |
Минимальная ширина канала | 1 Мбит/с | 1 Мбит/с | 1 Мбит/с |
Услуги Центра ГосСОПКА
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Предоставляются | Да | Да | Да |
Наличие официально заключенного соглашения с НКЦКИ | Да (с 2018 года) | Да (2019 год) | Да (с 2017 года) |
Класс Центра ГосСОПКА (А, Б ,В) | А | A | А |
Количество проектов с реализованной функцией Центра (клиентов) | 0 | 0 | 8 |
Услуги взаимодействия с НКЦКИ | Да | Да | Да |
Разработка документов (ОРД) для клиента | Да (в рамках отдельной услуги) | Да | Да |
Эксплуатация средств защиты клиента в рамках процессов ГосСОПКА | Да (в рамках отдельной услуги) | Да | Да |
Прием, регистрация и анализ событий, сообщений об инцидентах и атаках | Да | Да | Да |
Инвентаризация информационных ресурсов клиента | Да | Да | Да |
Анализ угроз, прогнозирование их развития и направление сведений в НКЦКИ | Да | Да | Да |
Составление перечня угроз для клиента | Да (в рамках отдельной услуги) | Да | Да |
Выявление уязвимостей информационных ресурсов клиента | Да | Да | Да |
Формирование предложений по повышению уровня защищенности информационных ресурсов клиента | Да (в рамках расследования инцидентов даются точечные рекомендации; комплексное обследование компании — в рамках отдельной услуги) | Да | Да |
Составление перечня последствий компьютерных инцидентов | Да | Да | Да |
Ликвидация последствий компьютерных инцидентов | Да (в рамках отдельной услуги) | Да | Да |
Анализ результатов ликвидации последствий инцидентов | Да | Да | Да |
Установление причин компьютерных инцидентов | Да | Да | Да |
Дополнительные услуги
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Управление уязвимостями | Да | Да | Да |
Внутренние технические аудиты | Да | Да | Да |
Compliance-проверки (по чек-листам) | Да | Да | Да |
Тесты на проникновение (pentest, Red Teaming) | Да | Да | Да |
Выявление и полное расследование мошенничества и атак (форензика) | Да | Да | Да |
Киберразведка, OSINT (с отчетами) | Да | Да | Да |
Threat Hunting | Да (network, endpoint) | Да (network, endpoint) | Да (network, endpoint) |
Инвентаризация инфраструктуры клиента на периодической основе | Да | Да | Да |
Разработка и адаптация индивидуальных сценариев (playbook) по реагированию | Да (в зависимости от требований и выстроенных процессов) | Да | Да |
Обучение специалистов заказчиков | Да | Предоставление полной информации по сценариям и мерам реагирования на инциденты | Да (в т.ч. с применением киберполигона AMPIRE) |
Трансфер экспертизы в SOC клиента | Да | Да (информация предоставляется по запросу) | Да (информация предоставляется по запросу) |
Технологии поставщика SOC
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Log Management/SIEM | MicroFocus ArcSight, IBM QRadar | Собственная разработка | Собственный стек на базе ViPNet и Open Source |
Incident Response Platform (IRP) | Не раскрывается | Собственная разработка | Собственная разработка |
Configuration Management Database (CMD) | Собственная разработка | OTRS | Нет |
Threat Intelligence Platform (TIP) | Не раскрывается | MISP | Собственная разработка |
Threat Hunting Platform (THP) | Не раскрывается | В планах на 2020 год | Собственная разработка |
База знаний (для использования клиентами) | Нет | Собственная разработка | На базе Xwiki |
Service Desk | Не раскрывается | OTRS | Open Source |
SandBox (песочница) | Не раскрывается | Kaspersky KATA | Cuckoo Sandbox (с доработками) |
NTA/NFR (Network Traffic Analysis / Network Forensics) | Не раскрывается | Kaspersky KATA | ViPNet IDS NS |
UEBA (User and Entity Behavior Analysis) | Не раскрывается | Нет | Собственная разработка на базе Open Source |
EDR (Endpoint Detection and Response) | Не раскрывается | ISOC IRP | Нет |
Антивирусный мультисканер (многоядерный) | Не раскрывается | VirusTotal, ANY.RUN | VirusTotal |
Подключение к каналам данных об уязвимостях (vulnerability intelligence feeds) | Не раскрывается | Общедоступные источники, рассылки CERT | Собственные инструменты, используются NVD, БДУ ФСТЭК и другие открытые источники |
Подключение к репутационным каналам (reputation feeds) / базам индикаторов компрометации | Не раскрывается | Да (перечень не раскрывается) | Подключение через TIP к разным источникам |
Обеспечение конфиденциальности клиентских данных | Передача данных по защищенному каналу, выделенный сетевой сегмент под инфраструктуру SOC, разграничение данных разных клиентов по сущностям | Защищенное хранение данных клиентов, контроль доступа аналитиков и администраторов, отдельный сервис управления и предоставления доступов в поставщике, шифрование каналов связи | Передача данных по защищенному каналу, выделенный сетевой сегмент под инфраструктуру SOC, разграничение данных разных клиентов |
Возможность организации канала VPN по ГОСТу | Да | Да | Да |
Персонал SOC
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Подтвержденный опыт команды аналитиков | Аналитики и эксперты с опытом работы в SOC от 3 лет | Подтверждённый аналитический опыт команды — более 8 лет | Все аналитики с опытом работы в SOC от 1,5 лет |
Численность персонала клиентского SOC, суммарно и по каждой линии (L1, L2, L3) | 45 человек (численность по линиям не раскрывается) | L1 — 7 человек, L2 — 15 человек, L3 — 3 человека, разработка и эксплуатация SOC — 14 человек | 24 человека (численность по линиям не раскрывается) |
Экспертиза и задачи L1 (1-й линии) | Первичное расследование подозрений на инцидент ИБ, сбор необходимой информации (обогащение), ранжирование и подтверждение или опровержение подозрений по типовым (описанным) признакам атак, передача для дальнейшего расследования, контроль доступности источников событий и поступающих с них событий, ретроспективный анализ событий за прошедшие сутки для выявления тенденций и подозрительной динамики | Анализ инцидентов ИБ, сбор дополнительной информации, верификация инцидента, обзвон ответственных лиц заказчика, эскалация инцидента на 2-ю и 3-ю линии | Первичный анализ инцидентов, выявление ложных срабатываний, оповещения, базовая работа по сценариям и эскалация |
Процедура предварительного обследования и анализа рисков клиентов | Да (в соответствии с собственной методикой) | Да (не более месяца) | Да (комплекс технических и организационных работ) |
Выделение технического куратора услуги для заказчика (аналитика) | Да | Да | Да |
Выделение организационного куратора услуги для заказчика (сервис-менеджера) | Да | Да | Да |
Кадровая динамика за последние три года | Не раскрывается | Увеличение численности команды до 45 человек, ежегодный прирост на 15-20% | Не раскрывается |
Кадровая политика SOC | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров | Обучение, повышение компетенций, ротация линий, ежедневный и еженедельный контроль качества | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества для новых специалистов и стажёров |
Выделенная команда только под услугу SOC для клиентов | Да | Да | Да |
Возможности двусторонней интеграции с инфраструктурой клиента
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Интеграция с SIEM/LM | Да | Да | Да |
Интеграция с Service Desk | Да | Да | Да |
Интеграция с ITSM/CMDB | Да | Нет | Да |
Интеграция с TI/импорт-экспорт IoC | Да | Да | Да |
Иные решения | Нет | Нет | Нет |
Гарантии качества (SLA)
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Максимальное гарантируемое число обработки событий в секунду (EPS), исходя из реальных инсталляций | Не раскрывается | 100 000 | 27 000 |
Уровень гарантируемой доступности услуги мониторинга и реагирования | 99% | 99% | 99% |
Уровень гарантируемой доступности услуги управления средствами защиты | 99% | 99% | 99% |
Уровень гарантируемой доступности услуги предоставления средств защиты в аренду | 99% | 99% | 99% |
Мониторинг и анализ событий | 24х7 | 24x7 | 9х5 и 24х7 в зависимости от тарифа |
Выявление инцидентов, периодичность | 24х7 | 24x7 | 9х5 и 24х7 в зависимости от тарифа |
Гарантируемое время обнаружения потенциального инцидента | 20 минут | 15 минут | 20 минут |
Гарантируемое время подтверждения инцидента (после исключения ложных срабатываний до оповещения заказчика) | От 30 до 60 минут в зависимости от приоритета инцидента | < 60 минут | От 30 до 120 минут |
Время выдачи рекомендаций (отчета) по следам инцидента | От 30 до 60 минут в зависимости от приоритета инцидента | < 120 минут | От 30 до 120 минут |
Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им) | Не раскрывается | Не раскрывается | Не раскрывается |
Система оповещения и отчетность
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Отправка периодических отчетов на почту | Периодичность обсуждается с заказчиком | Раз в день, неделю, месяц или квартал | Раз в неделю, месяц или квартал |
Телефонный звонок при инцидентах | Да | Да | Да (по согласованию с заказчиком) |
Оповещение по SMS и в мессенджерах | Да (обсуждается с заказчиком индивидуально) | Нет | Да (по согласованию с заказчиком) |
Возможность получения «отчетов для руководства», написанных вручную | Да (обсуждается с заказчиком индивидуально) | По умолчанию — 1 раз в месяц, предоставление дополнительных отчётов по запросу | Да (периодичность обсуждается с заказчиком) |
Режим работы и техническая поддержка
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Возможность выбора режимов работы | Да (есть возможность выбора 9х5 и 24х7) | Да (есть возможность выбора 8х5 и 24х7) | Да (есть возможность выбора 9х5 и 24х7) |
Дежурная смена мониторинга и реагирования на инциденты 24х7 | Да | Да | Да |
Техническая поддержка 24х7 по телефону | Да | Да | Нет |
Чат технической поддержки (онлайн-помощник) | Нет | Нет | Нет |
Техническая поддержка в мессенджерах (Skype, Telegram и др.) | Да (по согласованию с заказчиком) | Да | Да |
Возможность выезда на площадку заказчика | Да | Да | Да |
Предоставление актуальных для целей SOC средств защиты в аренду (модель MSSP)
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
FW/NGFW (Firewall / Next Generation Firewall) | Да (решение обсуждается индивидуально) | PaloAlto | Нет |
IDS/IPS (Intrusion Detection System / Intrusion Prevention System) | Да (решение обсуждается индивидуально) | Kaspersky | Нет |
Endpoint (антивирус, HIDS, EDR) | Да (решение обсуждается индивидуально) | Kaspersky | Нет |
DLP (Data Leak Prevention) | Да (решение обсуждается индивидуально) | InfoWatch | Нет |
WAF (Web Application Firewall) | Да (решение обсуждается индивидуально) | PT AF | Нет |
SIEM/LM (Security Information and Event Management / Log Management) | Да (решение обсуждается индивидуально) | PT SIEM | Да (собственное решение) |
IRP/SOAR (Incident Response Platform / Security Orchestration and Reaction) | Да (решение обсуждается индивидуально) | Собственная разработка | Да (собственный сервис) |
DBF/DAM (Database Firewall / Activity Monitor) | Да (решение обсуждается индивидуально) | Не преминимо | Нет |
TIP (Threat Intelligence Platform) | Да (решение обсуждается индивидуально) | Собственная разработка на основе открытых решений | Да (собственный сервис) |
VM/VA (Vulnerability Management / Assessment) | Да (решение обсуждается индивидуально) | NessusPro и MaxPatrol | Да (собственное решение) |
Песочница (SandBox) | Да (решение обсуждается индивидуально) | Kaspersky KATA | Нет |
NTA (Network Traffic Analysis) | Да (решение обсуждается индивидуально) | Kaspersky KATA | Нет |
Ценовая политика
Критерий сравнения | МТС SOC | Infosecurity ISOC | Перспективный мониторинг |
Описание политики формирования стоимости, мониторинг и реагирование на инциденты | 1. Количество EPS 2. Количество подключаемых нетиповых источников (для которых нет разработанных коннекторов) 3. Количество дополнительно разрабатываемых индивидуальных сценариев использования (под специфичные сценарии заказчика) 4. Количество доп.услуг |
1. Перечень услуг по мониторингу/SLA 2. Количество и тип источников событий 3. Количество подключаемых площадок 4. Дополнительные сервисы по подключению источников и контролей |
1. Количество подключаемых узлов 2. Режим предоставления сервиса 3. Количество подключаемых источников 4. Дополнительные услуги |
Описание политики формирования стоимости, управление средствами защиты | 1. Количество и тип устройств 2. Уровень поддержки 3. Уровень эксплуатации 4. Режим работы 8х5/24х7 |
1. Тип услуги и SLA 2. Количество СЗИ и их тип 3. Наличие удаленного доступа |
1. Количество СЗИ |
Описание политики формирования стоимости, «средства защиты как сервис» | 1. Уровень и режим оказания услуги 2. Количество СЗИ и их тип (прикладное, сетевое) 3. Территориальная расположенность 4. Тип удаленного доступа |
1. Тип услуги и SLA 2. Количество СЗИ и их тип 3. Наличие удаленного доступа |
Не раскрывается |
Тарифные планы | Не раскрывается | Не раскрывается | Не раскрывается |
Минимальная стоимость оказания услуг SOC | Не раскрывается | Не раскрывается | Не раскрывается |
Схема продаж услуги | Прямая | Прямая | Прямая, партнерская |
Заявка на подключение | Нет | softline.ru | amonitoring.ru |
Выводы
Появление серьезной конкуренции на рынке коммерческих SOC, которой не было еще 2-3 года назад, оказывает благоприятное влияние на общее качество услуги в стране. Так, почти всеми рассмотренными в данной части сравнения поставщиками SOC применяется актуальный стек технологий, в том числе еще не повсеместно распространенные Threat Hunting Platform (THP) и Network Traffic Analysis (NTA).
С учетом отечественного законодательства все без исключения рассматриваемые игроки обязаны работать в правовом поле и имеют соответствующие лицензии регуляторов, основная из которых — ФСТЭК ТЗКИ с пунктом «в». А вот подтверждений качества со стороны внешних сертификаций по ИБ у участников второй части сравнения пока нет. Сроки подключения услуги вполне разумны и составляют в среднем 1 месяц, с возможностью ознакомительного пробного периода.
Личный кабинет специально под сервис разработан только у «Перспективного мониторинга», у остальных есть возможность попасть в собственную консоль SIEM или IRP, ограниченную правами конкретного клиента. При необходимости организация канала VPN согласно алгоритмам по ГОСТу также не является проблемой.
При всем существующем ажиотаже вокруг темы критической информационной инфраструктуры и центров ГосСОПКА у двух из трех участников сравнения пока нет реализованных проектов с функцией взаимодействия с НКЦКИ.
За исключением Infosecurity ISOC, участники данного сравнения не раскрывают данные о численности персонала по линиям и ее динамику. Аутсорсинг эксплуатации клиентских средств защиты информации предлагают все без исключения поставщики. Портфель каждого участника содержит широкий спектр сопутствующих сервисов, прямо не связанных с основной деятельностью SOC. К ним можно отнести управление уязвимостями, внутренние технические аудиты, compliance-проверки, Threat Hunting, инвентаризацию инфраструктуры клиента на периодической основе и другие. Интересно, что, в отличие от первой части сравнения, средства защиты в аренду в полном объеме предоставляет только MTS SOC.
Все сервис-провайдеры заявляют гибкие сценарии по работе с инцидентами и ретроспективный анализ, а накапливаемый опыт отражается в индивидуальной «тонкой настройке» сервиса. Все три участника предоставляют услуги по обратной разработке (reverse engineering) образцов вредоносных программ.
У всех поставщиков есть возможность оказания технической поддержки 24х7, но конкретная сервисная программа может зависеть от тарифа. Оповещение об инцидентах и любое другое взаимодействие с заказчиком может быть налажено почти по любому современному каналу связи. Увы, все три участника сравнения не раскрывают информацию о стоимости своих услуг.
Алексей Юдин, директор центра мониторинга ISOC:
При поиске надежного поставщика услуг SOC помимо оказываемого перечня сервисов, уровня SLA и прочих уже названных в материале критериев нужно обращать внимание на опыт провайдера, его компетенции и экспертизу команды. В числе дополнительных преимуществ я бы назвал наличие у провайдера всех необходимых лицензий ФСТЭК и ФСБ для обеспечения деятельности по защите ваших данных, в том числе статус корпоративного центра ГосСОПКА. Кроме того, очень важно присутствие практики взаимодействия с ИБ-игроками и их представителями по всему миру для оперативной идентификации, новых, ранее неизвестных зловредов, вирусов и видов мошенничеств. Еще одним не очевидным, но важным индикатором надежности в текущих реалиях, могут стать позиции игрока на ИБ-рынке после окончания кризисного периода. Так, ISOC в своей работе использует актуальные данные Threat Intelligence, а также, осуществляет обмен информацией об угрозах с другими SOC и CERT по всему миру, поскольку входит в ассоциацию команд CERT (FIRST). Для знакомства с нашей командой и демонстрации нашей экспертизы мы предлагаем вам посетить наш офис и посмотреть, как работает наш ISOC изнутри. Для этого заполните заявку на нашем сайте. |