30 октября 2024 г.

Окончание, начало см. тут

Создание дополнительных команд оперативного реагирования — дело долгое, хлопотное и дорогостоящие, поэтому возникает вопрос: можно ли пока отложить это? Ответ отрицательный: если при организации ИБ не обращают должного внимания на мониторинг, то результатом могут стать пропуски инцидентов и несвоевременное реагирование на происходящее. Более того, это создает риски в будущем, так как затрудняет оценку состояния ИБ в организации и, как следствие, усложняет выбор оптимальных путей для развития «инфобеза» в ИТ-ландшафте корпоративного заказчика.

Российским заказчикам в деле развития команд реагирования нужно ускоряться. Ситуация отстает от вызовов рынка: постоянно отслеживают события безопасности лишь две трети опрошенных, по данным исследования Positive Technologies, но полноту собираемых событий оценивают меньше половины (44%). А позволить себе контролировать факт поступления событий с информационных активов, их регулярность и полноту одновременно могут только 19%.

Любой SOC это кадры...

В ситуации с ИБ кадры решают все. От комплектации штата специалистами по кибербезопасности сейчас напрямую зависит защищённость компаний любого профиля, уверена Валентина Ерохина, директор по персоналу Angara Security. Найти специалистов для SOC очень сложно.

«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России, — говорит Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в „Лаборатории Касперского“. — Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак». Высокий спрос, как отметил Владислав Галимов, сегодня на инженеров внедрения СЗИ и SOC-аналитиков, а также на специалистов по безопасной разработке.

Основная проблема популярности внешних SOC — все та же: острый дефицит специалистов для создания внутреннего Центра мониторинга и реагирования, равно как и других ресурсов для этого.

«Профильные специалисты в дефиците, да и далеко не каждая организация может себе позволить построение собственного SOC, компании все чаще прибегают к услугам MSSP», — говорит Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC в группе компаний «Солар».

Даже если внутренний отдел ИБ-специалистов в компании — предположим такое — укомплектован полностью, не каждая организация готова снять со штатных должностей необходимое количество высококвалифицированных сотрудников. Оголив при этом имеющийся фронт работ, связанных с организацией и развитием ИБ — которые никуда не исчезают! — и перевести людей в SOC, который должен работать 24×7, то есть требует «тройной» команды.

Требование круглосуточной работы SOC важно. Половина кибератак на промпредприятия совершают во внерабочее время, по данным МТС RED. Можно предположить, что и в других сегментах ситуация похожая. Поэтому специалисты SOC должны работать в круглосуточном режиме, хотя это и усложняет кадровые вопросы.

...и дополнительная ИТ-инфраструктура

Собственная защищенная инфраструктура нужна и для самого SOC. Например, компания Selectel создала решение для коммерческого SOC компании «Газинформсервис», которое включало совокупность выделенных серверов и СХД, а также потребовало организации защищенной сетевой связности инфраструктуры Центра с площадками заказчика. Для этого пришлось развернуть выделенное сетевое оборудование, сертифицированные межсетевые экраны и предусмотреть место для размещения криптошлюзов заказчиков, что нужно для шифрования и контроля трафика. Объем работ, который потребовался для создания аппаратной «начинки» нового SOC, Константин Бызов, начальник центра сопровождения систем безопасности в компании «Газинформсервис», оценил как колоссальный.

Важно, что для полноценной работы внутреннего SOC корпоративному заказчику тоже нужно развернуть аналогичную подсистему. Этот программно-аппаратный комплекс в идеале должен позволять мониторить происходящее в ИТ-рельефе и выполнять действия, направленные на отражение кибератаки даже в условиях ограниченной работоспособности основной инфраструктуры. Заметим, что во время кибератаки вполне возможно нарушение работоспособности или блокировка значительных фрагментов ИТ-рельефа, что может быть результатом действий хакеров или активностей «безопасников», пытавшихся отразить атаку, а также последствий перечисленного.

SOC: внутри или снаружи?

SOC — сложный элемент, который практически необходим для обеспечения инфобезопасности крупных корпоративных заказчиков. Дилемму с SOC — «внутренний vs. внешний» — каждый корпоративный заказчик в итоге решает сам. Оптимальный ответ зависит от ряда факторов: особенностей ИТ-рельефа и организации ИБ, корпоративной культуры, планов развития, требований регуляторов, оценки рисков и т. д.

К важным преимуществам использования внешнего SOC является скорость его появления в инфраструктуре заказчика.

«Использование сервисов внешнего центра мониторинга позволяет компаниям получить работающую функцию по круглосуточному выявлению киберугроз в самые короткие сроки и снимает с заказчиков задачи по найму собственного штата специалистов по кибербезопасности, их обучения и удержания, — говорит Ильназ Гатауллин, технический директор центра мониторинга и реагирования на кибератаки МТС RED SOC. — Это значимая проблема, особенно в регионах».

Казалось бы, все требует роста востребованности «SOC-as-service», и это действительно происходит. Рост интереса российского бизнеса отметили в исследовании MTS Web Services: за первое полугодие 2024 спрос на услуги внешних SOC показал прирост в 1,5 раза (больше только защита от DDoS-атак, показавшая рост в 1,7 раза).

Но есть и обратный тренд: многие организации создают и развивают внутренние SOC. Спрос на внутренние Центры мониторинга и реагирования в российских условиях стал настолько распространен, что для этого уже продают инструменты и экспертизу, «упакованные» в соответствующие продукты. Например, BI.ZONE этой осенью представил услугу SOC Consulting, которая, по заявлению компании, позволит заказчикам в 2-3 раза сократить сроки запуска внутреннего Центра, ускоряя решение организационных вопросов и обучение сотрудников, что позволит уменьшить начальные расходы на 25-30%.

«Компании, у которых уже есть свой внутренний центр мониторинга и реагирования, смогут повысить его уровень зрелости за счет опыта и лучших практик», — говорит Марсель Айсин, руководитель BI.ZONE SOC Consulting: в рамках сервиса также доступна оценка эффективности уже существующего в компании SOC и методы по оптимизации его работы.

Операторы SOC делают многое, чтобы взаимодействие для заказчиков со внешними SOC было возможно более простыми на всех этапах: от онбординга до штатной повседневной работы, а также при обнаружении атак.

«Мы создавали SOC, чтобы сделать мониторинг информационной безопасности и реагирование на инциденты простыми и доступными для компаний, которые осознали эту необходимость», — говорит Дмитрий Шулинин, руководитель SOC UserGate.

Вместо заключения

«Сейчас внимание злоумышленников к крупным российским компаниям велико как никогда ранее, — говорит Андрей Янкин, директор центра информационной безопасности в „Инфосистемы Джет“. — В таких условиях необходима безопасность не для галочки, а действительно эффективная и адаптированная под особенности бизнеса и ИТ-инфраструктуры система ИБ».

Важность ИБ отмечают заказчики из разных вертикальных рынков. «Непрерывность бизнеса напрямую связана с информационной безопасностью», — например, подчеркивает Вадим Ашроев, начальник отдела информационной безопасности Иркутской нефтяной компании.

SOC становится важным компонентом для обеспечения на современном уровне ИБ у корпоративных заказчиков. Внешний или внутренний SOC придется интегрировать с ИТ-ландшафтом заказчика, что представляет собой комплекс непростых задач, которые в ряде случаев придется передавать на аутсорсинг. Рост спроса на аутсорсинг услуг безопасности, услуги по построению собственных SOC и подключению к коммерческим SOC отметил Дмитрий Ильницкий, директор по развитию и сопровождению продаж в интеграторе «Бастион».

Заметим, что после создания SOC и его интеграции в инфраструктуру работы с ним не заканчиваются. Потребуются инвестиции в развитие персонала, подготовку кадрового резерва, совершенствования инструменты SOC и т. д., а также на проведение киберучений. «После» тоже важно: после проведения учений 70% корпоративных заказчиков отметили повышение эффективности ИБ и готовности к реальным вызовам, отмечают в компании «Инфосистемы Джет».

Источник: Александр Маляревский, внештатный обозреватель IT Channel News