Создание Центра мониторинга и реагирования на инциденты (Security Operation Center или SOC) — не просто модная тема в сфере информационной безопасности, но и реальная возможность эффективно противодействовать вторжениям хакеров. Появление отдельного подразделения, занимающегося вопросами безопасности на организационном и техническом уровне, позволяет успешно отслеживать и отражать атаки, а при необходимости — оперативно устранять их последствия. SOC необходим прежде всего тем компаниям, где вторжение может принести большой финансовый и репутационный ущерб — например, в финансовом секторе. Но и представители других отраслей бизнеса активно создают Центры мониторинга.
Три пути создания SOC
В данный момент существует три варианта создания Центра мониторинга и реагирования на инциденты, различные по временным и финансовым затратам:
1) SOC on-premise. До недавнего времени крупные компании предпочитали строить SOC внутри своей ИТ-инфраструктуры. Как и в случае с созданием дата-центров, такой подход казался более удобным и безопасным: оборудование и специалисты всегда под рукой, в любой момент можно проконтролировать их работу. Тем не менее, быстро стало понятно, что создать надежный Центр мониторинга самостоятельно можно только уже обладая четко выстроенными процессами внутри ИБ-подразделения и наняв специалистов высококлассного уровня. Реализация такого проекта отнимает немало времени и денег.
2) Аутсорсинг обслуживания SOC. В ответ на потребности клиентов большая часть ИТ-провайдеров предложила свои услуги по обслуживанию SOC: заказчику все еще нужно было обладать собственными или арендованными платформами SIEM и IRP, но команду мониторинга, а иногда и реагирования, он берет в виде сервиса у специализированной компании.
3) SOC в облаке. Softline и входящая в ее состав Infosecurity вышли на рынок SOC с облачным сервисом ISOC, который позволяет построить эффективную систему мониторинга и реагирования на инциденты и управлять ей практически с нуля. Все сервисы, включая пользование SIEM и IRP, заказчик получает напрямую у провайдера. Данные попадают в SOC Softline посредством защищенного канала связи и обрабатываются с помощью стека технологий BigData. Причем этот процесс идет круглосуточно, а не только в рабочее время заказчика.
По словам руководителя направлений SOC, MSSP группы компаний Softline Андрея Колтакова, пока SOC в облаке интересует прежде всего средний и малый бизнес: таким компаниям удобно использовать «пакетные» предложения и у них отсутствуют предубеждения относительно использования облачных технологий. Крупный бизнес пока предпочитает строить собственный SOC, но скорее всего эта тенденция скоро пойдет на спад.
Кому и почему подойдет облако?
Сколько вы экономите, выбирая облачный SOC — зависит от размеров и потребностей организации. Даже в случае с компанией малого бизнеса сумма будет ощутимой. «Приведем пример. Если небольшая компания хочет построить SOC самостоятельно, ей сначала придется внедрить SIEM и IRP (это обойдется минимум в 5-10 млн рублей), а после нанять специалистов по поддержке SIEM и команду аналитиков из трех линий поддержки (услуги таких экспертов будут стоить от 14 млн рублей в год).
Выбрав облачный SOC, представители SMB могут приобрести одно из пакетных предложений Softline. Внедрить у себя готовое решение можно за сумму от 4 млн рублей, еще 3 млн рублей будет стоить годовое обслуживание. Пакетные сервисы уже включают в себя всю функциональность для наиболее распространенных задач с прозрачным лицензированием.
Для крупного бизнеса стоимость зависит от количества станций, набора средств защиты информации, срока хранения данных у провайдера и модели потребления (только мониторинг, либо реагирование на инциденты, устранение атак). И здесь экономия может достигать уже десятков миллионов рублей», — резюмирует Кирилл Солодовников, генеральный директор Infosecurity (входит в состав ГК Softline).
Помимо финансов облачный SOC экономит время. Реализация проекта по развертыванию облачного SOC, как правило, занимает до 2 месяцев при подключении к пакетному сервису и до 1 года при реализации On-site проекта для заказчика на его мощностях. Создание центра внутри инфраструктуры заказчика обычно занимает от 1 года и более. Фактически усовершенствованием собственного Центра мониторинга можно заниматься бесконечно, то же делает и облачный провайдер, но дополнительных ресурсов заказчик на это не тратит.
И, наконец, SOC в облаке решает кадровый вопрос. Специалисты, способные создать и поддерживать ситуационный центр, должны обладать очень высокой квалификацией — можно сказать, это элита на рынке ИБ. Спрос на таких экспертов на рынке труда очень велик, и, в случае ухода сотрудника, вы вряд ли сможете заменить его в считанные дни. Привлечение к обслуживанию SOC опытного провайдера позволяет получать стабильный уровень сервиса и не зависеть от личности конкретного специалиста.
Как выбрать провайдера?
Главный критерий при выборе поставщика услуг SOC — это опыт самостоятельного построения и эксплуатации Центров мониторинга и реагирования. Если провайдер смог построить и успешно обслуживать собственный SOC, то он однозначно понимает, как он работает и что действительно нужно заказчику.
Infosecurity a Softline Company имеет подтвержденный опыт внедрения решения и оказания сервиса в компаниях различных отраслей. Одним из заказчиков компании является группа компаний «Открытие», инфраструктуру которой специалисты Infosecurity обслуживали в течение 10 лет. Недавно пилотный проект по внедрению ISOC проведен в компании Plazius — разработчике системы мобильных платежей и платформы для цифрового маркетинга.
Компания заключила соглашение о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а также получила статус корпоративного центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Infosecurity имеет статус CERT университета Карнеги Меллон и является аккредитованным членом международного сообщества FIRST (Forum of Incident Response and Security Teams). Компания получила сертификаты ISO 27001, 20000, 9001 и лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг.
За помощь в создании материала автор благодарит Кирилла Солодовникова, генерального директора Infosecurity (входит в состав ГК Softline) и Андрея Колтакова, руководителя направлений SOC, MSSP ГК Softline.
Автор: Екатерина Касимова
Источник