Сравнение услуг коммерческих SOC (Security Operations Center)
Первое публичное сравнение услуг известных в России коммерческих центров мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC — Security Operations Center). Результаты сравнения помогут потенциальному заказчику выбрать наиболее подходящего поставщика, способного взять SOC на аутсорсинг и обеспечить взаимодействие с НКЦКИ. Сравнение проводилось по 179 критериям, характеризующим полноту и качество предоставляемых услуг.
Организационно SOC представляет собой группу экспертов по защите информации, отвечающую за постоянный контроль и анализ состояния безопасности организации, используя комбинацию технологических решений и действуя в рамках четко выстроенных процессов. SOC обычно укомплектованы аналитиками и инженерами в области безопасности, а также сервис-менеджерами, которые обеспечивают оперативное взаимодействие с клиентом. Кроме того, для быстрого устранения последствий инцидентов подключается группа реагирования.
Деятельность коммерческих SOC в России обычно тесно связана с предложением сопутствующих сервисов. Самый популярный тип таковых — это MSSP (Managed Security Service Provider — предоставление управляемых сервисов безопасности). Управляемые услуги безопасности нужны для контроля и администрирования конкретных защитных решений и могут предлагаться довольно широким набором: от настройки инфраструктуры до управления безопасностью или активного (самостоятельного) реагирования на инциденты.
Важными критериями при выборе SOC могут являться услуги центра ГосСОПКА. Поскольку объекты критической информационной инфраструктуры (КИИ) и некоторые другие сущности обязаны подключаться к НКЦКИ, возможность собирать «правильные» инциденты ИБ или хотя бы приводить их к нужным форматам — хорошее дополнение к коммерческому сервису SOC.
Выбирая поставщика SOC, заказчики ожидают как минимум получить классические преимущества любого облачного сервиса: доступ к наиболее продвинутым техническим решениям без необходимости следить за особенностями конкретных вендоров и актуальностью версий. К таким средствам принято относить управление журналами и событиями (Log Management/SIEM), реагирование на инциденты (Incident Response Platform, IRP), киберразведку (Threat Intelligence Platform, TIP), обслуживание обращений (Service Desk), анализ трафика и сетевые расследования (Network Traffic Analysis / Network Forensics, NTA / NFR), детектирование и реагирование на конечных точках (Endpoint Detection and Response, EDR), подключение к источникам данных о репутации или базам индикаторов компрометации (IoC).
Разумеется, существуют минимальные требования к инфраструктуре заказчика и к уровню зрелости его ИБ в целом. Этим обусловлен своего рода ценз (в том числе — финансовый) при рассмотрении возможности приобретения аутсорсингового SOC. Перечень конкретных требований может быть расплывчатым, но для получения результата почти все поставщики сходятся в следующем. Должна быть возможность получения событий с хостов или установки агента на конечных точках. Должны быть, как минимум, базовые источники для получения протоколов (AD, FW). Следует определить периметр сети или по крайней мере описать ключевые инфраструктурные средства защиты. Необходимо обеспечить доступ к системам анализа сетевого трафика или возможность установки NTA.