Эксперты по кибербезопасности полагают, что проблемы информационной безопасности, с которыми сталкиваются компании, будут появляться всё чаще и становиться более изощрёнными. В современном мире информационная безопасность - это не единичный реализованный проект. Технологии злоумышленников тоже не стоят на месте, поэтому стратегической задачей является постоянное развитие и оптимизация решений и процессов обеспечения информационной безопасности. При этом отрасль по-прежнему страдает от острой нехватки профессиональных кадров в области кибербезопасности и спрос на новых специалистов будет расти, что сделает привлечение талантливых сотрудников (и их дальнейшее удержание) в организацию еще сложнее, чем раньше. Что может сделать компания для обеспечения безопасности своей деятельности в такой, казалось бы, безвыходной ситуации?
Одно из решений — это облачный SOC, то есть взаимодействие со специализированными организациями, предоставляющими услуги по выявлению, обработке и расследованию инцидентов — так называемыми облачными центрами мониторинга. Вместо того, чтобы с нуля строить и обслуживать свой центр мониторинга и реагирования внутри компании, тратя на это свои немалые ресурсы, бюджет и время, заказчик может получать все сервисы напрямую от провайдера.
Тем не менее просто так, мгновенно доверить безопасность операций и критически важных данных компании сторонней организации недостаточно. Необходимо серьёзно подойти к выбору провайдера SOC. При поиске поставщика важно удостовериться в том, что партнёр будет полностью соответствовать вашим ожиданиям и сможет грамотно подстроиться под компанию и её внутренние процессы. На какие факторы стоит обратить внимание при выборе поставщика облачного SOC?
Опыт самостоятельного построения и эксплуатации центров мониторинга и реагирования
Пожалуй, это один из главных критериев. Если провайдер смог построить и успешно обслуживать собственный SOC, то он однозначно понимает, как он работает и что действительно нужно заказчику. Например, компания Infosecurity имеет подтвержденный опыт внедрения решения и оказания сервиса в компаниях разных масштабов и различных отраслей.
Появление требований 187-ФЗ и ГосСОПКА также стали драйвером для развития решения и своеобразным маячком, сигнализирующим, что для выявления кибератак на ранних стадиях, максимально быстрого разбора инцидентов в большом количестве информационных систем просто SIEM-решение, даже оптимально настроенное, уже недостаточно. Появилась необходимость в аналитике, построении методологии и процессов управления инцидентами, мониторинге и реагировании на инциденты ИБ в режиме работы 24/7.
Поэтому важным аспектом является заключение соглашения о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и получение статуса корпоративного центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Так как объекты критической информационной инфраструктуры обязаны подключаться к НКЦКИ и передавать данные об инцидентах, нужно позаботиться о процессе взаимодействия, в том числе, как приводить информацию к нужным форматам — всё это также требует усилий, поэтому соглашение провайдера с НКЦКИ является важным атрибутом при выборе поставщика услуг.
Компетенции команды
Не менее важным критерием является набор компетенций, заявленный сервисным провайдером — помимо мониторинга и выявления, у команды должен быть опыт в расследовании инцидентов. Убедитесь, что в состав компании-постащика входит специализированное подразделение, укомплектованное сертифицированными специалистами, имеющими реальный, практический опыт мониторинга и реагирования на события ИБ.
Разумно выбирать поставщика не только из-за его технологических компетенций и навыков, но и из-за их глубокого понимания предметной области. Провайдеру SOC важно иметь глубокие знания о бизнесе и отраслях, понимать вектор атак и угроз, актуальных для инфраструктуры того или иного заказчика. Для некоторых компаний важным будет наличие отраслевой экспертной квалификации: например, не все провайдеры SOC имеют понимание работы инфраструктуры финансовых организаций или АСУ ТП. Как можно проверить такие компетенции? Элементарно ознакомиться с реальным кейсами у крупных заказчиков.
Возможности моделирования угроз
Как и в большинстве случаев в жизни, профилактика намного лучше, чем лечение. Следовательно, поставщик, который может разбираться в данных и извлекать уроки из них для создания моделей, которые могут подавать сигналы раннего предупреждения, будет бесценным активом. При выборе поставщика услуг SOC разумно выбрать кого-то, кто имеет сильные возможности в области анализа кибербезопасности. Таким поставщикам следует отдавать предпочтение по сравнению с другими.
Возможности масштабирования
Некоторые провайдеры больше ориентированы на средний или даже малый бизнес. Другие могут расти и масштабироваться до очень больших сетей на многих континентах. Нужно понимать, может ли компания работать как с крупными, так и с небольшими сетевыми инфраструктурами и может ли подстраиваться под конкретные нужды заказчика.
Собственные разработки компонентов SOC
Стоит обратить внимание на наличие у провайдера SOC собственных разработок, например, SIEM- и IRP-систем. Большинство поставщиков услуг SOC используют для обработки событий и выявления инцидентов сторонние компоненты, которые выливаются для заказчика в дополнительные затраты на совокупное владение системой. Поэтому, если заказчику важно сэкономить бюджет, стоит присмотреться к поставщикам с собственными решениями и платформами выявления инцидентов. Кроме того, такой провайдер всегда будет готов прислушаться к пожеланиям заказчика и дополнить своё решение необходимым для него функционалом. В отличие от других сервис-провайдеров, использующих решения сторонних вендоров, Infosecurity сам формирует roadmap продукта и оперативно реагирует на запросы по новым опциям от заказчиков.
Комплексный подход
Многие провайдеры сервисов информационной безопасности ограничивают свои возможности мониторингом, корректировкой сценариев детектирования и аналитическими отчётами по инцидентам. Для заказчиков такая модель давно перестает быть актуальной. Недостаточно просто получить оповещение об инциденте, сводную информацию о нём и возможные рекомендации по его устранению. Заказчику требуется полноценный сервис по непрерывному мониторингу, анализу событий, обнаружению атак и моментальном реагировании на них — весь комплекс обеспечения информационной безопасности организации. Так же весомым плюсом для поставщика станет возможность поддержки инфраструктуры на которой функционирует SOC и СЗИ заказчика.
Доступность 24/7/365
Одна из причин рассмотреть возможность передачи мониторинга SOC поставщику — это улучшить общее отслеживание работы центра реагирования. Если компания выбирает облачный SOC, значит она полностью доверяет все процессы провайдеру. Даже если в штате заказчика есть специалисты, готовые обрабатывать данные и работать с инцидентами, они не в состоянии обслуживать систему круглосуточно, как того требует система. В конце концов, некоторые задачи могут быть проигнорированы или забыты, или к тому времени, как сработает сигнал тревоги, может быть слишком поздно.
Поэтому провайдер SOC должен уметь реагировать на потенциальные угрозы до того, как появится предупреждение или сработает сигнал тревоги. Именно поэтому специалисты поставщика SOC должны быть доступны 24 часа в сутки, 7 дней в неделю, 365 дней в году, чтобы заказчик знал, что действительно получает за свои деньги круглосуточную помощь, а инциденты отрабатываются еще на ранних стадиях.
Дополнительные критерии
Помимо обязательных сертификатов ISO 27001, 20000, 9001 и лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг, также стоит обратить внимание на дополнительные характеристики поставщика, которые не относятся к технической составляющей, но при этом будут являться дополнительным плюсом. Например, если компания имеет статус CERT университета Карнеги Меллон и является аккредитованным членом международного сообщества FIRST (Forum of Incident Response and Security Teams). Например, у Infosecurity есть собственный центр реагирования на инциденты (IN4-CERT), аккредитованный университетом Карнеги-Меллон.
Результаты пилотного внедрения
Несомненно, при выборе сервиса необходимо проверять их в действии в собственной инфраструктуре, чтобы не было больших расхождений в реальности и декларируемом уровне сервисного обслуживания (SLA). Опыт проведения «пилотов» показывает, что уже на данном этапе можно обнаружить в организационных процессах заказчика ряд проблем, касающихся применения ИБ-сервисов в организации.
Дополнительно, на этапе проведения пилотных проектов, стоит убедиться, что подрядчик способен проводить экспертизу и расследовать инциденты, а не просто их детектировать – это позволит оптимизировать работы по реагированию и минимизировать последствия инцидента. Кроме того, рекомендуется соотнести ваши потребности с опытом провайдера: уточнить есть ли у компании опыт реализации аналогичных или больших по масштабам проектов (например, один из крупных проектов Infosecurity стал мониторинг территориально распределенной информационной системы «Открытия», включающей более 30 000 пользователей), а также организовать референс-визиты к существующим заказчикам.
Выводы
Цифровая трансформация, переход в облачные системы и передача внутренних ИБ-процессов на аутсорсинг сейчас в тренде. На рынке большое количество предложений по предоставлению сервисов для эффективной защиты всех бизнес-процессов компании, включая кибербезопасность. В этом направлении особенно актуальным стало развитие сервисной модели SOC (SOC as a Service).
Несмотря на такой тренд, при выборе подрядчика SOC компаниям важно понимать какие задачи он будет решать и что может предложить поставщик услуг конкретному заказчику — от этого будет зависеть результативность работы системы в инфраструктуре компании. Правильно реализованные и четкие процессы по мониторингу и реагированию на инциденты, переданные на аутсорсинг, могут стать важной частью обеспечения эффективной и надежной информационной безопасности организации. Поэтому необходимо проводить всеобъемлющую оценку поставщика: от определения возможностей предполагаемого стека технологий и декларируемого уровня сервисного обслуживания (SLA) до профессионализма команды, внутренних стандартов и процессов компании.
Одно из решений — это облачный SOC, то есть взаимодействие со специализированными организациями, предоставляющими услуги по выявлению, обработке и расследованию инцидентов — так называемыми облачными центрами мониторинга. Вместо того, чтобы с нуля строить и обслуживать свой центр мониторинга и реагирования внутри компании, тратя на это свои немалые ресурсы, бюджет и время, заказчик может получать все сервисы напрямую от провайдера.
Тем не менее просто так, мгновенно доверить безопасность операций и критически важных данных компании сторонней организации недостаточно. Необходимо серьёзно подойти к выбору провайдера SOC. При поиске поставщика важно удостовериться в том, что партнёр будет полностью соответствовать вашим ожиданиям и сможет грамотно подстроиться под компанию и её внутренние процессы. На какие факторы стоит обратить внимание при выборе поставщика облачного SOC?
Опыт самостоятельного построения и эксплуатации центров мониторинга и реагирования
Пожалуй, это один из главных критериев. Если провайдер смог построить и успешно обслуживать собственный SOC, то он однозначно понимает, как он работает и что действительно нужно заказчику. Например, компания Infosecurity имеет подтвержденный опыт внедрения решения и оказания сервиса в компаниях разных масштабов и различных отраслей.
Появление требований 187-ФЗ и ГосСОПКА также стали драйвером для развития решения и своеобразным маячком, сигнализирующим, что для выявления кибератак на ранних стадиях, максимально быстрого разбора инцидентов в большом количестве информационных систем просто SIEM-решение, даже оптимально настроенное, уже недостаточно. Появилась необходимость в аналитике, построении методологии и процессов управления инцидентами, мониторинге и реагировании на инциденты ИБ в режиме работы 24/7.
Поэтому важным аспектом является заключение соглашения о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и получение статуса корпоративного центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Так как объекты критической информационной инфраструктуры обязаны подключаться к НКЦКИ и передавать данные об инцидентах, нужно позаботиться о процессе взаимодействия, в том числе, как приводить информацию к нужным форматам — всё это также требует усилий, поэтому соглашение провайдера с НКЦКИ является важным атрибутом при выборе поставщика услуг.
Компетенции команды
Не менее важным критерием является набор компетенций, заявленный сервисным провайдером — помимо мониторинга и выявления, у команды должен быть опыт в расследовании инцидентов. Убедитесь, что в состав компании-постащика входит специализированное подразделение, укомплектованное сертифицированными специалистами, имеющими реальный, практический опыт мониторинга и реагирования на события ИБ.
Разумно выбирать поставщика не только из-за его технологических компетенций и навыков, но и из-за их глубокого понимания предметной области. Провайдеру SOC важно иметь глубокие знания о бизнесе и отраслях, понимать вектор атак и угроз, актуальных для инфраструктуры того или иного заказчика. Для некоторых компаний важным будет наличие отраслевой экспертной квалификации: например, не все провайдеры SOC имеют понимание работы инфраструктуры финансовых организаций или АСУ ТП. Как можно проверить такие компетенции? Элементарно ознакомиться с реальным кейсами у крупных заказчиков.
Возможности моделирования угроз
Как и в большинстве случаев в жизни, профилактика намного лучше, чем лечение. Следовательно, поставщик, который может разбираться в данных и извлекать уроки из них для создания моделей, которые могут подавать сигналы раннего предупреждения, будет бесценным активом. При выборе поставщика услуг SOC разумно выбрать кого-то, кто имеет сильные возможности в области анализа кибербезопасности. Таким поставщикам следует отдавать предпочтение по сравнению с другими.
Возможности масштабирования
Некоторые провайдеры больше ориентированы на средний или даже малый бизнес. Другие могут расти и масштабироваться до очень больших сетей на многих континентах. Нужно понимать, может ли компания работать как с крупными, так и с небольшими сетевыми инфраструктурами и может ли подстраиваться под конкретные нужды заказчика.
Собственные разработки компонентов SOC
Стоит обратить внимание на наличие у провайдера SOC собственных разработок, например, SIEM- и IRP-систем. Большинство поставщиков услуг SOC используют для обработки событий и выявления инцидентов сторонние компоненты, которые выливаются для заказчика в дополнительные затраты на совокупное владение системой. Поэтому, если заказчику важно сэкономить бюджет, стоит присмотреться к поставщикам с собственными решениями и платформами выявления инцидентов. Кроме того, такой провайдер всегда будет готов прислушаться к пожеланиям заказчика и дополнить своё решение необходимым для него функционалом. В отличие от других сервис-провайдеров, использующих решения сторонних вендоров, Infosecurity сам формирует roadmap продукта и оперативно реагирует на запросы по новым опциям от заказчиков.
Комплексный подход
Многие провайдеры сервисов информационной безопасности ограничивают свои возможности мониторингом, корректировкой сценариев детектирования и аналитическими отчётами по инцидентам. Для заказчиков такая модель давно перестает быть актуальной. Недостаточно просто получить оповещение об инциденте, сводную информацию о нём и возможные рекомендации по его устранению. Заказчику требуется полноценный сервис по непрерывному мониторингу, анализу событий, обнаружению атак и моментальном реагировании на них — весь комплекс обеспечения информационной безопасности организации. Так же весомым плюсом для поставщика станет возможность поддержки инфраструктуры на которой функционирует SOC и СЗИ заказчика.
Доступность 24/7/365
Одна из причин рассмотреть возможность передачи мониторинга SOC поставщику — это улучшить общее отслеживание работы центра реагирования. Если компания выбирает облачный SOC, значит она полностью доверяет все процессы провайдеру. Даже если в штате заказчика есть специалисты, готовые обрабатывать данные и работать с инцидентами, они не в состоянии обслуживать систему круглосуточно, как того требует система. В конце концов, некоторые задачи могут быть проигнорированы или забыты, или к тому времени, как сработает сигнал тревоги, может быть слишком поздно.
Поэтому провайдер SOC должен уметь реагировать на потенциальные угрозы до того, как появится предупреждение или сработает сигнал тревоги. Именно поэтому специалисты поставщика SOC должны быть доступны 24 часа в сутки, 7 дней в неделю, 365 дней в году, чтобы заказчик знал, что действительно получает за свои деньги круглосуточную помощь, а инциденты отрабатываются еще на ранних стадиях.
Дополнительные критерии
Помимо обязательных сертификатов ISO 27001, 20000, 9001 и лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг, также стоит обратить внимание на дополнительные характеристики поставщика, которые не относятся к технической составляющей, но при этом будут являться дополнительным плюсом. Например, если компания имеет статус CERT университета Карнеги Меллон и является аккредитованным членом международного сообщества FIRST (Forum of Incident Response and Security Teams). Например, у Infosecurity есть собственный центр реагирования на инциденты (IN4-CERT), аккредитованный университетом Карнеги-Меллон.
Результаты пилотного внедрения
Несомненно, при выборе сервиса необходимо проверять их в действии в собственной инфраструктуре, чтобы не было больших расхождений в реальности и декларируемом уровне сервисного обслуживания (SLA). Опыт проведения «пилотов» показывает, что уже на данном этапе можно обнаружить в организационных процессах заказчика ряд проблем, касающихся применения ИБ-сервисов в организации.
Дополнительно, на этапе проведения пилотных проектов, стоит убедиться, что подрядчик способен проводить экспертизу и расследовать инциденты, а не просто их детектировать – это позволит оптимизировать работы по реагированию и минимизировать последствия инцидента. Кроме того, рекомендуется соотнести ваши потребности с опытом провайдера: уточнить есть ли у компании опыт реализации аналогичных или больших по масштабам проектов (например, один из крупных проектов Infosecurity стал мониторинг территориально распределенной информационной системы «Открытия», включающей более 30 000 пользователей), а также организовать референс-визиты к существующим заказчикам.
Выводы
Цифровая трансформация, переход в облачные системы и передача внутренних ИБ-процессов на аутсорсинг сейчас в тренде. На рынке большое количество предложений по предоставлению сервисов для эффективной защиты всех бизнес-процессов компании, включая кибербезопасность. В этом направлении особенно актуальным стало развитие сервисной модели SOC (SOC as a Service).
Несмотря на такой тренд, при выборе подрядчика SOC компаниям важно понимать какие задачи он будет решать и что может предложить поставщик услуг конкретному заказчику — от этого будет зависеть результативность работы системы в инфраструктуре компании. Правильно реализованные и четкие процессы по мониторингу и реагированию на инциденты, переданные на аутсорсинг, могут стать важной частью обеспечения эффективной и надежной информационной безопасности организации. Поэтому необходимо проводить всеобъемлющую оценку поставщика: от определения возможностей предполагаемого стека технологий и декларируемого уровня сервисного обслуживания (SLA) до профессионализма команды, внутренних стандартов и процессов компании.
