Облачная безопасность, или SOC в аренду

Владимир Дрюков
Руководитель направления аутсорсинга ИБ
Центра информационной безопасности компании
“Инфосистемы Джет"

Сейчас слова "управление инцидентами информационной безопасности", Security Operation Center (SOC) давно известны и даже уже успели набить оскомину руководителям служб ИБ практически каждой компании. Тем не менее, несмотря на все более конкретные и настойчивые требования различных регуляторов, сложившиеся best practice и уверения интеграторов, очень немногие компании смогли полноценно реализовать требуемый подход. В чем же причины этого?

Во-первых, в службе ИБ должны быть люди, более чем регулярно "заглядывающие" в консоли SIEM-системы, а если говорить серьезно, то должны быть выделены сотрудники, которые только и делают, что обеспечивают постоянный мониторинг и реагирование на инциденты (а при круглосуточном мониторинге их должно быть не менее 5 человек).

При этом даже в случае согласования необходимых штатных единиц за скобками часто остаются вопросы технической сложности самого SIEM, актуализации и развития профилей атаки и сценариев выявления инцидентов, закладываемых в его логику. Для того чтобы постоянно находиться "на волне" и поддерживать актуальность SOC, требуются весьма специфичные знания специалистов-аналитиков с широкими компетенциями в области ИБ, с хорошим пониманием как технологий защиты, так и способов нападения.

Словосочетания "облачная безопасность" и "SOC в аренду" в заголовке появились отнюдь не случайно, так как сегодня все более очевидным становится стремление компаний с разумным и разумно ограниченным уровнем паранойи попробовать получить сервис мониторинга и реагирования на инциденты ИБ от сервис-провайдера, то есть в режиме аутсорсинга.

Прозрачность = безопасность, или "Вскрытие покажет..."

Любой разговор об аутсорсинге безопасности так или иначе приходит к теме безопасности самого аутсорсинга и тавтология "безопасность аутсорсинга безопасности" является краеугольным камнем в развитии любого сервис-провайдера безопасности (начиная с ЧОПа и заканчивая JSOC). Поэтому мы покажем, как устроен JSOC, а вы решите, можно ли ему доверить свои инциденты безопасности.

Итак, JSOC позволяет эффективно решать различные задачи, встающие сегодня перед компаниями: от контроля базовой безопасности или соответствия требованиям регуляторов в рамках узкого перечня подключенных целевых систем до оперативного реагирования на все возникающие информационные угрозы.

В основе выполнения любого критичного SLA лежит возможность круглосуточного мониторинга и выявления инцидентов. В нашем случае – группа мониторинга и первичного реагирования. Их вклад в общее дело сложно недооценить: это и выявление, и регистрация инцидента в кратчайшие сроки, и оперативный разбор, и анализ большого потока типовых инцидентов, отсекание ложных срабатываний и при необходимости первичное информирование службы ИБ компании-заказчика.

На данный момент только в рамках первой линии разбираются и анализируются более 85% фиксируемых JSOC инцидентов, суммарно в рамках группы решается около 93% инцидентов.

Для глубокого погружения в инфраструктуру и бизнес-процессы компании-клиента JSOC за каждой из них закрепляется эксперт-аналитик, являющийся доверенным лицом клиента в рамках услуги и решающий задачи по регулярному разбору отклонений поведения систем от нормального состояния, доработке и кастомизации существующих сценариев выявления инцидентов, разработке и реализации новых сценариев обнаружения инцидентов, разбору и противодействию сложным и критичным инцидентам ИБ.

Помимо обозначенной команды существует группа развития JSOC, занимающаяся как архитектурными задачами по масштабированию, повышению показателей доступности и быстродействия системы, так и техническим развитием услуг – разработкой новых механизмов подключения источников и комплектов сценариев по выявлению инцидентов, анализом изменяющегося профиля угроз ИБ и запуском новых сервисов JSOC.

Что "чувствуют" клиенты JSOC?

Во-первых, использование JSOC дает компаниям ощущение полного контроля над ситуацией в их информационных системах, "прозрения" и полного понимания своих информационных потоков, происходящих событий, негативных тенденций. И эти "ощущения" очень сложно недооценить.

Во-вторых, дорого стоят и высокие скорости запуска JSOC. Как, например, гораздо ярче чувство, когда приходишь в магазин и сразу же получаешь свою покупку в руки, а не мучительно ждешь, когда же ее привезут. Аналогична ситуация с буквально двухнедельным стартом услуги JSOC: ее ни в коей мере нельзя сопоставить с многомесячным строительством собственного SIEM.

Если перейти от ощущений к фактам, то основных моментов можно насчитать три.

Во-первых, использование облачного сервиса способно минимизировать стартовые капитальные вложения, когда оборудование и программное обеспечение предоставляются аутсорсинговой компанией в аренду. В этом случае высокая цена SIEM-решения преобразуется в существенно меньшие ежемесячные платежи. Помимо этого, сервис-провайдер берет на себя обязанности по размещению и обслуживанию основного оборудования и ПО. Таким образом, компании гарантируются высокая доступность и бесперебойность предоставляемого сервиса, своевременное и корректное проведение всех работ по сопровождению системы. Эта рутинная и трудоемкая задача снимается со службы ИБ, позволяя ей заниматься другими, существенно более приоритетными задачами.

Во-вторых, использование ресурсов внешнего сервис-провайдера позволяет существенно сократить расходы на персонал. В рамках одной построенной дежурной смены сервис-провайдер в состоянии обслуживать сразу несколько клиентов и таким образом снижать прямые расходы клиентов от организации круглосуточного мониторинга инцидентов.

Помимо консалтинговой составляющей, опытный провайдер обладает еще и экспертизой в интеграции облачного сервиса с банковскими системами, оборудованием связи телеком-операторов, системами управления технологическими процессами, а также корпоративными CRM и ERP-приложениями, популярными в регионах его присутствия. И в рамках реализации своего сервиса он в состоянии использовать весь наработанный опыт как в интеграции своей платформы с бизнес-системами компаний-клиентов, так и в разработке и адаптации сценариев выявления инцидентов из сред различных клиентов. Правильное построение процесса позволит при возникновении ранее неизвестной угрозы у одного из клиентов сервиса в считанные часы обеспечить защиту от нее других клиентов. Использование такого "боевого" опыта практически невозможно заменить даже высочайшей экспертизой внутренних специалистов.