Гибридный SOC: актуальная модель предоставления услуг кибербезопасности

Комплексный подход к ИБ – основа цифровой трансформации

На российском рынке ИБ уже более двух лет происходят кардинальные изменения. В 2022 году МегаФон совместно с АО «ТНС МИЦ» провел исследование «Индекс кибербезопасности в России», опросив представителей 400 компаний крупного и среднего бизнеса. Уже тогда 85% респондентов отметили, что ИБ стала обязательным требованием на пути к цифровизации бизнеса, и выразили уверенность в том, что в ближайшие годы она будет играть ключевую роль в развитии экономики страны.

Действительно, значительный рост количества и мощности кибератак в то время потребовал от компаний, причем не только сегмента Enterprise, внедрения комплексной киберзащиты. Наряду с целевыми атаками активно проводились массовые, которые могли затронуть кого угодно. Ситуация усугублялась еще и тем, что многие компании перевели существенную часть бизнеса в онлайн-среду, где рисков появляется еще больше.

Клиенты МегаФона тоже всё чаще стали обращаться в компанию с запросами на решения в сфере ИБ. В июле 2022 года мы запустили собственный коммерческий SOC именно для того, чтобы удовлетворить их возросшие потребности в этом направлении.

Сегодня компании продолжают инвестировать в укрепление кибербезопасности и устойчивости к угрозам. Рынок ИБ растет и развивается с учетом новых вызовов, с которыми сталкиваются существующие и потенциальные заказчики. Основными тенденциями на нем можно назвать рост требований к скорости внедрения решений и к глубине покрытия ими, объединение всех средств защиты в один центр мониторинга и принятия решений. Для большой доли заказчиков характерна передача максимально возможного функционала на сторону провайдера SOC.

При этом у части других компаний, которые, наоборот, нацелены на развитие внутреннего контура ИБ, возник новый вызов. Они инвестировали в приобретение новых мощных средств защиты, таких, как SIEM-система (Security Information and Event Management, система автоматизированного сбора событий безопасности и выявления инцидентов). В то же время кадровый дефицит в сфере ИТ/ИБ и серьезное изменение ИТ-ландшафта провоцирует большую нагрузку на существующие ИБ-подразделения таких заказчиков. В итоге случается, например, что компания закупила дорогостоящее ПО, но не может обеспечить его качественную эксплуатацию и поддержку, либо запустила длительный процесс миграции со старой импортной системы.

В этой ситуации осознанная передача части операционных задач на сторону внешнего поставщика услуг становится оптимальным решением проблемы. Поэтому сегодня на рынке мы наблюдаем рост востребованности гибридной модели предоставления услуг SOC.

Фото freepik.com

Особенности и преимущества гибридного SOC

«Гибридность» SOC заключается в основном в том, что в комплексном проекте коммерческий центр мониторинга задействует как собственные средства защиты, так те системы ИБ, которые уже имеются в распоряжении заказчика. В самой распространенной схеме модель предоставления услуги зависит от места расположения автоматизированной системы сбора событий SIEM – по сути, базовой системы для SOC. Она может быть размещена в облаке поставщика услуг или располагаться в инфраструктуре заказчика.

К ней привязан набор услуг, который, по сути, расширяется услугами по анализу состояния конкретного SIEM-решения, корреляционных правил в нем и возможности развития его состояния за счет переработки внутренних сущностей (правил нормализации, агрегации, корреляции).

В гибридном SOC заинтересованы заказчики, у которых уже выстроена внутренняя система обеспечения ИБ. Пройдя этап настройки инфраструктуры и сбора событий, они сталкиваются с необходимостью анализа собранных событий и закупают SIEM-систему. Однако даже при качественном внедрении данная система требует экспертизы для ее поддержки и выделенных вычислительных ресурсов на оперативный разбор генерируемых ею событий. Попробовав всё это реализовать своими силами, заказчики часто приходят к выводу, что вместо формирования отдельной внутренней команды проще отдать эту задачу внешнему поставщику.

Таким образом, ценность гибридного SOC для заказчика состоит в том, что ему иногда не нужно уходить в процесс миграции со старой SIEM на новую, который может пугать объемом работ. А если все-таки есть необходимость миграции в связи с политикой импортозамещения, внешние специалисты помогут обслуживать решение в период реализации проекта. Кроме того, данные, собираемые в SIEM по такой модели, остаются в контуре заказчика, что критически важно для некоторых организаций.

Для самого SOC в таком сценарии преимущество – в расширении экспертности. Каждое внедрение SIEM-системы уникально, иногда можно встретить необычные решения и реализации, которые пополнят опыт команды.

Гибридный SOC сегодня достаточно востребован, поскольку отечественный рынок SIEM расширяется, на нем существует ряд крупных игроков. Тренд на приобретение SIEM-систем, который был актуален некоторое время назад, способствовал тому, что во многих организациях такие системы уже имеются. Этот факт органично двигает владельца к следующему шагу: построению мониторинга на базе купленных решений. Кроме того, рынок ИБ в целом бурно развивается, появляется всё больше решений, которые могут принести реальную пользу, если передать их в руки команд, обладающих соответствующей экспертизой. Такая динамика также способствует развитию услуг гибридного SOC. Поэтому спрос на него определенно будет расти и в 2025 году.

SOC как единый центр экспертизы в области ИБ

Очевидно, что значение центров мониторинга киберугроз для бизнеса постоянно повышается. Сами SOC развиваются в сторону автоматизации, которая помогает повысить количество обрабатываемых инцидентов за единицу времени и точность анализа, собирать дополнительные метрики, отражающие состояние сервиса. Зачастую SOC уже является центральным элементом экосистем обеспечения ИБ. Кроме того, заказчики могут обращаться к экспертам провайдера с вопросами, которые напрямую не относятся к сервисам мониторинга и реагирования: например, по преимуществам определенных информационных технологий или встраиванию средств защиты.

Чтобы качественно удовлетворить все потребности заказчика, провайдеру необходимо глубоко погрузиться в его процессы, детально формулировать предоставляемые услуги и процесс их оказания, чтобы ожидания сошлись с реальностью и был достигнут адекватный результат. Отдельно стоят задачи импортозамещения, для закрытия которых клиентам необходимо содействие в миграции на отечественные решения и встраивание их в процессы обеспечения ИБ без потери качества и сильного изменения процессов. Благодаря этому опыт специалистов SOC и спектр их компетенций сильно расширяется.

Сегодня коммерческий SOC по-прежнему сфокусирован на услугах по мониторингу, анализу событий и реагированию на инциденты. Но это далеко не все его возможности. Например, накопленная экспертиза позволяет ему оказывать содействие заказчикам при миграции систем, быстром внедрении новых СЗИ в структуру мониторинга и реагирования, предоставлении рекомендаций по совершенствованию системы защиты.