Сергей Сенютин: «Компании готовы доверить провайдерам заботу об информационной безопасности»

Построение такого центра внутри инфраструктуры компании — процесс долгий и трудозатратный. Поэтому все более востребованной становится услуга аутсорсинга и создание SOC в облаке. Сергей Сенютин, эксперт по решениям информационной безопасности группы компаний Softline в ПФО, рассказал в интервью «Реальному времени», как работает облачный SOC и почему не стоит бояться аутсорсинга информационной безопасности.

— Что такое SOC, и кому он нужен?

— Центр мониторинга и реагирования на инциденты — это отдельное подразделение в компании, которое выстраивает работу по противодействию хакерским атакам на организационном и техническом уровне. Появление SOC позволяет компаниям успешно отслеживать и отражать атаки, а при необходимости — оперативно устранять их последствия. Первыми создавать у себя Центры мониторинга начали представители финансовой сферы, так как так там ущерб от вторжения приносит очевидный финансовый и репутационный ущерб. Сейчас проектами по строительству SOC интересуются и другие отрасли, причем как крупные компании, так и средний и малый бизнес.

— Как происходит процесс создания Центра мониторинга?

— Существует три варианта создания SOC: построение внутри собственной инфраструктуры заказчика, аутсорсинг и использование облачного сервиса. SOC on Premise («SOC в помещении» — собственный SOC) до недавнего времени предпочитало большинство крупных компаний. Как и в случае с созданием дата-центров, такой подход казался руководству бизнеса более удобным и безопасным: оборудование и специалисты находятся в здании, в любой момент можно проконтролировать их работу. Аргументом против такого подхода является тот факт, что создать надежный Центр мониторинга самостоятельно можно только уже обладая четко выстроенными процессами внутри ИБ-подразделения и наняв специалистов высококлассного уровня. Реализация такого проекта отнимает немало времени и денег.

В ответ на потребности клиентов крупные IT-провайдеры предложили сервис по обслуживанию SOC. Эта схема подразумевает, что заказчик обладает собственными или арендованными платформами SIEM (Security information and event management — управление информационной безопасностью и событиями безопасности) и IRP (Incident Response Platform или платформа реагирования на инциденты ИБ), но команду мониторинга, а иногда и реагирования, он берет в виде сервиса у специализированной компании.

И наконец, SOC можно построить с нуля в облаке. Такой сервис предлагает, например, Softline и входящая в ее состав Infosecurity. Облачный сервис ISOC позволяет построить эффективную систему мониторинга и реагирования на инциденты и управлять ею практически с нуля. Все сервисы, включая пользование SIEM и IRP, заказчик получает напрямую у провайдера. Данные попадают в Центр мониторинга и обработки данных Softline посредством защищенного канала связи и обрабатываются с помощью стэка технологий больших данных. Причем, в отличие от «домашнего», облачный SOC работает круглосуточно, а не только в рабочее время вашей компании.

Компаниям среднего и малого бизнеса могут подойти уже готовые пакетные решения, для крупных компаний состав облачного SOC всегда подбирается индивидуально.

— Охотно ли компании решаются передать управление информационной безопасностью на аутсорсинг?

— Аутсорсинг и облачные сервисы давно перестали пугать бизнес. Если раньше миграция в облако была характерна только для некритичных бизнес-процессов, то теперь компании убедились в надежности облаков и готовы доверить провайдерам заботу о защите информации. Softline ежегодно получает десятки запросов на ИБ-аутсорсинг, и новый сервис облачного SOC также все больше интересует наших действующих и новых заказчиков. Пилотные проекты по его внедрению есть и в ПФО — например, в скором времени мы запустим «пилот» в одной из компаний из сферы автомобилестроения.

Чаще всего главным аргументом становится экономия бюджета. Полноценное подразделение ИБ, покрывающее все необходимые функции обеспечения защищенности, могут себе позволить только крупнейшие компании. Тем, у кого больших бюджетов на ИБ нет, остается два варианта. Первый — принять риски — чаще всего является неприемлемым хотя бы с точки зрения соответствия законодательству в области информационной безопасности. Проигнорировать требования регуляторов — значит нарушить правила игры и уйти с рынка. Использование услуг специализированных компаний, предоставляющих сервисами по аутсорсингу информационной безопасности, позволяет перевести капитальные траты на информационную безопасность в операционные, при этом получив высокий уровень сервиса. Сейчас ИБ-аутсорсинг востребован прежде всего у представителей небольших компаний, которые не могут себе позволить содержать целое специализированное подразделение. Крупный бизнес сталкивается с другой проблемой — нехваткой кадров. По данным консалтинговой компании EY, к 2023 году дефицит специалистов по кибербезопасности достигнет 1,8 млн человек.

— Сколько экономит компания, приняв решение внедрить у себя облачный SOC?

— Размер экономии зависит от размеров компании и функционала Центра мониторинга. Например, если небольшая компания решит построить SOC самостоятельно, ей сначала придется внедрить SIEM и IRP (это будет стоить не меньше 5—10 млн рублей), а после нанять специалистов по поддержке SIEM и команду аналитиков из трех линий поддержки (их услуги будут стоить от 14 млн рублей в год). Внедрить у себя готовое решение можно за сумму от 4 млн рублей, еще 3 млн рублей будет стоить годовое обслуживание. Пакетные сервисы ISOC включают в себя весь функционал для решения наиболее распространенных задач заказчиков с прозрачным лицензированием. Стоимость решения для крупного бизнеса зависит от количества станций, набора средств защиты информации, срока хранения данных у провайдера и модели потребления (только мониторинг, либо реагирование на инциденты, устранение атак). И здесь при выборе облака экономия может достигать уже десятков миллионов рублей.

— Будет ли создание облачного SOC быстрее, чем строительство собственного?

— Разумеется. Внедрение облачного SOC, как правило, занимает до 2 месяцев при подключении к пакетному сервису и до 1 года при реализации собственного проекта для заказчика на его мощностях. Строительство центра внутри инфраструктуры заказчика обычно занимает от 1 года и более. Причем усовершенствованием собственного Центра мониторинга необходимо заниматься бесконечно, так как картина киберугроз меняется едва ли не ежедневно. То же делает и облачный провайдер, но дополнительных ресурсов заказчик на это не тратит.

Кроме того, SOC в облаке помогает решить кадровый вопрос. Специалисты, способные создать и поддерживать ситуационный центр — это своеобразная элита на рынке ИБ, они должны обладать высочайшими компетенциями и постоянно повышать квалификацию. В случае ухода такого сотрудника, вы вряд ли сможете быстро его заменить. Привлечение к обслуживанию SOC опытного ИБ-провайдера позволит получать стабильный уровень сервиса и не зависеть от личности конкретного специалиста.

— На что обратить внимание при выборе компании, предоставляющей сервис SOC в облаке?

— Прежде всего уточните, есть ли у провайдера опыт самостоятельного построения и эксплуатации Центров мониторинга и реагирования. Компании, построившие и успешно обслуживающие собственный SOC, однозначно понимают, как он работает и что действительно нужно заказчику. Поищите информацию о крупных проектах провайдера, отзывы клиентов, сведения о имеющихся у него сертификатах.

Infosecurity имеет подтвержденный опыт внедрения SOC и оказания услуг по его обслуживанию в компаниях различных отраслей, в том числе на протяжении 10 лет специалисты компании обслуживали инфраструктуру группы компаний «Открытие», а недавно коллеги завершили проект по внедрению ISOC в компании Plazius — разработчике системы мобильных платежей и платформы для цифрового маркетинга.

Кроме того, компания заключила соглашение о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и получила статус корпоративного центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Отмечу, что Infosecurity имеет подтверждение своих компетенций на международном уровне, а именно статус CERT университета Карнеги Меллон и является аккредитованным членом международного сообщества FIRST (Forum of Incident Response and Security Teams). Компания получила сертификаты ISO 27001, 20000, 9001 и лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг.

— Как клиент может ознакомиться с работой облачного SOC перед внедрением в своей компании?

— Своим потенциальным заказчикам мы предлагаем увидеть работу облачного SOC своими глазами, приехав в офис Infosecurity. Вы сможете пообщаться с экспертами Центра мониторинга, посмотреть изнутри на процессы реагирования и оценить требуемые компетенции. Также можно запустить пилотный проект SOC, в рамках которого, используя типовые источники событий, провайдер демонстрирует основы своей работы: оперативное оповещение по телефону и электронной почте, дашборды по событиям и инцидентам, регулярную отчетность.

Партнерский материал