«Сегодня перед отечественными представителями бизнеса и государства стоит множество вызовов, которые требуют оперативного ответа. С российского рынка ушли зарубежные поставщики. Киберугрозы становятся все более изощренными. А кадровый дефицит, тем временем, все еще остается проблемой. Об информационной безопасности задумывается теперь даже самая маленькая организация, ведь, глядя на количество успешно реализованных атак, уже тяжелее даются слова: «Мы люди незначительные. Кому нужны наши данные?» Взламывают всех. Это доказывают 56 млн строк персональных данных, которые утекли за 2022–2023 годы.
В ответ на эти угрозы активно популяризуется и развивается сфера кибербеза. Так, появляются новые образовательные программы, увеличивается количество бюджетных мест по релевантным специальностям, а также повышается престиж профессии безопасника. Но прошло еще недостаточно времени, и на рынке не хватает как раз опытных сотрудников уровня Middle, Senior с более чем пятилетним опытом.
Тем временем для того, чтобы обеспечить комплексную безопасность в организации, требуется круглосуточный мониторинг событий, оперативное выявление инцидентов и такое же оперативное реагирование на них. Учитывая, что инфраструктура средней компании ежедневно генерирует 250 млн событий информационной безопасности, в которых кроются порядка 50-100 инцидентов, требующих дополнительного анализа, с этой задачей не сможет справиться несколько даже самых квалифицированных сотрудников. Их количество необходимо увеличить, а при отсутствии опытных специалистов требуется организовать обучение. Зачастую компании и не имеют подобных ресурсов, и не хотят тратить на это время.
Таким образом свое развитие и особую популярность приобретает аутсорсинг. Учитывая описанные выше препятствия, а также повышенные требования государства к защите данных, становится ясно, почему организации все чаще обращаются к услуге SOC (Security Operation Center). За месяц-два и некоторую сумму денег заказчик получает тот самый непрерывный мониторинг, который ведут квалифицированные специалисты в соответствии со всеми необходимыми ГОСТами, ФЗ и приказами. Примерно 10 различных категорий специалистов (три линии расследования, аналитика, реагирование) оказывают различные услуги: мониторинг событий безопасности и анализ инцидентов, реагирование на инциденты, расследование инцидентов (форензика), коммерческий центр ГосСОПКА, тестирование на проникновение (пентест), поиск следов компрометации.
Прямой и полноценной альтернативы SOC пока нет. Это комплексное решение, достойной заменой которому может быть только комплекс разных продуктов. Но, помимо очевидной проблемы, связанной с их поиском и подбором, перед заказчиком встает задача сложной интеграции между решениями зачастую разных поставщиков; для их бесперебойной, качественной и, главное, результативной работы требуется наличие механизмов интеграции и подтвержденной совместимости, сертификаты о которой между собой имеют далеко не все отечественные решения.
Альтернативой коммерческим могут стать open-source-решения, где условная бесплатность компенсируется необходимостью доработок своими силами, то есть сэкономленные средства придется израсходовать на трудозатраты. Этот путь полон преград и преодолений: такой выбор заслуживает уважения, но он не подойдет многим средним компаниям, не говоря о больших, — слишком высока цена доработок под высокие требования энтерпрайза и слишком легко ошибиться по пути, полагаясь только на свои компетенции.
Поэтому оптимальным решением становится SOC. При правильном выборе он сможет сэкономит заказчику и время, и деньги. Самым важным критерием при выборе становится компетентность не только специалистов, но и их лидеров. Ведь необходимо не просто привлечь грамотных сотрудников, но и оперативно и качественно обучить их. В такой сфере, как информационная безопасность, одна и та же работа в разных организациях зачастую неодинакова, и даже опытному ибэшнику потребуется время, чтобы «влиться». А скорость и качество реагирования — показатель, на улучшение которого направлена почти вся деятельность по развитию людей, процессов и технологий в SOС, и основное отличие между коммерческими SOC на рынке кроется именно в нем.
Мы видим потенциал направления, и в рамках премии РБК Петербург Digital Awards в этом году представляли свой центр мониторинга и реагирования — GSOC. Он хоть и был анонсирован всего год назад, получил лицензии регулятора и имеет в составе проверенные временем продукты: Ankey SIEM NG (мониторинг событий информационной безопасности и выявление инцидентов в реальном времени), Efros Defence Operations (защита ИТ-инфраструктуры и прикладного ПО) и Ankey ASAP (расширенная аналитика событий и инцидентов информационной безопасности с функциями поведенческого анализа), а квалификация специалистов подтверждается победами на престижных конкурсах. Ценность и востребованность продукта подтверждает и то, что проект вошел в число лучших в рамках премии-исследования РБК Петербург Digital Awards в этом году.
Но, несмотря на такое большое количество достоинств у SOC, нужно помнить, что он не панацея от заразы, распространяемой злоумышленниками. Как и эта услуга, подход к информационной безопасности должен быть комплексным: организация должна быть надежно защищена, ее сотрудники должны следовать хотя бы базовым принципам цифровой гигиены и регулярно узнавать о новых способах кражи данных, потому что человеческий фактор остается одной из самых распространенных причин инцидентов информационной безопасности, которую не сможет устранить никакой прогресс».
