Эксперты по кибербезопасности считают, что проблемы кибербезопасности, с которыми сталкиваются компании, будут продолжать появляться и становиться все более изощренными. В современном мире информационная безопасность - это не единичный реализованный проект. Технологии киберпреступников тоже не стоят на месте, поэтому постоянное развитие и оптимизация решений и процессов информационной безопасности является стратегической задачей. Однако отрасль по-прежнему страдает от острой нехватки специалистов по кибербезопасности, и спрос на новые таланты будет продолжать расти, что затрудняет привлечение талантов (и их удержание) в организацию, чем это было раньше.

Что может сделать компания, чтобы обеспечить безопасность своей деятельности в такой, казалось бы, безвыходной ситуации? Одно из решений - облачный SOC, то есть взаимодействие со специализированными организациями, предоставляющими услуги по выявлению, обработке и расследованию инцидентов - так называемыми центрами облачного мониторинга. Вместо того, чтобы создавать и поддерживать собственный центр мониторинга и реагирования в компании с нуля, тратя на это значительные ресурсы, бюджет и время, заказчик может получать все услуги напрямую от поставщика. Однако недостаточно просто мгновенно доверить безопасность операций и критически важных данных компании третьей стороне. К выбору поставщика SOC нужно отнестись серьезно. При поиске поставщика важно убедиться, что партнер полностью оправдает ваши ожидания и сможет грамотно подстроиться под компанию и ее внутренние процессы.

На какие факторы следует обращать внимание при выборе поставщика облачных SOC? Опыт самостоятельного строительства и эксплуатации центров мониторинга и реагирования. Пожалуй, это один из главных критериев. Если провайдер смог построить и успешно поддерживать собственный SOC, то он четко понимает, как это работает и что на самом деле нужно заказчику. Например, Infosecurity имеет проверенный опыт предоставления решений и услуг компаниям всех размеров и отраслей. Компетенции команды Не менее важным критерием является набор компетенций, заявленных поставщиком услуг - помимо мониторинга и обнаружения, команда должна иметь опыт расследования инцидентов. Убедитесь, что в компании-поставщике есть специализированный отдел, укомплектованный сертифицированными специалистами, имеющими реальный практический опыт мониторинга и реагирования на события информационной безопасности. Разумно выбирать поставщика не только из-за их технологических знаний и навыков, но и из-за их глубокого понимания предметной области. Для провайдера SOC важно иметь глубокие знания о бизнесе и отраслях, понимать вектор атак и угроз, актуальных для инфраструктуры конкретного клиента. Для некоторых компаний будет важно иметь отраслевой опыт: например, не все провайдеры SOC имеют представление о работе инфраструктуры финансовых учреждений или ICS. Как можно проверить такие компетенции? Ознакомиться с реальными кейсами от крупных заказчиков элементарно.

Возможности моделирования угроз Как и в большинстве случаев в жизни, предотвращение намного лучше, чем лечение. Следовательно, поставщик, который может понять и извлечь уроки из данных для создания моделей, которые могут предоставлять сигналы раннего предупреждения, будет бесценным активом. При выборе поставщика услуг SOC разумно выбрать кого-то с сильными возможностями анализа кибербезопасности. Этим поставщикам следует отдавать предпочтение перед другими. Масштабируемость Некоторые провайдеры больше ориентированы на средний или даже малый бизнес. Другие могут расти и масштабироваться до очень больших сетей на многих континентах. Вам необходимо понять, может ли компания работать как с крупными, так и с небольшими сетевыми инфраструктурами и может ли она адаптироваться к конкретным потребностям клиента. Собственная разработка компонентов SOC Стоит отметить, что у провайдера SOC есть собственные разработки, например, системы SIEM и IRP. Большинство поставщиков услуг SOC полагаются на сторонние компоненты для обработки событий и обнаружения инцидентов, что приводит к дополнительным расходам TCO для клиента. Поэтому, если для клиента важна экономия бюджета, стоит обратить внимание на поставщиков с их собственными решениями и платформами обнаружения инцидентов. К тому же такой провайдер всегда будет готов выслушать пожелания заказчика и дополнить свое решение нужным ему функционалом. В отличие от других поставщиков услуг, использующих решения сторонних поставщиков, Infosecurity сама формирует дорожную карту продукта и быстро отвечает на запросы клиентов о новых возможностях.

Комплексный подход. Многие поставщики услуг информационной безопасности ограничивают свои возможности мониторингом, корректировкой сценариев обнаружения и аналитическими отчетами об инцидентах. Для покупателей эта модель давно перестала быть актуальной. Недостаточно просто получить оповещение об инциденте, его краткое изложение и возможные рекомендации по его устранению. Заказчику необходим полноценный сервис для непрерывного мониторинга, анализа событий, обнаружения атак и мгновенного реагирования на них - весь комплекс обеспечения информационной безопасности организации. Также значительным плюсом для поставщика будет возможность поддерживать инфраструктуру, на которой работает SOC и система защиты информации заказчика. Доступность 24/7/365 Одна из причин рассмотреть вопрос о передаче мониторинга SOC на аутсорсинг поставщику - это улучшить общее отслеживание центра реагирования. Если компания выбирает облачный SOC, то она полностью доверяет все процессы провайдеру. Даже если у заказчика есть специалисты, готовые обрабатывать данные и работать с инцидентами, они не могут поддерживать систему круглосуточно, как того требует система. В конце концов, некоторые задачи могут быть проигнорированы или забыты, или к тому времени, когда сработает будильник, может быть уже слишком поздно. Следовательно, поставщик SOC должен уметь реагировать на потенциальные угрозы до того, как сработает предупреждение или сигнал тревоги. Поэтому специалисты поставщика SOC должны быть доступны 24 часа в сутки, 7 дней в неделю, 365 дней в году, чтобы заказчик знал, что он действительно получает круглосуточную помощь за свои деньги, а инциденты возможны. обрабатывается на ранней стадии.

Также стоит обратить внимание на дополнительные характеристики поставщика, не относящиеся к техническая составляющая, но при этом будет дополнительным плюсом. Например, если компания имеет статус CERT Университета Карнеги-Меллона и является аккредитованным членом международного сообщества FIRST (Форум групп реагирования на инциденты и безопасности). Например, Infosecurity имеет собственный Центр реагирования на инциденты (IN4-CERT), аккредитованный Университетом Карнеги-Меллона. Результаты пилотного внедрения Несомненно, при выборе услуги необходимо проверить их в действии на собственной инфраструктуре, чтобы не было больших несоответствий в реальности и заявленному уровню сервиса (SLA). Опыт проведения «пилотов» показывает, что уже на этом этапе в организационных процессах заказчика можно обнаружить ряд проблем, касающихся использования услуг информационной безопасности в организации. Дополнительно на этапе проведения пилотных проектов стоит убедиться, что подрядчик может проводить экспертизу и расследовать инциденты, а не просто их обнаруживать - это позволит оптимизировать работу по реагированию и минимизировать последствия инцидента. Кроме того, рекомендуется соотнести свои потребности с опытом провайдера: уточнить, есть ли у компании опыт реализации аналогичных или крупномасштабных проектов (например, одним из крупных проектов Infosecurity был мониторинг территориально распределенной информационной системы Открытие, в которую входит больше более 30 000 пользователей), а также организовать ознакомительные посещения существующих клиентов.

Выводы: Цифровая трансформация, переход на облачные системы и перенос внутренних процессов ИБ на аутсорсинг сейчас в тренде. На рынке существует большое количество предложений по оказанию услуг по эффективной защите всех бизнес-процессов компании, в том числе кибербезопасности. В этом направлении особенно актуальным стало развитие сервисной модели SOC (SOC as a Service). Несмотря на эту тенденцию, при выборе подрядчика SOC компаниям важно понимать, какие задачи он будет решать и что поставщик услуг может предложить конкретному заказчику - от этого будет зависеть эффективность системы в инфраструктуре компании. Хорошо реализованные и понятные процессы мониторинга и реагирования на инциденты, переданные на аутсорсинг, могут быть важной частью обеспечения эффективной и надежной информационной безопасности для организации. Поэтому необходимо провести комплексную оценку поставщика: от определения возможностей предложенного стека технологий и заявленного уровня обслуживания (SLA) до профессионализма команды, внутренних стандартов и процессов компании.