• CIS Magazine

Сравнение услуг коммерческих SOC (Security Operations Center)



Первое публичное сравнение услуг известных в России коммерческих центров мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC — Security Operations Center). Результаты сравнения помогут потенциальному заказчику выбрать наиболее подходящего поставщика, способного взять SOC на аутсорсинг и обеспечить взаимодействие с НКЦКИ. Сравнение проводилось по 179 критериям, характеризующим полноту и качество предоставляемых услуг. В первой части сравнения участвуют: Solar JSOC, BI.ZONE SOC, IZ:SOC, Angara ACRC, JET CSIRT, CyberART.


Введение

«Что такое SOC?» Вопросы подобного рода и ответы на них до сих пор рождают жаркие споры в среде безопасников. Считается, что история центров мониторинга началась с 90-х годов прошлого века, когда в ответ на эпидемию Червя Морриса Университет Карнеги-Меллон в США создал и зарегистрировал патент на первую CERT (Computer Emergency Response Team — команда экстренного реагирования на компьютерные атаки). Дальнейшее становление центров мониторинга в мире шло «в ногу» с развитием ИТ- и ИБ-отрасли в целом, что неизбежно привело к появлению сервисной модели поддержки при киберинцидентах. Помимо государственных и внутрикорпоративных служб мониторинга стали появляться и коммерческие организации, готовые оказать комплексную помощь в борьбе с кибератаками. Итак, попробуем разобраться с определениями.


Организационно центр оперативного мониторинга и реагирования на инциденты кибербезопасности (SOC) представляет собой группу экспертов по защите информации, отвечающую за постоянный контроль и анализ состояния безопасности организации, используя комбинацию технологических решений и действуя в рамках четко выстроенных процессов. SOC обычно укомплектованы аналитиками и инженерами в области безопасности, а также сервис-менеджерами, которые обеспечивают оперативное взаимодействие с клиентом. Кроме того, для быстрого устранения последствий инцидентов подключается группа реагирования.


SOC призван отслеживать активность в сетях, на серверах и рабочих станциях, в базах данных, приложениях, веб-сайтах и других системах, обнаруживая аномальные и злонамеренные действия, которые могут указывать на инцидент безопасности или компрометацию данных. Важно подчеркнуть: вообще говоря, сервис-провайдер SOC несет ответственность за то, чтобы потенциальные и реальные инциденты безопасности были правильно идентифицированы, проанализированы, зарегистрированы и расследованы.


Можно долго спорить, что важнее для SOC — люди или технологии; но без структуры процессов точно не будет ожидаемого результата. Таким образом, первым шагом при привлечении сервиса SOC должно быть четкое определение целей, и желательно таких, которые коррелируют со стратегией информационной безопасности компании. В качестве ключевых вопросов для формирования таких целей могут выступать следующие:

  • какие конкретно сервисы SOC вам нужны в первую очередь,

  • каковы ваши ожидания от услуги в целом с учетом вашей инфраструктуры и состава средств защиты, достаточно ли их для полноценного сервиса,

  • какие из процессов (например, детектирование, реагирование, расследование) вы действительно готовы отдать на аутсорсинг, и какова ответственность, насколько вы готовы предоставлять доступ к собственной инфраструктуре (а он точно понадобится в том или ином виде),

  • исходя из чего вы будете оценивать экономическую эффективность с учетом предложенных тарифов,

  • какие сопутствующие услуги важно получать дополнительно: предоставление средств защиты «как сервис», управление собственным парком средств защиты, аудиты безопасности, Threat Hunting и т.п.

Последний пункт в этом перечне крайне важен, поскольку деятельность коммерческих SOC в России обычно тесно связана с предложением сопутствующих сервисов. Самый популярный тип таковых — это MSSP (Managed Security Service Provider — предоставление управляемых сервисов безопасности). Управляемые услуги безопасности нужны для контроля и администрирования конкретных защитных решений и могут предлагаться довольно широким набором: от настройки инфраструктуры до управления безопасностью или активного (самостоятельного) реагирования на инциденты. Обычно желание работать с MSSP обусловлено отсутствием внутренних ресурсов или опыта в определенных областях или продуктах ИБ, а также для оперативного мониторинга и управления в нерабочее время. Кроме того, нередко возникает потребность и в получении самих средств защиты «as a service», т.е. в аренду. Такого рода бизнес исторически является прерогативой интеграторов, однако схожие предложения нередко существуют в портфелях провайдеров SOC. Подобный дополнительный сервис может оказаться полезным для ряда заказчиков при переходе на преимущественно операционную модель затрат (OPEX).


Другое актуальное сейчас предложение — услуга центра ГосСОПКА. Поскольку объекты критической информационной инфраструктуры (КИИ) и некоторые другие сущности обязаны подключаться к НКЦКИ, возможность собирать «правильные» инциденты ИБ или хотя бы приводить их к нужным форматам — хорошее дополнение к коммерческому сервису SOC.


Справедливым будет и упоминание о технологиях. Выбирая поставщика SOC, заказчики ожидают как минимум получить классические преимущества любого облачного сервиса: доступ к наиболее продвинутым техническим решениям без необходимости следить за особенностями конкретных вендоров и актуальностью версий. Перечень конкретных решений — тема для отдельных жарких споров, но без ряда базовых средств мониторинга и защиты информации сложно себе представить даже «in-source» (внутренний) SOC в средней компании, не говоря уже о коммерческом центре. К таким средствам принято относить управление журналами и событиями (Log Management/SIEM), реагирование на инциденты (Incident Response Platform, IRP), киберразведку (Threat Intelligence Platform, TIP), обслуживание обращений (Service Desk), анализ трафика и сетевые расследования (Network Traffic Analysis / Network Forensics, NTA / NFR), детектирование и реагирование на конечных точках (Endpoint Detection and Response, EDR), подключение к источникам данных о репутации или базам индикаторов компрометации (IoC). В сравнении мы расширили данный перечень, чтобы представить как можно более полную картину при выборе поставщика SOC.


Если есть средства («чем мониторить»), необходимо, чтобы был объект («что мониторить»). Разумеется, существуют минимальные требования к инфраструктуре заказчика и к уровню зрелости его ИБ в целом. Этим обусловлен своего рода ценз (в том числе — финансовый) при рассмотрении возможности приобретения аутсорсингового SOC. Перечень конкретных требований может быть расплывчатым, но для получения результата почти все поставщики сходятся в следующем.

  1. Должна быть возможность получения событий с хостов или установки агента на конечных точках.

  2. Должны быть, как минимум, базовые источники для получения протоколов (AD, FW).

  3. Следует определить периметр сети или по крайней мере описать ключевые инфраструктурные средства защиты.

  4. Необходимо обеспечить доступ к системам анализа сетевого трафика или возможность установки NTA.

Кстати, ровно год назад мы проводили собственный анализ российского рынка услуг и продуктов для центров мониторинга информационной безопасности (SOC). Поэтому долгих рассказов о видах SOC в России и ключевых поставщиках не будет; сосредоточимся на самом сравнении.  


Методология сравнения услуг коммерческих SOC

При разработке методологии сравнения мы исходили из реальной практики оказания услуг SOC отечественными поставщиками. Именно поэтому для тех читателей, кто активно сотрудничал в этой области только с зарубежными партнерами, подбор категорий может показаться местами странным. Однако, таковы реалии спроса и предложения на данный сервис в России.


Краеугольным камнем любого сравнения является набор критериев, по которому оно проводится. Их количество зависит от ряда факторов: глубины исследования, степени различий между провайдерами SOC, разброс и наполнение которых весьма широки. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и содержание развернутых ответов по каждому из них, так как сервисы могут серьезно различаться даже на этом уровне. Следуя такому принципу, мы отобрали 179 критериев, сравнение по которым упростит выбор поставщиков SOC.


Для удобства все критерии разделены на следующие категории:

  1. Общие сведения

  2. Тестовый период

  3. Личный кабинет

  4. Мониторинг и управление событиями безопасности

  5. Управление инцидентами

  6. Расследование инцидентов

  7. Управление средствами защиты

  8. Услуги центра ГосСОПКА

  9. Дополнительные услуги

  10. Технологии поставщика SOC

  11. Персонал SOC Возможность двусторонней интеграции с инфраструктурой клиента

  12. Гарантии качества (SLA)

  13. Система оповещения и отчетность Режим работы и техническая поддержка

  14. Предоставление актуальных в рамках SOC средств защиты в аренду (MSSP)

  15. Ценовая политика

Для участия в сравнении было отобрано шесть наиболее известных в России коммерческих SOC:

  • Solar JSOC

  • BI.ZONE SOC

  • IZ:SOC

  • Angara ACRC JET CSIRT

  • CyberART (ранее — SOC ICL СТ)

Все перечисленные выше поставщики сервисов SOC активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.



Выводы

Как видно из расставленных акцентов в сравнении, понимание ключевых функций, которые должен выполнять коммерческий центр мониторинга информационной безопасности, сильно разнится. Во многом это по-прежнему объясняется уровнем зрелости рынка SOC в России, который отстает от общемировых тенденций. Однако появление серьезной конкуренции, которой не было еще 2-3 года назад, оказывает благоприятное влияние на общее качество услуги в стране. Так, всеми поставщиками SOC применяется актуальный стек технологий, в том числе еще не повсеместно распространенные Threat Hunting Platform (THP) и Network Traffic Analysis (NTA). Исключение здесь составляют автоматизация базы знаний для клиентов (используют 3 провайдера) и Endpoint Detection and Response (используют 3 провайдера). Отметим интересную статистику по персоналу рассмотренных SOC, компетенции и численность которых растут, а функции — грамотно распределяются между подразделениями.


Удовлетворяя совершенно разноплановые запросы клиентов, сервис-провайдеры вынуждены оказывать дополнительные услуги, фокусируясь не только на классической для SOC задаче мониторинга и оперативного реагирования на инциденты ИБ. Например, аутсорсинг эксплуатации клиентских средств защиты информации предлагают все без исключения поставщики. Кроме того, портфель каждого провайдера содержит широкий спектр сопутствующих сервисов, прямо не связанных с основной деятельностью SOC. К ним можно отнести управление уязвимостями, внутренние технические аудиты, compliance-проверки, Threat Hunting, инвентаризацию инфраструктуры клиента на периодической основе и другие. Интересно, что сильно разнится состав услуги по предоставлению средств защиты (актуальных в рамках SOC или близких к нему) в аренду: если FW, IDS, WAF, Sandbox или SIEM на таких условиях предлагают практически все поставщики, то Database Activity Monitor, Threat Intelligence Platform, Network Traffic Analysis, Vulnerability Management, IRP и даже DLP встречается у единиц.


Список сценариев реагирования исчисляется десятками, а перечень поддерживаемых систем для постановки на мониторинг — сотнями. Отметим, что доработка под нестандартный коннектор или создание нового правила корреляции занимает у всех поставщиков от нескольких часов до нескольких суток, что крайне оперативно. Порадовало, что в целом провайдеры готовы делиться разработанными индивидуальными объектами такого рода с клиентами, хоть и на особых условиях.


После анализа раздела «Управление инцидентами» должно стать очевидным то, почему мы начали с определения термина «инцидент» и отнесения его к различным типам. От этого очень сильно зависит трактовка всех остальных критериев, поэтому рекомендуем внимательно изучить эти нюансы. Так или иначе, все сервис-провайдеры заявляют гибкие сценарии по работе с инцидентами и ретроспективный анализ, а накапливаемый опыт отражается в индивидуальной «тонкой настройке» сервиса. Почти каждый предлагает и сопутствующую услугу — обратную разработку (reverse engineering) образцов вредоносного программного обеспечения.


У всех поставщиков есть возможность оказания технической поддержки 24х7, но конкретная сервисная программа может зависеть от тарифа. Оповещение об инцидентах и любое другое взаимодействие с заказчиком может быть налажено почти по любому современному каналу связи. Увы, но на самые интересные вопросы — касающиеся стоимости услуг SOC — прямой ответ смогли дать единицы. Даже несмотря на то, что критерии формирования ценовой политики в целом похожи, итоговая стоимость для заказчика определяется на основании многих факторов:

  • количества подключаемых источников,

  • объема поступающих данных,

  • уровня технической поддержки,

  • числа нестандартных коннекторов или сценариев (use-cases),

  • количество и типы устройств (для сопутствующих сервисов: «управление средствами защиты» и «предоставление средств защиты в аренду»).


С учетом отечественного законодательства все без исключения рассматриваемые игроки обязаны работать в правовом поле и имеют соответствующие лицензии регуляторов, основная из которых — ФСТЭК ТЗКИ с пунктом «в». А вот подтверждений качества со стороны внешних сертификаций по ИБ — немного, но видно, что провайдеры активно движутся в этом направлении. Сроки подключения услуги вполне разумны и составляют в среднем 1 месяц, с возможностью предварительного тест-драйва. Личный кабинет специально под сервис разработан еще не всеми, но даже в его отсутствие есть возможность попасть в собственную консоль SIEM или IRP, ограниченную правами конкретного клиента. При необходимости организация канала VPN согласно алгоритмам по ГОСТу также не является проблемой.


Отдельно стоит упомянуть услуги центра ГосСОПКА. При всем существующем ажиотаже вокруг темы критической информационной инфраструктуры в целом, далеко не каждый провайдер готов похвастаться большим количеством клиентов, по факту их — единицы. Кроме того, на момент написания сравнения некоторые SOC еще не успели заключить официальное соглашение с НКЦКИ. Однако инфраструктура, отвечающая требования регулятора, построена у всех рассматриваемых поставщиков услуги. Она позволяет работать с компьютерными атаками и наладить необходимое взаимодействие с НКЦКИ.

-----------------------------------------

Источник: https://www.anti-malware.ru/compare/SOC-Security-Operations-Center



Просмотров: 50

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.