Эксперты коммерческих SOC и телеком-операторов обсудили перспективы развития сервисной модели ИБ-услуг
25 мая в Москве прошла конференция для MSSP-провайдеров «Практика построения коммерческого SOC». Мероприятие объединило на одной площадке представителей более 10 крупнейших в России коммерческих SOC и телеком-операторов для обмена лучшими практиками по запуску и развитию экспертных сервисов в области кибербезопасности. Организатором конференции выступила компания R-Vision, российский разработчик корпоративных ИБ-систем.
Конференцию открыл Игорь Сметанев, коммерческий директор R-Vision. В своем приветственном слове он отметил, что одно из стратегических направлений развития продуктовой линейки R-Vision — предоставлять MSSP-провайдерам необходимые инструменты для оказания услуг заказчикам.
Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», поделился с участниками мероприятия опытом реализации сервисной модели в реагировании на инциденты ИБ. Он отметил, что увеличение активности злоумышленников и возросший уровень энтропии в компаниях сформировали новый тренд — передачу части функций по реагированию из ИБ-служб в смежные подразделения. «Первая задача SOAR-платформы — дать сетевикам, айтишникам, прикладникам, которые вовлекаются в реагирование, удобный интерфейс для работы, и именно этого мы стремимся добиться в рамках сервиса на базе SOAR, — подчеркнул Владимир Дрюков. — Если коротко, то мы решаем несколько задач: качественное обогащение инцидентов информацией, корректная маршрутизация на ответственных, бесшовная генерация плейбука из сценария мониторинга, понятные инструкции для айтишников и система проверки результатов за ИТ. В этом плане SOAR для нас — удобное пространство для совместной работы с заказчиком».
Всеслав Соленик, директор Центра экспертизы R–Vision, представил на конференции концепцию построения коммерческого SOC на базе экосистемы продуктов вендора. В своем докладе он поделился видением того, какие процессы следует выстроить MSSP-провайдеру для предоставления экспертных сервисов, рассказал о специфике использования продуктов R-Vision в коммерческом SOC и привел примеры архитектурной реализации экосистемы решений вендора при построении конкретных услуг.
Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет», поделился собственным опытом запуска экспертных сервисов по кибербезопасности. Говоря о критериях выбора SOAR-платформы для построения технологического ядра Jet CSIRT, одним из главных требований он назвал наличие качественной технической поддержки со стороны вендора. «В нашем случае основная задача SOAR — автоматизация workflow-конвейера. Именно с ним связано большинство наших сценариев реагирования, меньшая часть касается внешнего обогащения инцидентов контекстом и совсем небольшая — автоматизации реагирования на финальной стадии (локализации и подавления инцидентов). Часто можно услышать, что технологии SOAR нужны для автоматизации реагирования и помогают чуть ли не открывать двери при пожаре, но на деле это самая простая часть решений такого класса. Сложнее всего выстроить как раз workflow, особенно в MSSP-модели», — заявил Алексей Мальнев.
Завершилось мероприятие панельной дискуссией о реализации сервисной модели ИБ-услуг с участием представителей компаний «Инфосистемы Джет», «Консист-ОС», МТС и «Ростелеком-Солар». Модерировал дискуссию Александр Бондаренко, генеральный директор R–Vision. Эксперты высказали мнение о том, как расставляют приоритеты в классической триаде построения SOC «люди, процессы, технологии», рассказали, по каким критериям определяют необходимость масштабировать команду, как подходят к проблеме выгорания аналитиков первой линии, поделились точкой зрения о гранях ответственности провайдеров за инциденты и дали прогнозы о развитии MSSP-услуг. Так, по мнению Тимура Ниязова, руководителя направления мониторинга и реагирования на киберугрозы «Ростелеком-Солар», конкуренция на этом рынке будет нарастать, и уже в ближайшие пять лет традиционные услуги по мониторингу дополнятся новыми сервисами. Андрей Дугин, начальник отдела обеспечения ИБ МТС, отметил, что росту рынка MSSP-услуг будет способствовать постепенное увеличение доверия к аутсорсерам и рост поверхности атаки, связанный с развитием цифровизации. Кази Качаев, начальник отдела продуктов ИБ «Консист-ОС», среди причин развития ИБ-сервисов назвал необходимость передавать на ауторсинг «не зарабатывающие» функции, возрастающие требования регуляторов и увеличивающуюся активность злоумышленников. Алексей Мальнев среди наиболее перспективных направлений развития ИБ-сервисов выделил защиту DevOps и Big Data, а также фокус на услугах DRPS (Digital Risk Protection Services), таких как защита бренда или OSINT.
Впечатления участников конференции
Александр Сенчуков, заместитель директора департамента проектирования компании «Информзащита»:
— Для меня наибольшая польза от мероприятия заключается в возможности перенять опыт спикеров, которые на практике оказывают услуги на технологическом стеке R-Vision, пообщаться с коллегами и получить ответы на свои вопросы.
Илья Четвертнев, технический директор Angara Technologies Group:
— Направление MSSP-сервисов сегодня очень актуально. Многие заказчики не готовы создавать собственный SOC, но понимают, что это необходимо с точки зрения безопасности, и поэтому рассматривают возможность передать функции по мониторингу на аутсорсинг.
Андрей Телицын, руководитель проекта коммерческого SOC компании «ЭР-Телеком»:
— Тема конференции очень востребованная, и для нас услуги SOC — это один из драйверов роста всей продуктовой линейки. На мероприятии для меня было важно получить подтверждение от крупных игроков рынка своей точки зрения о том, что самое главное в SOC — это люди. Я считаю, что для решения кадрового голода необходимо работать с вузами и в том числе искать перспективных специалистов в регионах.