С каждым годом количество кибератак растет, они совершенствуются. Поэтому компании стремятся использовать наиболее эффективные инструменты защиты, например, Security Operation Center (SOC). Какие задачи может решать этот инструмент и какими особенностями может похвастаться наш сервис SOC, рассказал Юрий Бармотин, руководитель SOC в Orange Business.
Для чего компаниям нужен SOC?
Стоит начать с того, что SOC — это не только мониторинг и реагирование. Это большое количество связанных друг с другом функций.
В результате исследований The Mitre Corporation (сеть национальных исследовательских центров, описавших функции SOC) выяснилось, что к SOC начинают относить функции, которые ранее к нему не относились: анализ угроз, сканирование, периодические аудиты, обучение сотрудников правилам информационной безопасности, выездные команды и так далее.
С точки зрения нашей терминологии, ключевой элемент SOC — это люди, которые занимаются вопросами безопасности, в том числе мониторингом ресурсов компании и периодическим проведением различных аудитов. Остальные элементы — это процессы и технологии.
Если продолжать в контексте мониторинга, то прежде всего стоит обратить внимание на сферы, в которых вопрос безопасности стоит наиболее остро. В каждой вертикали есть свои особенности, например, в банковской сфере. Онлайн-банкинг является одним из ключевых направлений и подвержен дополнительным рискам — к нему могут получить доступ не только легитимные, но и нелегитимные пользователи. То есть, риск, что злоумышленник получит доступ к инфраструктуре банка, наиболее велик.
Не мониторим — не знаем, что там происходит. Если говорить кратко, то заниматься мониторингом нужно любым компаниям, у которых есть ИТ-инфраструктура. Особенно тем, у кого она смотрит «наружу», например, банкам. Брешь в ИБ-инфраструктуре грозит не только потерей репутации.
По данным Сybernews, в начале 2021 года на популярном форуме была размещена база данных самого крупного украинского банка. В базе содержатся ФИО, место рождения и другие данные. Ранее банк уже сталкивался с проблемами кибербезопасности. В 2016 году хакеры украли из банка $10 млн через уязвимость в международной банковской системе SWIFT.
Продажа базы данных клиентов самого крупного банка Украины
Компаниям с ИТ-инфраструктурой важно поддерживать безопасность на высоком уровне. Но держать для этого штат ИБ-специалистов — дорого. В таком случае компаниям проще купить готовое решение, которое выполняет задачу информационной безопасности. Это решение поможет оптимизировать затраты на ИБ и сэкономить там, где это возможно.
Каким образом SOC может помочь сэкономить на ИБ?
Существуют три операционные модели SOC: собственный, аутсорсинговый, гибридный.
В первом случае SOC находится полностью в вашей собственности с точки зрения владения оборудованием и найма специалистов. Это самый дорогой и длительный по времени вариант построения центра мониторинга. Попытка реализации может занять годы и не всегда может увенчаться успехом.
В случае аутсорсинга SOC (или SOCaaS) центр мониторинга находится полностью на стороне сервис-провайдера. В этом случае заказчику не нужно нанимать и содержать персонал, разрабатывать регламенты.
В случае гибридной модели оборудование приобретается на средства заказчика и разворачивается в его инфраструктуре, а управление осуществляется совместно с сервис-провайдером.
Аутсорсинговая и, в меньшей степени, гибридная модели позволяют оптимизировать затраты на ИБ и сосредоточиться на профильных активностях компании-заказчика. Мы как оператор и интегратор предоставляем два варианта сервиса SOC: аутсорсинговый и гибридный.
Мы сравнили 16 параметров двух моделей SOC: собственного и аутсорсингового, а также рассказали о наших принципах построения центра мониторинга в удобной pdf-брошюре.
Какие бывают сервис-провайдеры SOC?
SOC представляет собой ИБ-направление, которое может включать, помимо функций мониторинга и реагирования, еще и традиционные network- и security-сервисы. Сервис-провайдер может быть одновременно и оператором, и интегратором, имея свои мощности и свою инфраструктуру. В таком случае заказчик может получать решения, связанные с направлениями сетевой безопасности.
Если представить пирамиду из нескольких уровней функций, предоставляемых сервис-провайдером, то в основании будут функции стандартного оператора с сервисами предоставления доступа в интернет, VPN и так далее.
На втором уровне — фактически функции оператора, но уже с ИБ-сервисами, например, защита от DDoS-атак и Managed Firewall. На данном уровне эти сервисы еще не относятся к SOC.
Уровнем выше — аналитика на базе всей инфраструктуры. На этом уровне уже работает SOC. Мы предоставляем сервис на базе собственного SOC, осуществляем совместное управление на базе чужой инфраструктуры и реализуем интеграционные решения, дополняя их возможностями оператора.
В чем преимущества Orange Business как интегратора и оператора в лице одной компании?
Мы не просто интегратор, который выполнил проект и ушел. Мы являемся MSSP (Managed Security Service Provider) и можем создать или подхватить интеграционный проект, а также поддерживать управляемые ИБ-сервисы.
К тому же на глобальной арене Orange Business — крупный игрок, охватывающий большинство стран мира. Это дает возможность заключать и поддерживать хорошие отношения с партнерами на глобальном и локальном уровнях.
На российском рынке мы готовы к реализации решений с помощью глобальных ИБ-продуктов. Наши команды распределенные, это дает возможность оперативного вовлечения и постоянного обмена международным опытом. Такой формат позволяет ставить знак равенства между реализацией глобальных и локальных сервисов.
Руководитель CyberSOC Orange Business Russia, начальник отдела управления интеллектуальными услугами. Управляю двумя центрами компетенций: Security Operations Center (коммерческая поддержка услуг кибербезопасности) и Cloud Solutions Center (коммерческая поддержка облачных услуг). Помогу сориентироваться, какие задачи по кибербезопасности нужно решить именно вашему бизнесу.