+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • Тенденции и запросы отечественного рынка SOC как услуги

Тенденции и запросы отечественного рынка SOC как услуги

10.06.2020

Если верить аналитике, то глобальный объем рынка услуг SOC (Security Operations Center) увеличится с 372 млн долл. в 2019 г. до 1137 млн долл. к 2024 г. при совокупном годовом темпе роста (CAGR) в 25%. Почему в последнее время наблюдается общемировой тренд на эти услуги? Насколько отстает отечественный рынок услуг SOC от мирового, как он устроен и каким компаниям подходят предлагаемые услуги?  

В топ-5 глобальных рисков

В современном мире кибератаки не являются чем-то из ряда вон выходящим: о хакерах говорят в новостях, компании фиксируют утечки данных, а финансовый фрод – типичная банковская проблема. По мере того как меняется мир, безопасность становится все более важной и для крупных, и для небольших игроков. 

Кибератаки входят в топ-5 глобальных рисков мировой экономики, но кажутся далекими, пока это не коснулось лично вас. При удачном стечении обстоятельств атака может парализовать работу одного работника, а при неудачном – целой организации. Безопасность сегодня – необходимость. Вопрос – подвергнетесь ли вы атаке – едва ли стоит обсуждать. Более актуально выяснить, будете ли вы готовы, когда это произойдет.

Преимущества коммерческого SOC

Под SOC понимают центр мониторинга и оперативного реагирования на инциденты информационной безопасности. SOC – это взаимосвязь людей, процессов и технологий. Нельзя сказать, какой элемент в такой триаде является наиболее важным. Главная задача SOC – максимальное снижение возможного ущерба от инцидента ИБ благодаря своевременному обнаружению опасности и реагированию на нее. Такой центр может быть внутренним (обслуживающим одну организацию или группу компаний) и внешним (коммерческим). В настоящее время набирают популярность коммерческие центры мониторинга.

Типовые требования бизнеса: безопасность не должна стоить дороже активов и не должна мешать бизнесу выполнять основную функцию – зарабатывать деньги. Бизнесу становится выгоднее оплачивать услуги SOC, чем создавать его с нуля.

К преимуществам, которые может обеспечить коммерческий SOC по сравнению с внутренним SOC, относятся:

  • отсутствие капитальных вложений;

  • круглосуточный мониторинг, не требующий удвоения затрат на наем дежурной смены;

  • быстрое получение результата: благодаря опыту многократных внедрений в различных инфраструктурах и выстроенным процессам подключения бизнес-выгоды можно ощутить через месяц после внедрения;

  • наличие набора применимых и востребованных на практике Use case, а не готовых правил SIEM (Security information and event management) c непонятным КПД;

  • быстрый запуск – подключение к сервису занимает в среднем один-два месяца, построение SOC внутри организации – от шести месяцев;

  • возможность подключения редких и неподдерживаемых SIEM источников;

  • простота и гибкость масштабирования.

В отличие от внутренних SOC бизнес-модель коммерческого SOC подразумевает оказание услуг для большего числа заказчиков. Это выгодно клиентам за счет расширения «угла зрения» провайдера (разнообразие и объемы информации, специфика отраслей, видение картины в целом), а также провайдеру (возможность зарабатывать на SOC появляется только на общей массе клиентов).

Большая часть требований к SOC типичны. Заказчики, как правило, хотят:

  • осуществлять мониторинг средств защиты;

  • отслеживать действия работников и администраторов;

  • контролировать утечки критичных баз данных, выгрузок из CRM-систем и т. д.

Отраслевая специфика

У каждой отрасли своя специфика – бизнес-процессы или проблемы, характерные для всей отрасли. Рассмотрим наиболее заметные из них.

Банки и финансовый сектор в целом. Предпосылки использования SOC в этом секторе – наличие большого количества денежных средств на счетах организации, служащих приманкой для хакеров всех мастей, и необходимость отчитываться об инцидентах Банку России. Очевидно, что следствием некоторых видов инцидентов, например хищения денежных средств, является ущерб. По типу инциденты в указанной сфере подразделяются на мошенничество и инциденты информационной безопасности.

Для этого сектора характерны:

  • использование большого количества разнообразных средств защиты информации, таких как NGFW, WAF, «песочницы», средства защиты от таргетированных атак;

  • наличие строгой политики безопасности организации;

  • наличие специального программного обеспечения для банкоматов и процессинга со сложными, специфическими для организации требованиями к мониторингу;

  • частое изменение инфраструктуры из-за вывода новых услуг или открытие филиалов (характерно для крупных финансовых организаций);

  • наличие большого количества устаревшего программного обеспечения, на которое завязаны бизнес-процессы (характерно для малых и средних организаций сектора).

Обслуживающий финансовый сектор SOС должен быть готов к постоянным изменениям – подключению дополнительных источников, необходимости выявления новых use case и постоянной работе в связке с сотрудниками заказчика. 

В области телекоммуникаций SOC также является необходимостью. Эта сфера подлежит регулированию со стороны не только российского, но и международного законодательства. Главная особенность – широкий спектр задействованного в бизнес-процессах оборудования. SOC в телекоме должен учитывать:

  • наличие сигнальных сетей, где могут использоваться старые протоколы при сборе данных. Как следствие, на разбор логфайлов с разнообразного оборудования может уйти до нескольких дней, интерпретация логфайлов без привлечения вендора может быть невозможна;

  • тот факт, что текущая нормативная документация не адаптирована к защите сигнальных сетей, поэтому каждый оператор решает эти проблемы по-своему;

  • необходимость мониторинга большого количества подрядчиков;

  • необходимость предоставления регулярной отчетности по собранным данным;

  • часть инцидентов может быть связана с мошенничеством, поскольку телефонный номер может являться средством оплаты.

Промышленность нельзя назвать пионером в сфере SOC. Тут предпосылкой является необходимость – законодательство обязало промышленность отчитываться об инцидентах информационной безопасности. Пока представители этой сферы с долей скептицизма относятся не только к сервис-провайдерам, но и к вендорам средств защиты информации, предпочитают руководствоваться рекомендациями производителя оборудования. SOC для промышленности должен учитывать:

  • высокие риски, связанные с последствиями в случае сбоя АСУТП, и ограниченные возможности сбора данных;

  • сложность коммуникаций с вендорами АСУТП;

  • отсутствие связанности между корпоративным и технологическими сегментами сети, а также особенности однонаправленной передачи данных в контурах АСУТП;

  • необходимость использования устаревшего программного обеспечения, например ОС Windows XP, для корректной работы АСУТП;

  • крайне скудный набор средств защиты ввиду ограничений, накладываемых вендорами АСУТП на их использование.

Для государственных организаций предпосылками являются необходимость выполнения требований регуляторов в области информационной безопасности (ФСТЭК, ФСБ, Роскомнадзор) по защите ГИС (государственных  информационных систем), а также общее снижение количества инцидентов ИБ и защита от связанных с ними репутационных потерь. Кроме того, перед государственными компаниями, распределенными по всей России, остро стоят вопросы кадровой политики: в маленьком городе нелегко найти подходящего специалиста. Осложняет ситуацию условие разработки и покупки программного обеспечения для государственных систем на конкурсной основе. Ситуация, когда один разработчик формулировал требования, второй создавал программное обеспечение, третий дорабатывал, а четвертый обеспечивает поддержку, для государственных компаний – не редкость.

Ввиду этого SOC для государственных систем должен учитывать следующие факторы:

  • для государственных систем характерны высокие требования по доступности;

  • снять информацию с государственных систем может быть сложно или невозможно;

  • набор средств защиты широкий, но может отличаться на местах и в головной организации.

Что касается остальных сегментов, то для них представляет интерес, каким образом SOC поможет решить их проблемы.

В сфере образования высокие требования предъявляются к доступности сервисов, обеспечивающих учебные процессы. SOC должен сосредоточить свое внимание не только на внешних, но и на внутренних сервисах. 

В медицине особое внимание уделяется предотвращению хищения персональных данных клиентов и атак на внешние сервисы, такие как запись на прием к врачу, выгрузка результатов анализов или сервисы телемедицины. 

Для сектора электронной коммерции наиболее критичным активом является сайт как инструмент генерации основной прибыли компании. Результативная атака на него исключает возможность получения прибыли и ведет к репутационным потерям.

Отечественный рынок

Российский рынок коммерческих SOC довольно молодой. Первый центр мониторинга появился всего семь лет назад, а большая часть ныне действующих игроков – в последние два-три года. Многие компании продолжают строить собственные центры мониторинга. Не у всех это получается сразу ввиду сложности процессов. Емкость рынка постоянно увеличивается, чему способствует активное законотворчество, в частности в области информационной безопасности. Вводятся требования федеральных законов, обязывающие владельцев объектов КИИ (критическая информационная инфраструктура) сообщать о своих инцидентах в ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак). 

Проведенный анализ большей части рынка позволил сформулировать следующие тенденции:

  • все SOC имеют дежурную смену 24×7, но часть центров мониторинга готовы оказывать услуги в формате 9×5;

  • SOC может самостоятельно осуществлять функции реагирования либо действовать совместно с заказчиком, передавая инциденты по цепочке эскалации;

  • большая часть SOC тарифицируется по EPS (Events per second – событий в секунду), но возможны варианты: одни SOC оценивают весь входящий поток событий, другие – фильтрованный, т. е. только тот, в котором могут быть выявлены инциденты информационной безопасности;

  • если заказчик не хочет покупать SIEM, то современный SOC может предложить его в аренду или обойтись без SIEM;

  • SOC научились работать с уже приобретенной заказчиком SIEM, причем как отечественных, так и зарубежных производителей;

  • за подключение нестандартных специфических источников к SOC заказчику придется заплатить отдельно;

  • обработку данных заказчика SOC ведут в облаке (вся инсталляция находится у заказчика), гибридно (сбор и хранение у заказчика, а система управления у провайдера) и локально (локальная инсталляция у заказчика);

  • SOC располагают собственной аналитикой о хакерских группировках, бот-сетях и недоверенных IP-адресах, подключают платную аналитику для заказчиков и ведут информационный обмен данными с российскими и зарубежными коллегами;

  • SOC может интегрироваться с вашей системой реагирования на инциденты или сервис-деск, а может взять реагирование на себя.

В публичном доступе не удалось обнаружить отраслевых предложений. Отсутствует SOC, который уже «из коробки» знает бизнес своих заказчиков. Большинство предлагает свое пакетное предложение (матрицу use case) либо в разной степени готово к изменениям совместно с заказчиком, стараясь узнать ситуацию лучше в процессе оказания сервиса. Небольшие SOC, как правило, более способны к адаптации, чем крупные. Большие предлагают довериться их экспертизе.

Если клиенты из малого и среднего бизнеса в большей мере склонны согласиться на типовой сервис, то крупный бизнес в России, привыкший к индивидуальному подходу на этапе реализации проектов внедрения, рассчитывает на те же преференции при оказании сервиса. Сейчас SOC сосредоточены преимущественно на защите инфраструктуры, а не бизнеса.

Возможно, через несколько лет по мере роста рынка SOC превратятся в отраслевые центры компетенции. И тогда можно будет говорить о выгодах для бизнеса.  

Источник: журнал Connect