Тенденции и запросы отечественного рынка SOC как услуги
Если верить аналитике, то глобальный объем рынка услуг SOC (Security Operations Center) увеличится с 372 млн долл. в 2019 г. до 1137 млн долл. к 2024 г. при совокупном годовом темпе роста (CAGR) в 25%. Почему в последнее время наблюдается общемировой тренд на эти услуги? Насколько отстает отечественный рынок услуг SOC от мирового, как он устроен и каким компаниям подходят предлагаемые услуги?
В топ-5 глобальных рисков
В современном мире кибератаки не являются чем-то из ряда вон выходящим: о хакерах говорят в новостях, компании фиксируют утечки данных, а финансовый фрод – типичная банковская проблема. По мере того как меняется мир, безопасность становится все более важной и для крупных, и для небольших игроков.
Кибератаки входят в топ-5 глобальных рисков мировой экономики, но кажутся далекими, пока это не коснулось лично вас. При удачном стечении обстоятельств атака может парализовать работу одного работника, а при неудачном – целой организации. Безопасность сегодня – необходимость. Вопрос – подвергнетесь ли вы атаке – едва ли стоит обсуждать. Более актуально выяснить, будете ли вы готовы, когда это произойдет.
Преимущества коммерческого SOC
Под SOC понимают центр мониторинга и оперативного реагирования на инциденты информационной безопасности. SOC – это взаимосвязь людей, процессов и технологий. Нельзя сказать, какой элемент в такой триаде является наиболее важным. Главная задача SOC – максимальное снижение возможного ущерба от инцидента ИБ благодаря своевременному обнаружению опасности и реагированию на нее. Такой центр может быть внутренним (обслуживающим одну организацию или группу компаний) и внешним (коммерческим). В настоящее время набирают популярность коммерческие центры мониторинга.
Типовые требования бизнеса: безопасность не должна стоить дороже активов и не должна мешать бизнесу выполнять основную функцию – зарабатывать деньги. Бизнесу становится выгоднее оплачивать услуги SOC, чем создавать его с нуля.
К преимуществам, которые может обеспечить коммерческий SOC по сравнению с внутренним SOC, относятся:
-
отсутствие капитальных вложений;
-
круглосуточный мониторинг, не требующий удвоения затрат на наем дежурной смены;
-
быстрое получение результата: благодаря опыту многократных внедрений в различных инфраструктурах и выстроенным процессам подключения бизнес-выгоды можно ощутить через месяц после внедрения;
-
наличие набора применимых и востребованных на практике Use case, а не готовых правил SIEM (Security information and event management) c непонятным КПД;
-
быстрый запуск – подключение к сервису занимает в среднем один-два месяца, построение SOC внутри организации – от шести месяцев;
-
возможность подключения редких и неподдерживаемых SIEM источников;
-
простота и гибкость масштабирования.
В отличие от внутренних SOC бизнес-модель коммерческого SOC подразумевает оказание услуг для большего числа заказчиков. Это выгодно клиентам за счет расширения «угла зрения» провайдера (разнообразие и объемы информации, специфика отраслей, видение картины в целом), а также провайдеру (возможность зарабатывать на SOC появляется только на общей массе клиентов).
Большая часть требований к SOC типичны. Заказчики, как правило, хотят:
-
осуществлять мониторинг средств защиты;
-
отслеживать действия работников и администраторов;
-
контролировать утечки критичных баз данных, выгрузок из CRM-систем и т. д.
Отраслевая специфика
У каждой отрасли своя специфика – бизнес-процессы или проблемы, характерные для всей отрасли. Рассмотрим наиболее заметные из них.
Банки и финансовый сектор в целом. Предпосылки использования SOC в этом секторе – наличие большого количества денежных средств на счетах организации, служащих приманкой для хакеров всех мастей, и необходимость отчитываться об инцидентах Банку России. Очевидно, что следствием некоторых видов инцидентов, например хищения денежных средств, является ущерб. По типу инциденты в указанной сфере подразделяются на мошенничество и инциденты информационной безопасности.
Для этого сектора характерны:
-
использование большого количества разнообразных средств защиты информации, таких как NGFW, WAF, «песочницы», средства защиты от таргетированных атак;
-
наличие строгой политики безопасности организации;
-
наличие специального программного обеспечения для банкоматов и процессинга со сложными, специфическими для организации требованиями к мониторингу;
-
частое изменение инфраструктуры из-за вывода новых услуг или открытие филиалов (характерно для крупных финансовых организаций);
-
наличие большого количества устаревшего программного обеспечения, на которое завязаны бизнес-процессы (характерно для малых и средних организаций сектора).
Обслуживающий финансовый сектор SOС должен быть готов к постоянным изменениям – подключению дополнительных источников, необходимости выявления новых use case и постоянной работе в связке с сотрудниками заказчика.
В области телекоммуникаций SOC также является необходимостью. Эта сфера подлежит регулированию со стороны не только российского, но и международного законодательства. Главная особенность – широкий спектр задействованного в бизнес-процессах оборудования. SOC в телекоме должен учитывать:
-
наличие сигнальных сетей, где могут использоваться старые протоколы при сборе данных. Как следствие, на разбор логфайлов с разнообразного оборудования может уйти до нескольких дней, интерпретация логфайлов без привлечения вендора может быть невозможна;
-
тот факт, что текущая нормативная документация не адаптирована к защите сигнальных сетей, поэтому каждый оператор решает эти проблемы по-своему;
-
необходимость мониторинга большого количества подрядчиков;
-
необходимость предоставления регулярной отчетности по собранным данным;
-
часть инцидентов может быть связана с мошенничеством, поскольку телефонный номер может являться средством оплаты.
Промышленность нельзя назвать пионером в сфере SOC. Тут предпосылкой является необходимость – законодательство обязало промышленность отчитываться об инцидентах информационной безопасности. Пока представители этой сферы с долей скептицизма относятся не только к сервис-провайдерам, но и к вендорам средств защиты информации, предпочитают руководствоваться рекомендациями производителя оборудования. SOC для промышленности должен учитывать:
-
высокие риски, связанные с последствиями в случае сбоя АСУТП, и ограниченные возможности сбора данных;
-
сложность коммуникаций с вендорами АСУТП;
-
отсутствие связанности между корпоративным и технологическими сегментами сети, а также особенности однонаправленной передачи данных в контурах АСУТП;
-
необходимость использования устаревшего программного обеспечения, например ОС Windows XP, для корректной работы АСУТП;
-
крайне скудный набор средств защиты ввиду ограничений, накладываемых вендорами АСУТП на их использование.
Для государственных организаций предпосылками являются необходимость выполнения требований регуляторов в области информационной безопасности (ФСТЭК, ФСБ, Роскомнадзор) по защите ГИС (государственных информационных систем), а также общее снижение количества инцидентов ИБ и защита от связанных с ними репутационных потерь. Кроме того, перед государственными компаниями, распределенными по всей России, остро стоят вопросы кадровой политики: в маленьком городе нелегко найти подходящего специалиста. Осложняет ситуацию условие разработки и покупки программного обеспечения для государственных систем на конкурсной основе. Ситуация, когда один разработчик формулировал требования, второй создавал программное обеспечение, третий дорабатывал, а четвертый обеспечивает поддержку, для государственных компаний – не редкость.
Ввиду этого SOC для государственных систем должен учитывать следующие факторы:
-
для государственных систем характерны высокие требования по доступности;
-
снять информацию с государственных систем может быть сложно или невозможно;
-
набор средств защиты широкий, но может отличаться на местах и в головной организации.
Что касается остальных сегментов, то для них представляет интерес, каким образом SOC поможет решить их проблемы.
В сфере образования высокие требования предъявляются к доступности сервисов, обеспечивающих учебные процессы. SOC должен сосредоточить свое внимание не только на внешних, но и на внутренних сервисах.
В медицине особое внимание уделяется предотвращению хищения персональных данных клиентов и атак на внешние сервисы, такие как запись на прием к врачу, выгрузка результатов анализов или сервисы телемедицины.
Для сектора электронной коммерции наиболее критичным активом является сайт как инструмент генерации основной прибыли компании. Результативная атака на него исключает возможность получения прибыли и ведет к репутационным потерям.
Отечественный рынок
Российский рынок коммерческих SOC довольно молодой. Первый центр мониторинга появился всего семь лет назад, а большая часть ныне действующих игроков – в последние два-три года. Многие компании продолжают строить собственные центры мониторинга. Не у всех это получается сразу ввиду сложности процессов. Емкость рынка постоянно увеличивается, чему способствует активное законотворчество, в частности в области информационной безопасности. Вводятся требования федеральных законов, обязывающие владельцев объектов КИИ (критическая информационная инфраструктура) сообщать о своих инцидентах в ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Проведенный анализ большей части рынка позволил сформулировать следующие тенденции:
-
все SOC имеют дежурную смену 24×7, но часть центров мониторинга готовы оказывать услуги в формате 9×5;
-
SOC может самостоятельно осуществлять функции реагирования либо действовать совместно с заказчиком, передавая инциденты по цепочке эскалации;
-
большая часть SOC тарифицируется по EPS (Events per second – событий в секунду), но возможны варианты: одни SOC оценивают весь входящий поток событий, другие – фильтрованный, т. е. только тот, в котором могут быть выявлены инциденты информационной безопасности;
-
если заказчик не хочет покупать SIEM, то современный SOC может предложить его в аренду или обойтись без SIEM;
-
SOC научились работать с уже приобретенной заказчиком SIEM, причем как отечественных, так и зарубежных производителей;
-
за подключение нестандартных специфических источников к SOC заказчику придется заплатить отдельно;
-
обработку данных заказчика SOC ведут в облаке (вся инсталляция находится у заказчика), гибридно (сбор и хранение у заказчика, а система управления у провайдера) и локально (локальная инсталляция у заказчика);
-
SOC располагают собственной аналитикой о хакерских группировках, бот-сетях и недоверенных IP-адресах, подключают платную аналитику для заказчиков и ведут информационный обмен данными с российскими и зарубежными коллегами;
-
SOC может интегрироваться с вашей системой реагирования на инциденты или сервис-деск, а может взять реагирование на себя.
В публичном доступе не удалось обнаружить отраслевых предложений. Отсутствует SOC, который уже «из коробки» знает бизнес своих заказчиков. Большинство предлагает свое пакетное предложение (матрицу use case) либо в разной степени готово к изменениям совместно с заказчиком, стараясь узнать ситуацию лучше в процессе оказания сервиса. Небольшие SOC, как правило, более способны к адаптации, чем крупные. Большие предлагают довериться их экспертизе.
Если клиенты из малого и среднего бизнеса в большей мере склонны согласиться на типовой сервис, то крупный бизнес в России, привыкший к индивидуальному подходу на этапе реализации проектов внедрения, рассчитывает на те же преференции при оказании сервиса. Сейчас SOC сосредоточены преимущественно на защите инфраструктуры, а не бизнеса.
Возможно, через несколько лет по мере роста рынка SOC превратятся в отраслевые центры компетенции. И тогда можно будет говорить о выгодах для бизнеса.
Источник: журнал Connect