Центр киберустойчивости Angara Cyber Resilience Center отменил границы
Острую потребность в организации качественного мониторинга и реагирования на события безопасности испытывают предприятия как крупного, так и среднего и малого бизнеса. Отслеживать состояние информационной инфраструктуры, предотвращать и нейтрализовать последствия кибератак можно несколькими способами. Строить собственный SOC (Security Operations Center), либо покупать стандартизированный пакет необходимых услуг у коммерческих SOC. В ряде случаев сложившееся разделение между практиками предоставления услуг интеграторов и сервисных услуг безопасности снижает эффективность процесса мониторинга ИБ, поскольку не дает инструменты для решения специфических и уникальных задач бизнеса в каждой отдельно взятой организации. В статье для BIS Journal Тимур Зиннятуллин, директор Центра киберустойчивости ACRC, рассказывает, как группа компаний Angara решила сложившуюся проблему путем запуска сервисов Managed Detection and Response Services (MDRS).
Есть только два пути?
Сегодня у функционального заказчика есть два варианта решения задачи по автоматизации процессов ИБ в части мониторинга событий, их последующего анализа и реагирования на возможные подозрения или инциденты. Отдать мониторинг ИБ на аутсорсинг коммерческому SOC. Либо обеспечивать данный процесс с использованием собственного штата экспертов и средств защиты информации, наняв экспертизу у интегратора для их проектирования, внедрения, настройки и технического сопровождения.
Во втором случае, на нашей практике, заказчики нередко сталкиваются с проблемой, когда технические решения внедрены и работают, а трудовых ресурсов для полноценной реализации самого процесса мониторинга и реагирования нет или их недостаточно. В зависимости от имеющейся стадии зрелости процессов SOC − SOMM (Security Operations Maturity Model), здесь сказывается как высокая стоимость ФОТ, так и кадровый дефицит в этой области, с которым многие сталкиваются на протяжении последних лет. При этом передать эту функцию на аутсорсинг редко представляется возможным, поскольку чаще всего коммерческие SOC отказываются работать по данному направлению с использованием сторонних решений заказчиков, которые не применяются в основе их услуги. И это одно из немногих ограничений, которые существуют в рамках сложившегося разделения между двумя способами решения на сегодняшний день.
В результате необходимое развитие жизненных циклов процессов мониторинга ИБ замедляется, а в крайнем случае и вовсе откладывается, оставляя заказчика и его команду на той же стадии зрелости, что были в конце этапа внедрения, с постоянно растущей информационной инфраструктурой и создающимися сервисами. Суровая статистика ряда известных игроков в индустрии однозначно показывает, к чему это обычно приводит: до половины оповещений о возможных угрозах ИБ могут оставаться необработанными, а в отношении оставшейся обработанной половины не всегда применяются минимально необходимые меры по предотвращению или ликвидации угрозы. При наличии подобных пробелов в столь критичном для защиты бизнеса и его интересов направлении, с учетом сегодняшнего перечня угроз, высока вероятность оказаться в составе той самой статистики, учитывая, что только от ransomware за 2020 год пострадал 51% представителей крупного бизнеса, согласно отчету Sophos. И это только те случаи, о которых заявили публично.
SOC on-premise или outsource? Больше не надо выбирать
Группа компаний Angara решила стереть границу между SOC on-premise и SOC outsource и предложить заказчикам самим выбирать, как «перемешивать» эти направления в соответствии с особенностями стоящих перед ними задач и проблем. Для этого мы представляем рынку новое ценностное предложение в рамках обновленного Центра киберустойчивости ACRC – MDRS, которое объединит классические услуги по обоим направлениям и удовлетворит самые специфичные запросы бизнеса, предвосхитив тем самым рост потребностей в MDRS в течение ближайших двух-трех лет.
Читайте полный текст статьи в свежем номере журнала BIS Journal.