Тимур Зиннятуллин, Angara Security: Развитие коммерческого SOC — это дорога без конца
Что представляют собой коммерческие центры мониторинга и оперативного реагирования на инциденты информационной безопасности, кто является их потенциальными клиентами, каковы особенности применения в них продуктов класса IRP/SOAR? Об этом, а также о проекте внедрения и применения Security Vision IRP/SOAR редакция CNews поговорила с директором Angara SOC Тимуром Зиннятуллиным и с ведущим пресейл-менеджером Security Vision Александром Падуриным.
«Собственный SOC всегда эффективнее, чем услуги по подписке»
CNews: Что представляет собой высокофункциональный коммерческий SOC? Какие конкретно сервисы и сопутствующие услуги он должен предлагать? Какими базовыми средствами мониторинга обладать, и относятся ли к таковым системы класса IRP/SOAR?
Тимур Зиннятуллин: SOC — это всегда сервис. Сервис, отвечающий потребностям бизнеса и предоставляющий необходимый набор информации для принятия информированных решений в рамках процессов управления рисками или обеспечения информационной безопасности. В связи с этим и целевая картина набора услуг, и архитектура высоко функционального SOC будут разными. В качестве референса, конечно, можно использовать перечень Карсона Циммермана, который по сути является логическим продолжением Handbook для Computer Security Incident Response Teams (CSIRTs) от Университета Carnegie Mellon. Первый релиз которого был еще в декабре 1998 года. С тех пор, как мне кажется, критично категории этого перечня не менялись, но если говорить именно о коммерческих SOC, то тут основными драйверами выбора архитектуры и набора услуг являются рынок и высокая конкуренция между провайдерами подобных сервисов.
CNews: Компании выгоднее построить свой SOC или купить услугу по подписке?
Александр Падурин: В длительной перспективе собственный SOC всегда будет эффективнее, чем услуги по подписке. Однако, если результат нужен «здесь и сейчас», то проще использовать коммерческий SOC. Никто не мешает пользоваться коммерческим SOC-ом, параллельно наращивать собственную экспертизу и в дальнейшем перейти к гибридной модели, когда первая и вторая линия будет реализованы своими силами, а третья будет предоставляться как услуга от коммерческого SOC. В случае Security Vision IRP/SOAR нам не принципиально, кто осуществляет мониторинг — решение будет эффективно и при мониторинге коммерческим SOC-ом и собственным.
CNews: Потенциальный покупатель SOC — кто это?
Александр Падурин: Это, во-первых, организация, которая понимает необходимость мониторинга собственной инфраструктуры, но не готова вкладываться в развитие собственной экспертизы. Во-вторых, это компании, которые уже начали строить свой SOC, но понимают, что третья линия — это такие экспертные услуги, как форензика и реверс-инжиниринг, и проще покупать ее у коммерческого центра мониторинга.
Тимур Зиннятуллин: Добавлю, что большая часть наших клиентов относится к финансовым организациям. Причина этого, уверен, всем известна: регуляторы в данной сфере давно усиленно влияют на скорость повышения уровня зрелости процессов управления рисками и информационной безопасностью. В случае, когда компания уже однозначно определила необходимость создания SOC (без помощи регулятора или пусть даже с ней), то на практике, помимо всего прочего, на данное решение зачастую будут сильно влиять объективные экономические факторы: как общая структура расходов компании, с превалирующим CAPEX или OPEX, так и стоимость владения соответствующим ФОТ с учетом необходимости его обучения и развития, обеспечения оборудованием, удержания и т.д.
В зависимости от стадии зрелости внутренних процессов ИБ и ИТ, в лучшем случае на основании спрогнозированной стоимости защищаемых активов и модели угроз, оценивается допустимая стоимость контрмер, их состав и целевое назначение. Впоследствии принимается решение о том, какие функции будут выполняться самостоятельно, а какие будут отданы внешнему партнеру. Чаще всего в результате для удовлетворения потребностей бизнеса классическое разделение — свой SOC или внешний SOC — оказывается размытым. А с учетом растущей вариативности и сложности архитектур информационных систем и степени их проникновения в повседневную жизнь общества, функции SecOps разделяются между партнерами в пропорции уникальной для каждой отдельно взятой компании, как разделяются и архитектурные и операционные схемы их взаимодействия.
«Фокус на максимальную детализацию процессов»
CNews: По каким критериям Angara Security выбирала вендора IRP/SOAR?
Тимур Зиннятуллин: Компания Angara Security изначально создавалась как классический коммерческий интегратор. Поэтому у нас есть большой опыт внедрения IRP и SOAR систем, в том числе отечественного производства. Так что scope подходящих решений был нам понятен изначально. Мы рассматривали продукты российских вендоров, потому что эти системы заведомо создавались как SGRC, а нам с учетом планов развития это было наиболее интересно. Поэтому, а также потому, что Security Vision IRP/SOAR отличается очень высокой производительностью и эффективностью, мы выбрали именно эту систему.
CNews: Какие задачи выполняет Security Vision IRP/SOAR в Центре киберустойчивости Angara SOC?
Тимур Зиннятуллин: Все основные цели, которые свойственны решениям этого класса: автоматизация и оркестрация первичных стадий обработки инцидентов — в части их фильтрации, агрегации, дополнительного обогащения и реализации автоматизированного исполнения жизненного цикла обработки инцидентов.
CNews: Внедрение происходило не во внутреннем SOC, обслуживающим одну компанию, а в коммерческом, обслуживающим большое число клиентов. Как этот факт учитывался при внедрении?
Александр Падурин: Поскольку наше решение в первую очередь про автоматизацию процессов информационной безопасности, то и фокус при внедрении был сделан на максимальной детализации процессов, которые к моменту внедрения уже были сформированы у коллег в их центре мониторинга. При их «оцифровке» мы старались учесть возможность пере-использования частей плейбуков в новых сценариях, что в дальнейшем должно значительно сэкономить время при увеличении количества сценариев.
Также для всех заказчиков были созданы личные кабинеты с доступом к инцидентам, дашбордам и отчетам. Даже были сохранены шаблоны писем в сторону клиентов, чтобы переход на систему автоматизации был для них максимально прозрачным.
Формирование отчетности по возникающим инцидентам было одной из наиболее трудоемких задач для коллег из Angara Security. Отчетность — это важный аспект, по отчетам клиент понимает за что он, собственно, отдает деньги. Соответственно это пункт отдельно и скрупулезно прорабатывался в техническом задании и по итогу был успешно реализован.
«Развитие стадии зрелости коммерческого SOC — это дорога без конца»
CNews: Каковы результаты проекта? Можете ли озвучить конкретные показатели?
Тимур Зиннятуллин: Если говорить подробнее, то в результате внедрения SecurityVisionIRP/SOAR был снижен риск человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты ИБ («сменная слепота» и «выгорание»); сокращено время реагирования за счет автоматизации набора заранее разработанных процедур и сценариев, реализованных в компонентах IRP-системы.
Кроме того, автоматизировано выполнение дежурных процедур SOC, включая части жизненного цикла обработки инцидентов, FP, исключения и разрешающие списки. Были автоматизированы стадии фильтрации, агрегации и обогащения поступающих подозрений, с различными выборками данных в зависимости от типа подозрения.
Также по итогам проекта автоматизирована подготовка квартальной отчетности для всех заказчиков, предоставлены унифицированные инструменты автоматизации для расчета метрик эффективности, ретроспективно и в режиме, близком к реальному времени.
CNews: Проект закончен или планируется его дальнейшее развитие?
Тимур Зиннятуллин: Развитие стадии зрелости коммерческого SOC на этапах triage и далее до response — это дорога без конца. Одна только переработка SLA и других юридических аспектов для наращивания уровня автоматизации на этих этапах — большая и интересная работа. Не говоря уже о технической составляющей: от выбора матрицы техник response до их разработки, тестирования на множестве используемых заказчиками СЗИ и активном оборудовании, и в итоге внедрения.
Более того, у нас в планах — тестирование EDR решений, которые крайне тесно связаны с внедрением и развитием решения класса IRP/SOAR. Оркестрация действий на всех этапах жизненного цикла обработки инцидентов с использованием и внешних коннекторов IRP/SOAR, и возможностей EDR, и различных интеграций для обогащения с использованием как внутренних, так и внешних источников данных, с учетом постоянно меняющихся инфраструктур и векторов, и методов атак, — это все та же дорога без конца, но мы этому очень рады.
Александр Падурин: Кроме этого, мы сейчас совместно с коллегами прорабатываем «SGRC-as-a-Service», а именно: оценку соответствия инфраструктуры клиентов различным стандартам по информационной безопасности и управление рисками информационной безопасности.
Полный текст статьи читайте на CNews