Журнал "Information Security/ Информационная безопасность" #3, 2021

представлен недостаточно полно. Мы передаем знания об актуальных техно- логиях, методах и средствах, которые используют злоумышленники, а также путях защиты от них. Таким образом, мы обеспечиваем хороший кадровый резерв, в первую очередь для себя, но на самом деле для индустрии в целом, потому что наши выпускники работают и в других российских ИБ-компаниях. Во-вторых, в группе компаний Angara реализуется ряд проектов, направленных на обучение, поддержку и формирование дополнительных возможностей для начи- нающих специалистов, и для студентов в том числе, включая организацию про- фильных состязаний с последующей воз- можностью стажировки с наставником, что, в нашем понимании, критически важно. В-третьих, мы организуем выездные лек- тории, в рамках которых специалисты раз- личного профиля рассказывают о безопас- ности прикладных систем, современных технологиях, облачных решениях и т.д. Эти три основные, проверенные меры дают нам постоянную кадровую подпитку для Центра киберустойчивости ACRC и других профильных подразделений и, что не менее важно, позволяют само- стоятельно отвечать за качество всех оказываемых нами услуг, не привлекать аутсорсинг на свои проекты и сервисы. Обязательный редтиминг Крайне важным элементом кибер- устойчивости нашего центра является регулярное проведение спринтов с нашим редтим. Мы проводим их в пер- вую очередь на достаточно объемной инфраструктуре группы компаний Anga- ra, но периодически подключаем к меро- приятиям и инфраструктуру заказчиков, разумеется заранее заручившись их поддержкой и содействием. Спринты мы проводим каждый квар- тал, и аналитики нашего SOC не пред- упреждаются о времени начала прове- дения учений. Это знаю только я и руко- водитель "красной команды". Мы не при- держиваемся какой-то одной внешней методики, будь то европейский Тайбер или натовский Cyber Red Teaming, нами сформирована своя экосистема кибер- учений, и мы ее планомерно реализуем и развиваем. Совершенствование метрик эффективности На сегодняшний день формальные метрики эффективности реализуются в форме SLA, который указывается в соглашениях об оказании услуг и за которые партнеры несут финансовую ответственность. Чтобы способствовать совершенство- ванию используемого набора метрик, в центре устойчивости уже не первый год функционирует и развивается направление Security Intelligence, в рам- ках которого наши эксперты разрабаты- вают решения для оценки эффективно- сти средств защиты информации и раз- личных процессов ИБ. Это подразделение разрабатывает наиболее важные, с нашей точки зрения, показатели эффективности, которые помогают нам как представителям ИБ говорить с бизнесом о результатах нашей деятельности в терминах эффек- тивности, а еще лучше – в финансовых терминах. По нашей практике, деньги и эффективность – одни из основных про- блем, мешающих более активному рас- пространению ИБ. Ведь если, например, целый год все системы работают хоро- шо, никакие контрактные обязательства не нарушаются, то в конце года возни- кает вопрос: а чем вообще служба информационной безопасности занима- лась? В ответ на этот вопрос мы готовим методики нашей собственной разработ- ки, в создании которых нам помогает консалтинговое подразделение из Anga- ra Technologies Group. С методиками можно ознакомиться, оставив запрос на демонстрацию через наш сайт. Мы также используем ряд общедо- ступных метрик от ведущих профессио- нальных сообществ, в основном по мето- дике SMART, которую мы просто реали- зуем для различных решений. Главное, чтобы метрики позволяли экспертам ИБ показать и доказать свою эффективность бизнесу даже в ситуациях, когда под- разделения работали настолько хорошо, что их деятельность не была заметна. Строим SOC Классическое интеграторское направ- ление, вошедшее в Центр киберустой- чивости ACRC, – это сопровождение жизненного цикла систем и сервисов безопасности на всех этапах их развития. Речь идет об автоматизации процессов в части организации мониторинга, SIEM- менеджменте, обогащении процессов ИБ сторонней аналитикой, когда мы ана- лизируем процессы и внедряем решения для использования фидов или TI, мони- торинге управления инцидентами, внед- рении решений класса IRP и SOAR, написании плейбуков под них и т.д. То есть все, что связано с документальным сопровождением процессов, визуально дополняет контроль метрик эффектив- ности с подключением Security Intelligence. Самое тяжелое для организации, которая решила построить свой SOC, – в конце года объ- яснить, что это действительно того стои- ло, и доказать свою эффективность руководству. Отмечу наше недавнее достижение – это автоматизированная атрибуция потенциальных угроз, тактик и техник злоумышленников, основанная на дан- ных, полученных в ходе расследования реальных подтвержденных инцидентов по всему миру. Это наша собственная разработка, включающая возможность приведения результатов атрибуции к новой методике оценки угроз ФСТЭК и БДУ в целом. Компетенции для корпоративных SOC Центр киберустойчивости ACRC пре- доставляет экспертизу для замещения любых функциональных ролей внутри корпоративных SOC нашими специали- стами по подписной модели или на про- ектной основе. У нас есть уникальный для рынка опыт, когда мы выполняем функции реагирования на подозрения на инциденты ИБ, причем не только в дистанционном режиме, но и с присут- ствием наших инженеров на площадке заказчика, обрабатывая уведомления, направляемые не нашим коммерческим SOC, а одним из наших конкурентов. Можно привести и пример атрибуции потенциальных угроз. Для SOC, построенных не нами, мы можем соста- вить различные карты покрытия тех или иных тактик и техник текущими про- цедурами и процессами и вместе спла- нировать реализацию сценария и соот- ветствующего хардеринга на практиче- ски любых уже внедренных решениях. При этом результаты данных работ будут внесены в базу знаний самого заказчика, что очень важно, потому что очень часто при увольнении ключевых кадров часть экспертизы теряется. Исходя из всего изложенного выше можно сказать, что Центр киберустой- чивости ACRC предоставляет полный сервис или дополняет систему сервисов Security Operations на протяжении всего ее жизненного цикла и на всех этапах развития этого направления в органи- зации. l • 55 АВТОМАТИЗАЦИЯ www.itsec.ru Для того чтобы идти в ногу со временем, в группе компаний Angara был сформирован Центр киберустойчивости ACRC, объединивший в себе опыт и экспертизу двух отдельных направлений: l подразделения Angara Technologies Group, занимавшегося развитием и внедрением решений по направлению Security Operations в формате on-premise; l второго подразделения, Angara Professional Assistance, изначально оказывавшего услуги коммерческого SOC, то есть исключительно в качестве сервиса. В результате произошедшего объединения мы смогли приступить к формированию той самой гибридной модели предоставления услуг, уже сейчас востребованной на рынке и популярность которой будет расти в ближайшей перспективе. АДРЕСА И ТЕЛЕФОНЫ ANGARA (ГРУППА КОМПАНИЙ) см. стр. 72 NM Реклама