Журнал "Information Security/ Информационная безопасность" #5, 2020

– Какие еще подходы и техно- логии вы используете? Алексей Юдин: С точки зрения технологий мы выбрали не совсем стан- дартный путь, отличающийся от тех, по которым обычно идут производители программных решений и поставщики сервисов. Для большей части наших компонентов мы использовали открытое ПО, так называемые Open Source реше- ния. Мы определили два критерия: использовать то, что есть и поддержи- вается на рынке, не изобретая велоси- пед, и то, что беспроблемно встраива- ется в наши процессы. Основной целью было сделать удобный инструмент, кото- рый при необходимости можно масшта- бировать и на который мы не будем тра- тить ресурсы своих или сторонних раз- работчиков. Особенность и сложность нашей рабо- ты состоит в интеграции всех компонен- тов в единую цепочку обработки, выявле- нии инцидентов в потоке событий и, соответственно, их расследовании. Эти задачи как раз для SOC, а не для SIEM. – Вы используете MSSP-модель предоставления сервиса. Насколь- ко она применима в России? Александр Дворянский: MSSP – это модель управляемых сервисов, когда услуга предоставляется по под- писке, при этом объем оказываемых сервисов заказчик может регулировать самостоятельно. Эта модель пришла к нам из-за рубежа и постепенно ста- новится востребованной. В высоко- технологичных компаниях, например, эта технология уже входит в привыч- ную практику, позволяя передавать на аутсорсинг большую часть своих бизнес-процессов. Со временем рынок пришел к тому, что теперь и услуги SOC стали предоставляться по модели MSSP. Это более чем удобный формат, поскольку провайдер предоставляет исключительно необходимый вам объем высокотехнологичных услуг с четко обозначенным уровнем сервис- ного обслуживания (SLA), не говоря об отсутствии у заказчика капитальных затрат и необходимости поиска и найма команды профессионалов. Думаю, что в ближайшее время мы увидим полноценный расцвет направ- ления MSSP в России. – Вы согласны с тем, что SOC – это не только технологии, но еще и люди, команда? Алексей Юдин: SOC – это и про- цессы, и люди, и технологии вместе. Причем в большинстве случаев люди важнее, чем инструменты. Александр Дворянский: SOC – это экосистема, где все работает совместно: процессы, люди и техноло- гии. Алексей Юдин: Самое основное, на мой взгляд, – это четко выстроенные процессы и обученная команда. Александр Дворянский: К при- меру, если в автоматическом режиме выявлен инцидент, он попадает к опре- деленному сервис-инженеру, у которого есть четкий алгоритм и план действий: заблокировать учетную запись, вынести в карантин, сообщить заказчику. То есть выстроен процесс, когда инцидент авто- матически классифицируется, а человек на него реагирует. – В чем ключевые различия внутреннего SOC, SOC as a Serviсe и гибридного SOC? Александр Дворянский: Если говорить простым языком, то внутрен- ний SOC – это построение собствен- ного полноценного центра мониторинга и реагирования на инциденты инфор- мационной безопасности у заказчика. Обычно построение собственного SOC неразлучно с огромными капитальны- ми затратами и кадровыми вопросами, как сложностями в создании команды, так и высокими рисками потери ключе- вых сотрудников. Наверное, такой фор- мат SOC могут позволить себе крупные госструктуры либо очень крупный биз- нес. SOC as a Serviсe – это подключение к уже существующему центру монито- ринга и реагирования на инциденты одного из ключевых провайдеров рынка ИБ. Глобально это и есть модель управляемых сервисов, которые в большинстве случаев заказчик полу- чает из облака. Обычно это самый простой и менее затратный вариант реализации SOC. Гибридный SOC – это вариант, когда происходит разделение функционала и зон ответственности между провайдером и заказчиком. В этом случае, помимо подключения к SOC от провайдера, частично задействуется собственная инфраструктура заказчика. Например, на существующее у заказчика SIEM- решение накладываются процессы, рег- • 13 ПЕРСОНЫ www.itsec.ru

RkJQdWJsaXNoZXIy Mzk4NzYw