Журнал "Information Security/ Информационная безопасность" #5, 2024

BI.ZONE является одним из ключевых игроков на российском рынке SOC и помогает компаниям обеспечивать безопасность с 2016 г. Сервис по мони- торингу и реагированию на инциденты BI.ZONE TDR обрабатывает более 250 тыс. "сырых" событий кибербезо- пасности в секунду. В результате сраба- тывания правил корреляции эти события ежемесячно генерируют около 26 тыс. алертов – подозрений на инциденты, обрабатываемых специалистами. – Артем, начнем с фундамен- тального вопроса. Что посове- туете – строить свой собственный SOC или подключаться к MSSP? Как сделать этот выбор 1 ? – Создание собственного SOC требу- ет большого количества высококвали- фицированных специалистов по кибер- безопасности, которые должны не просто вла- деть методологией, но и хорошо знать ланд- шафт угроз, актуальных для конкретной отрасли, страны, региона. Таких специалистов на рынке труда не хватает, поэтому многие компании выбирают подключение к коммерческому SOC. Чтобы работа с провай- дером была эффективной, важно еще на этапе пла- нирования сотрудниче- ства ответить на несколь- ко вопросов. Во-первых, необходимо определиться с перечнем функций, которые будет выполнять MSSP. Тут воз- можны разные варианты. Например, сервис BI.ZONE TDR можно использовать не только в рамках выявления и ана- лиза инцидентов 24 часа в сутки, но и в контексте активного реагирования на конечных устройствах (посредством решения BI.ZONE EDR), реагирования на сред- ствах защиты информации (с помощью эксплуатации СЗИ), а также путем взаи- модействия c НКЦКИ в качестве серти- фицированного центра ГосСОПКА и т.д. Во-вторых, следует оценить текущие ресурсы – количество сотрудников, кото- рые будут взаимодействовать с внешним SOC и выполнять его рекомендации, а также уровень компетенций этих спе- циалистов. На этом же этапе нужно понять, какие функции вы планируете оставить внутри компании, а какие – передать провайдеру. Если хотите создать собственный SOC, обеспечив при этом должный уровень безопасности в переходный период, то есть решения, которые позволяют бесшовно перейти от MSSP к собствен- ному центру мониторинга без потери качества. Например, BI.ZONE в течение переходного периода предлагает вари- ант подключения к сервису BI.ZONE TDR с обучением сотрудников и даль- нейшей миграцией функций и техноло- гий в собственный SOC заказчика. В этом случае нужно определить схему размещения технологической платфор- мы SOC, а также длительность исполь- зования функций провайдера. – Как выбрать подходящего MSSP-провайдера? – Провайдер должен определить акту- альный ландшафт угроз для компании, чтобы правильно приоритизировать под- ключение источников событий и подо- брать необходимый инструментарий SOC. У MSSP должны быть собственные компетенции по цифровой криминали- стике и реагированию на инциденты (DFIR), а также подразделение исследо- вания киберугроз. Кроме того, провайдер должен иметь грамотно выстроенную детектирующую логику для разработки актуальных правил корреляции, YARA- правил, набора сигнатур и т.д. Второй принципиальный вопрос: что именно входит в состав технологической платформы SOC MSSP, на какую инфра- структуру он ориентирован? Техноло- гическая платформа SOC может состо- ять из решений различных вендоров, ПО с открытым исходным кодом или продуктов собственной разработки. В пер- вом случае возникает зависимость от про- дуктов стороннего вендора, а MSSP не может вносить в них низкоуровневые изменения. Во втором случае вы полу- чаете узкоспециализированную платфор- му, для которой смена команды может оказаться серьезным препятствием для дальнейшей поддержки и развития. Оптимальным является подход, при котором MSSP использует собственные коммерческие продукты на своей плат- форме, что позволяет ему быть для заказ- чика единой точкой входа. При оказании услуг по мониторингу и реагированию провайдер при необходимости может без потери качества обеспечить миграцию собственных решений в инфраструктуру заказчика, предоставив поддержку, в том числе и по этим продуктам. 12 • СПЕЦПРОЕКТ О роли SOC, EDR и XDR на пути к оптимальной безопасности Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE Фото: BI.ZONE 1 https://bi.zone/catalog/services/soc-consulting/ ртем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR. А