Существует множество методов для того, чтобы обеспечить надежную защиту от разнообразных киберугроз сегодняшнего дня. Однако наиболее комплексным и целостным считается создание собственного центра безопасности в компании или SOC (Security Operation Center). По сути это практически отдельное подразделение компании с собственным оборудованием и системами, своим штатом специалистов. Сотрудники SOC должны быть высококлассными специалистами, которые смогут предотвращать, выявлять и устранять инциденты информационной безопасности, а также обеспечивать соответствие требований регулирующих органов.
При этом компаниям сегодня достаточно сложно определиться с выбором типа центра безопасности, а значит – приступить к его созданию. Например, Gartner выделяет шесть различных видов SOC – виртуальный, выделенный, распределенный, командный, многофункциональный и объединенный. Часто можно встретить другие классификации – например, собственный SOC или арендованный.
"До сих пор не существует единой или хотя бы самой популярной системы классификации SOC, поэтому аналитики прибегают к разным терминам для обозначения типов SOC. Их различают по степени использования аутсорсинга, зоне обслуживания (компания, группа компаний, клиенты), режиму работы (далеко не всегда SOC работают 24х7), полномочиям, выполняемым функциям. Обычно компании в процессе строительства SOC проходят несколько стадий. Чаще всего это путь от ограниченной команды с широким использованием аутсорсинга и базовыми задачами (мониторинг ИТ- и ИБ-систем, сбор данных от пользователей, расследование инцидентов, взаимодействие с ИТ-подразделением и владельцами систем) к полноценному собственному центру реагирования. Последнее время средний бизнес часто делает выбор в сторону MSSP, то есть применения аутсорсинга. Связанно это с тем, что инвестиции даже в небольшой собственный SOC в первые три года переваливают за сотню миллионов рублей, при этом компании не уверены, что результат будет того стоить. Аутсорсинг позволяет быстро получить предсказуемый уровень качества, который никогда не достигнет уровня полноценного собственного SOC, но может быть вполне достаточен", – говорит Андрей Янкин, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет".
Однако учитывая, что тренд на внедрение облачных структур и виртуализацию находится сейчас на подъеме, одним из популярных видов центров безопасности оказывается виртуальный SOC. Решение данного класса отличается отсутствием собственного оборудования и переводом модели затрат из CAPEX в OPEX.
"Виртуальный SOC (как его понимает Gartner) – это по сути своей отсутствие SOC. Тот самый, близкий к нулевому, уровень зрелости, с которого обычно стартует строительство SOC. Дело в том, что управление инцидентами как функция в компании в любом случае есть, даже если она никак не формализована. Если в деревне горит дом, то те, кто оказался рядом, хватают ведра и начинают тушить, как умеют. Или просто начинают бегать кругами и паниковать. Это “виртуальная пожарная команда”. А если в деревне построят полноценное пожарное депо и начнут проверять наличие огнетушителей в домах еще до пожара – это аналог полноценного SOC", – добавил Андрей Янкин.
Впрочем, если речь заходит о строительстве полноценного SOC, перед компаниями по-прежнему возникает множество вызовов, в том числе, связанных со стратегическим планированием. Немало проектов оказывается заморожено или просто свернуто, потому что не показывают позитивных результатов даже на протяжении года после первых затрат.
"Чаще всего начинают с покупки дорогостоящего оборудования. Это лучший способ потерять деньги, выбрав неоптимальные системы и оплачивая лицензии в течение всего времени строительства SOC, когда оборудование еще не используется в полную силу. “Правильный” путь – это заручиться поддержкой руководства, разработать стратегию, функциональные требования, архитектуру, систему метрик, требования к персоналу и т.д., а затем приступить к реализации, – добавляет эксперт из “Инфосистемы Джет”. – Но на деле, к сожалению, такой SOC рискует так и не родиться. Руководство охладеет к долгострою, финансирование свернут или отложат и т.п. Оптимальный вариант где-то посередине. Также хорошей практикой является разбиение строительства на очереди, когда на каждом этапе мы получаем пусть ограниченно, но функционирующую систему, демонстрируем quick wins".