Контакты
Подписка
МЕНЮ
Контакты
Подписка

Облачная безопасность, или SOC в аренду

Облачная безопасность, или SOC в аренду

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Облачная безопасность, или SOC в аренду

В этом году компания “Инфосистемы Джет" запустила первый в России коммерческий центр мониторинга и реагирования на инциденты информационной безопасности, или, как его просто называют, – облачный JSOC (Jet Security Operation Center). Сейчас он обрабатывает миллиарды событий, выявляет тысячи подозрительных активностей, идентифицирует сотни атак, а дежурные смены в круглосуточном режиме их разбирают, расследуют, вырабатывают сценарии реагирования и отражают. О том, что же получают компании, подключенные к JSOC, как изменилось их отношение к обеспечению безопасности и как устроен JSOC изнутри, пойдет речь ниже.
Владимир Дрюков
Руководитель направления аутсорсинга ИБ
Центра информационной безопасности компании
“Инфосистемы Джет"

Сейчас слова "управление инцидентами информационной безопасности", Security Operation Center (SOC) давно известны и даже уже успели набить оскомину руководителям служб ИБ практически каждой компании. Тем не менее, несмотря на все более конкретные и настойчивые требования различных регуляторов, сложившиеся best practice и уверения интеграторов, очень немногие компании смогли полноценно реализовать требуемый подход. В чем же причины этого?

Услуги облачной безопасности давно существуют и успешно функционируют на западном рынке, причем в числе их пользователей как компании среднего и малого бизнеса, так и крупные компании с большой распределенной инфраструктурой и многотысячным штатом. Предлагаемая модель позволяет сократить стартовые расходы на запуск SOC (оборудование и лицензии ПО предоставляются в аренду) и снимает необходимость в наборе круглосуточной смены мониторинга или в поиске и удержании аналитика.

Во-первых, в службе ИБ должны быть люди, более чем регулярно "заглядывающие" в консоли SIEM-системы, а если говорить серьезно, то должны быть выделены сотрудники, которые только и делают, что обеспечивают постоянный мониторинг и реагирование на инциденты (а при круглосуточном мониторинге их должно быть не менее 5 человек).

При этом даже в случае согласования необходимых штатных единиц за скобками часто остаются вопросы технической сложности самого SIEM, актуализации и развития профилей атаки и сценариев выявления инцидентов, закладываемых в его логику. Для того чтобы постоянно находиться "на волне" и поддерживать актуальность SOC, требуются весьма специфичные знания специалистов-аналитиков с широкими компетенциями в области ИБ, с хорошим пониманием как технологий защиты, так и способов нападения.

Словосочетания "облачная безопасность" и "SOC в аренду" в заголовке появились отнюдь не случайно, так как сегодня все более очевидным становится стремление компаний с разумным и разумно ограниченным уровнем паранойи попробовать получить сервис мониторинга и реагирования на инциденты ИБ от сервис-провайдера, то есть в режиме аутсорсинга.

Прозрачность = безопасность, или "Вскрытие покажет..."

Любой разговор об аутсорсинге безопасности так или иначе приходит к теме безопасности самого аутсорсинга и тавтология "безопасность аутсорсинга безопасности" является краеугольным камнем в развитии любого сервис-провайдера безопасности (начиная с ЧОПа и заканчивая JSOC). Поэтому мы покажем, как устроен JSOC, а вы решите, можно ли ему доверить свои инциденты безопасности.

Итак, JSOC позволяет эффективно решать различные задачи, встающие сегодня перед компаниями: от контроля базовой безопасности или соответствия требованиям регуляторов в рамках узкого перечня подключенных целевых систем до оперативного реагирования на все возникающие информационные угрозы.


В основе выполнения любого критичного SLA лежит возможность круглосуточного мониторинга и выявления инцидентов. В нашем случае – группа мониторинга и первичного реагирования. Их вклад в общее дело сложно недооценить: это и выявление, и регистрация инцидента в кратчайшие сроки, и оперативный разбор, и анализ большого потока типовых инцидентов, отсекание ложных срабатываний и при необходимости первичное информирование службы ИБ компании-заказчика.

На данный момент только в рамках первой линии разбираются и анализируются более 85% фиксируемых JSOC инцидентов, суммарно в рамках группы решается около 93% инцидентов.


Для глубокого погружения в инфраструктуру и бизнес-процессы компании-клиента JSOC за каждой из них закрепляется эксперт-аналитик, являющийся доверенным лицом клиента в рамках услуги и решающий задачи по регулярному разбору отклонений поведения систем от нормального состояния, доработке и кастомизации существующих сценариев выявления инцидентов, разработке и реализации новых сценариев обнаружения инцидентов, разбору и противодействию сложным и критичным инцидентам ИБ.

Помимо обозначенной команды существует группа развития JSOC, занимающаяся как архитектурными задачами по масштабированию, повышению показателей доступности и быстродействия системы, так и техническим развитием услуг – разработкой новых механизмов подключения источников и комплектов сценариев по выявлению инцидентов, анализом изменяющегося профиля угроз ИБ и запуском новых сервисов JSOC.

Что "чувствуют" клиенты JSOC?

Во-первых, использование JSOC дает компаниям ощущение полного контроля над ситуацией в их информационных системах, "прозрения" и полного понимания своих информационных потоков, происходящих событий, негативных тенденций. И эти "ощущения" очень сложно недооценить.

Во-вторых, дорого стоят и высокие скорости запуска JSOC. Как, например, гораздо ярче чувство, когда приходишь в магазин и сразу же получаешь свою покупку в руки, а не мучительно ждешь, когда же ее привезут. Аналогична ситуация с буквально двухнедельным стартом услуги JSOC: ее ни в коей мере нельзя сопоставить с многомесячным строительством собственного SIEM.


Если перейти от ощущений к фактам, то основных моментов можно насчитать три.

Во-первых, использование облачного сервиса способно минимизировать стартовые капитальные вложения, когда оборудование и программное обеспечение предоставляются аутсорсинговой компанией в аренду. В этом случае высокая цена SIEM-решения преобразуется в существенно меньшие ежемесячные платежи. Помимо этого, сервис-провайдер берет на себя обязанности по размещению и обслуживанию основного оборудования и ПО. Таким образом, компании гарантируются высокая доступность и бесперебойность предоставляемого сервиса, своевременное и корректное проведение всех работ по сопровождению системы. Эта рутинная и трудоемкая задача снимается со службы ИБ, позволяя ей заниматься другими, существенно более приоритетными задачами.

Во-вторых, использование ресурсов внешнего сервис-провайдера позволяет существенно сократить расходы на персонал. В рамках одной построенной дежурной смены сервис-провайдер в состоянии обслуживать сразу несколько клиентов и таким образом снижать прямые расходы клиентов от организации круглосуточного мониторинга инцидентов.

Помимо консалтинговой составляющей, опытный провайдер обладает еще и экспертизой в интеграции облачного сервиса с банковскими системами, оборудованием связи телеком-операторов, системами управления технологическими процессами, а также корпоративными CRM и ERP-приложениями, популярными в регионах его присутствия. И в рамках реализации своего сервиса он в состоянии использовать весь наработанный опыт как в интеграции своей платформы с бизнес-системами компаний-клиентов, так и в разработке и адаптации сценариев выявления инцидентов из сред различных клиентов. Правильное построение процесса позволит при возникновении ранее неизвестной угрозы у одного из клиентов сервиса в считанные часы обеспечить защиту от нее других клиентов. Использование такого "боевого" опыта практически невозможно заменить даже высочайшей экспертизой внутренних специалистов.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013
Посещений: 7076

Приобрести этот номер или подписаться
  Автор

Владимир Дрюков

Владимир Дрюков

Руководитель направления аутсорсинга ИБ
Центра информационной безопасности компании
“Инфосистемы Джет"

Всего статей:  2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций