В Москве прошла конференция для MSSP-провайдеров «Практика построения коммерческого SOC».
Мероприятие объединило на одной площадке представителей 10 крупнейших в России коммерческих SOC и телеком-операторов для обмена лучшими практиками по запуску и развитию экспертных сервисов в области кибербезопасности. Организатором конференции выступила компания R-Vision, российский разработчик корпоративных ИБ-систем.
Конференцию открыл Игорь Сметанев, коммерческий директор R-Vision. В своем приветственном слове он отметил, что одно из стратегических направлений развития продуктовой линейки R-Vision — предоставлять MSSP-провайдерам необходимые инструменты для оказания услуг.
Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», поделился опытом реализации сервисной модели в реагировании на инциденты ИБ. Он отметил, что увеличение активности злоумышленников и возросший уровень энтропии в компаниях сформировали новый тренд — передачу части функций по реагированию из ИБ-служб в смежные подразделения. «Первая задача SOAR-платформы — дать сетевикам, айтишникам, прикладникам, которые вовлекаются в реагирование, удобный интерфейс для работы, и именно этого мы стремимся добиться в сервисе на базе SOAR, — подчеркнул Владимир Дрюков. — Если коротко, то мы решаем несколько задач: качественное обогащение инцидентов информацией, корректная маршрутизация на ответственных, бесшовная генерация плейбука из сценария мониторинга, понятные инструкции для айтишников и система проверки результатов за ИТ. В этом плане SOAR для нас — удобное пространство для совместной работы».
Всеслав Соленик, директор Центра экспертизы R-Vision, представил концепцию построения коммерческого SOC на базе экосистемы продуктов вендора. В своем докладе он поделился видением того, какие процессы следует выстроить MSSP-провайдеру для предоставления экспертных сервисов, рассказал о специфике использования продуктов R-Vision в коммерческом SOC и привел примеры архитектурной реализации экосистемы решений вендора при построении конкретных услуг.
Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет», поделился собственным опытом запуска экспертных сервисов по кибербезопасности. Говоря о критериях выбора SOAR-платформы для построения технологического ядра Jet CSIRT, одним из главных требований он назвал наличие качественной технической поддержки со стороны вендора. «В нашем случае основная задача SOAR — автоматизация workflow-конвейера. Именно с ним связано большинство наших сценариев реагирования, меньшая часть касается внешнего обогащения инцидентов контекстом и совсем небольшая — автоматизации реагирования на финальной стадии (локализации и подавления инцидентов). Часто можно услышать, что технологии SOAR нужны для автоматизации реагирования и помогают чуть ли не открывать двери при пожаре, но на деле это самая простая часть решений такого класса. Сложнее всего выстроить как раз workflow, особенно в MSSP-модели», — заявил Алексей Мальнев.
Завершилось мероприятие панельной дискуссией о реализации сервисной модели ИБ-услуг с участием представителей компаний «Инфосистемы Джет», «Консист-ОС», МТС и «Ростелеком-Солар». Модерировал дискуссию Александр Бондаренко, генеральный директор R-Vision. Эксперты высказали мнение о том, как расставляют приоритеты в классической триаде построения SOC «люди, процессы, технологии», рассказали, по каким критериям определяют необходимость масштабировать команду, как подходят к проблеме «выгорания» аналитиков первой линии, поделились мнениями о гранях ответственности провайдеров за инциденты и дали прогнозы о развитии MSSP-услуг. По мнению Тимура Ниязова, руководителя направления мониторинга и реагирования на киберугрозы «Ростелеком-Солар», конкуренция на этом рынке будет нарастать, и уже в ближайшие пять лет традиционные услуги по мониторингу дополнятся новыми сервисами.
Андрей Дугин, начальник отдела обеспечения ИБ МТС, отметил, что росту рынка MSSP-услуг будет способствовать постепенное увеличение доверия к аутсорсерам и рост поверхности атаки, связанный с развитием цифровизации.
Кази Качаев, начальник отдела продуктов ИБ «Консист-ОС», среди причин развития ИБ-сервисов назвал необходимость передавать на ауторсинг «не зарабатывающие» функции, возрастающие требования регуляторов и увеличивающуюся активность злоумышленников.
Алексей Мальнев среди наиболее перспективных направлений развития ИБ-сервисов выделил защиту DevOps и Big Data, а также фокус на услугах DRPS (Digital Risk Protection Services), таких как защита бренда или OSINT.
Говоря о впечатлениях от конференции, Александр Сенчуков, заместитель директора департамента проектирования компании «Информзащита», сказал:
«Для меня наибольшая польза от мероприятия заключается в возможности перенять опыт спикеров, которые на практике оказывают услуги на технологическом стеке R-Vision, пообщаться с коллегами и получить ответы на свои вопросы».
Илья Четвертнев, технический директор Angara Technologies Group, отметил: «Направление MSSP-сервисов сегодня очень актуально. Многие компании не готовы создавать собственный SOC, но понимают, что это необходимо с точки зрения безопасности, и поэтому рассматривают возможность передать функции по мониторингу на аутсорсинг».
Андрей Телицын, руководитель проекта коммерческого SOC компании «ЭР-Телеком», подчеркнул: «Тема конференции очень востребованная, и для нас услуги SOC — это один из драйверов роста всей продуктовой линейки. На мероприятии для меня было важно получить подтверждение от крупных игроков рынка своей точки зрения о том, что самое главное в SOC — это люди. Я считаю, что для решения кадрового голода необходимо работать с вузами и в том числе искать перспективных специалистов в регионах.
О компании
Компания R-Vision — разработчик систем кибербезопасности. С 2011 года создает решения и сервисы, которые помогают бизнесу и государственным организациям по всему миру уверенно противостоять актуальным киберугрозам и обеспечивать надежное управление информационной безопасностью.
Технологии R-Vision используются в банках, государственных структурах, нефтегазовой отрасли, энергетике, металлургии, промышленности и компаниях других отраслей.