На фоне роста кибератак Центр мониторинга кибербезопасности (Security Operations Center) КРОК зафиксировал увеличение спроса на аналитические ИБ-сервисы. В марте 2022 года Россия стала самой атакуемой страной в мире. Число компьютерных атак подскочило в четыре раза по сравнению с аналогичным периодом прошлого года.
В зоне риска оказались все российские компании, независимо от размеров и рода деятельности. В связи с этим значительно увеличился спрос на услуги Security Operations Center (SOC), обеспечивающий круглосуточный мониторинг кибербезопасности информационных ресурсов.
КРОК провел исследование, в котором приняло участие более 100 компаний, пользующихся различными сервисными моделями SOC. Как показал опрос, возросшее число атак и приостановка деятельности иностранных вендоров повлияли на решение предприятий всерьез обратить внимание на процессы выявления, реагирования и расследования инцидентов информационной безопасности.
Драйверы спроса
Для enterprise-бизнеса каждый час простоя из-за произошедшего инцидента обходится значительно дороже инвестиций в ИБ, направленных на обеспечение эффективного мониторинга информационной безопасности. К драйверам спроса на аналитический сервис опрошенные компании отнесли также дефицит кадровых ресурсов, перебои с поставками вычислительных мощностей, требования регуляторов, связанные с обязательной оперативной передачей данных об инцидентах на объектах КИИ в ГосСОПКА.
«Сегодня на первый план выходит устойчивость компаний, их способность обеспечивать бесперебойную работу бизнеса в условиях киберугроз. Постоянно меняющиеся векторы атак требуют расширения инструментов информационной безопасности и развития сценариев защиты инфраструктуры, которые не всегда можно реализовать внутренними ресурсами, – говорит Андрей Заикин, руководитель направления информационной безопасности ИТ-компании КРОК. – Внешний сервис SOC, в котором сконцентрированы аналитические технологии и достаточное количество экспертов, решает задачу раннего обнаружения потенциальных угроз и обеспечивает проактивную защиту, основанную на прогнозировании атак и инцидентов до момента их реализации».
Точка сбора событий
Концептуально Security Operations Center представляет собой единую точку сбора всех событий ИБ, аналитическая обработка которых позволяет быстро реагировать на киберугрозы, комплексно защищать корпоративные сети и управлять безопасностью компаний в режиме реального времени.
Согласно исследованию, проведенному аналитиками КРОК, более 90% предприятий выбирает SOC as Service либо гибридную модель. Данные форматы, по мнению участников опроса, значительно снижают расходы и риски, связанные с реализацией корпоративного центра мониторинга ИБ. Вместе с тем позволяют в короткие сроки запустить сервис и получить на аутсорсинге экспертную команду инженеров и аналитиков, способную оперативно обнаруживать и предотвращать инциденты, а также выявлять и исправлять уязвимости.
Преимущества SOC
К преимуществам SOC респонденты отнесли такие опции, как круглосуточный мониторинг, постоянная актуализация методов и технологий выявления инцидентов, повышение осведомленности. Большое значение имеет также снижение нагрузки и снятие ответственности с текущего штата ИБ.
Компании назвали ряд проблем, с которыми сталкиваются заказчики аутсорсингового сервиса: отсутствие персонализации и погруженности со стороны подрядчиков, а также недостаточная прозрачность услуги.
Предпочтение сервису
«Развертывание собственного Security Operations Center требует значительных инвестиций и занимает от года до трех лет. Тогда как SOC as Service предоставляет возможность подключиться к услуге всего за пару недель и получить эффект от ее использования в кратчайшие сроки. Центр мониторинга кибербезопасности оснащен стеком технологий, позволяющим видеть общую ИБ-картину: SIEM для сбора сигналов тревоги, SOAR/IRP для управления инцидентами и автоматизации реагирования, TIP для обработки данных об угрозах, платформой для взаимодействия аналитиков и членов команды реагирования, платформой для хранения и обмена знаниями. SOC ведет также анализ сетевого трафика, сканирование активности на оконечных устройствах, и при необходимости мониторинг облачных сред», – рассказал Евгений Ляпушкин, руководитель Центра мониторинга кибербезопасности ИТ-компании КРОК.
Выбор заказчиков
Центр мониторинга кибербезопасности КРОК предоставляет как SOC as Service, так и гибридный формат. На сегодняшний день две трети заявок, поступающих в КРОК, связаны с оказанием услуг по гибридной модели, при которой технические средства SOC находятся в инфраструктуре заказчика, а поддержкой, администрированием, выявлением инцидентов и реагированием на них занимается сервис-провайдер.
Для каждого из выбранных форматов Security Operations Center доступна опция поддержки процессного менеджера с целью обеспечения более глубокого погружения в процессы и инфраструктуру клиента. Это сотрудник SOC, который отвечает за практическую реализацию сервиса, качество оказываемых услуг и развитие ИБ в рамках проекта.
