Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания

Cyber Media: На рынке SOC-услуг в России наблюдается рост. Какие причины считаете главными?

Булат Сафин: С одной стороны, значительное влияние на рынок оказало изменение законодательства, а именно Указ Президента РФ № 250, 187-ФЗ и приказы ФСТЭК, ФСБ и Банка России.

С другой – повлияло давление со стороны хакерских групп и сообществ, которые в 2022 году объявили кибервойну российским компаниям и государственным учреждениям. Атакам подверглись финансовые институты и организации, предоставляющие услуги населению. Следствием этого и стало изменение законодательной базы, которое отразилось в Указе № 250 весной 2022-го.

При этом законодательство продолжает ужесточаться. Так, например, в декабре прошлого года в Минцифре предложили ввести оборотный штраф для юрлиц за утечку персональных данных. Инцидент может обойтись компании в сумму от 5 до 500 млн рублей.

Cyber Media: Что изменилось на рынке за последние пять лет?

Булат Сафин: Главный момент – бизнес стал серьезнее относиться к защите своих информационных систем, построении центров SOC. Для организации SOC рассматривается как привлечение сторонних организаций, так и построение собственными силами. С учетом роста угроз и атак на информационные ресурсы, количество компаний, которые готовы вкладывать свои ресурсы в ИБ значительно возросло.

Cyber Media: Какие специалисты нужны для построения SOC? И какие требования к ним предъявляют?

Булат Сафин: Прежде всего это инженеры и аналитики, которые обладают компетенциями и практическим опытом в области обнаружения и расследования инцидентов ИБ, в частности умеют эффективно использовать современные решения ИБ для этих целей. Идеально, если компетенции подтверждены сертификатами (CEH, OSCP, CISM и другими).

Инженеры настраивают и интегрируют ПО, подключают новые технические решения к инфраструктуре компании. Аналитики работают с системами мониторинга событий, анализируют данные, выявляют инциденты и предлагают стратегии реагирования.

Требования к специалистам предъявляются в зависимости от их профиля. Это могут быть аналитики, которые специализируются на криминалистических исследованиях, или чья задача сводится к поиску проактивных угроз (threat hunting). Ожидания от их компетенций, конечно, будут разными.

Еще один важный сотрудник, без которого сложно представить работу SOC, – менеджер. Он грамотно ставит задачи перед командой, организует процессы и контролирует качество работы.

Cyber Media: А что скажете о программных продуктах?

Булат Сафин: Традиционно ядром SOC являются SIEM системы (Системы управления информацией и событиями безопасности), которые в последние годы дополняются такими решениями как EDR\NDR для повышения эффективности обнаружения и реагирования на угрозы на конечных устройства и в сети.

Традиционные средства защиты, такие как сканеры уязвимостей, антивирусные системы, системы анализа трафика, «песочницы», межсетевые экраны остаются в периметре SOC в качеcтве источников событий, наряду с другим компонентами инфраструктуры (сервера, приложения, базы данных и т.д.). Кроме того, для эффективной организации процессов SOC используются IRP и SOAR системы.

Cyber Media: Какие риски и сложности могут возникнуть у компании, которая решила выстраивать внутренний SOC?

Продолжение читайте на сайте Cyber Media.