Журнал "Information Security/ Информационная безопасность" #5, 2022

проведение тренингов по ИБ – в МегаФон SOC мы предлагаем клиентам все выше- указанные услуги. – Готов ли российский бизнес доверять MSSP-/MDR-провайдерам и коммерческим SOC-центрам? – Российский бизнес, особенно круп- ный, еще несколько лет назад с недове- рием относился к передаче критичных функций на аутсорс, будь то бухгалтерия, ИТ или кибербезопасность. Постепенный переход на модель потребления "всё- как-услуга", в том числе и на бытовом уровне, заставило сначала пересмотреть отношение к решениям SaaS, PaaS, IaaS в ИТ-среде. А затем, по мере полу- чения позитивного опыта, восприятие потребления прочих услуг по сервисной модели стало меняться в лучшую сторо- ну, и в итоге разнообразные облачные продукты заняли свое достойное место наряду с on-prem-решениями. Так, напри- мер, наш сервис "МегаФон Облако" предлагает своим клиентам как ИТ- решения SaaS (корпоративная почта, мессенджер, совместная работа с доку- ментами) и IaaS (облачная инфраструк- тура в нашем ЦОД уровня Tier III), так и решения по кибербезопасности: это и DRaaS (Disaster-Recovery-as-a-Service, аварийное восстановление данных как услуга), и BaaS (Backup-as-a-Service, резервное копирование данных как услу- га), и облачный NGFW, а также МегаФон SOC. Таким образом, услугами нашего коммерческого SOC, который в том числе предоставляет и MSSP-/MDR- сервисы, смогут бесшовно пользоваться клиенты, уже работающие с инфра- структурными услугами МегаФон Обла- ка. Такая конвергенция ИТ и ИБ поможет клиентам передать большинство задач по мониторингу состояния кибербезо- пасности и поддержке работоспособно- сти инфраструктуры "в одни руки", что соответствует текущим мировым трен- дам на объединение усилий подразде- лений ИТ и ИБ по обеспечению непре- рывности и безопасности бизнес-про- цессов. – Наблюдает ли МегаФон SOC повышенный спрос на услуги по управлению киберинцидентами? – Без сомнения, с начала года спрос на услуги по обеспечению кибербезо- пасности вырос примерно в пять раз. Новых заказчиков интересуют, как пра- вило, такие сервисы, как защита от DDoS, внешнее сканирование на нали- чие уязвимостей, контроль защищенно- сти периметра, которые помогают ком- паниям оперативно предотвратить взло- мы и защититься от лавины кибератак на свои веб-сервисы. Для зрелых заказ- чиков более интересными становятся услуги по мониторингу, реагированию и анализу киберинцидентов, ИБ-аудит, сервисы по безопасной разработке и анализу кода, защите бренда, кибер- разведке. Повышенный спрос на услуги по управлению киберинцидентами действительно заметен и объясняется количеством, опасностью и скоростью кибератак, которым подвергаются сего- дня российские компании. Уменьшение времени нахождения ата- кующих в инфраструктуре после пер- вичной компрометации и до выполнения несанкционированных действий – тренд последних лет, и теперь деструктивная активность начинается уже спустя счи- танные минуты после первичного про- никновения. Деструктивная активность может включать в себя как необратимое шифрование данных на устройствах, так и вывод устройств из строя путем повреждения MBR-разделов жесткого диска или путем установки некорректной прошивки на оборудование. Таким обра- зом, масштабы последствий кибератаки напрямую зависят от скорости ее выявления и реагирования: чем опера- тивнее скомпрометированное устройство будет изолировано от сети компании, учетная запись – заблокирована, а сете- вое соединение – сброшено, тем мень- шие потери понесет компания. При этом далеко не во всех даже крупных органи- зациях есть возможность организовать внутренний SOC-центр и круглосуточную дежурную смену, а в сегменте малого и среднего бизнеса – тем более. Таким образом, вариант подключения услуги по мониторингу, анализу и реагированию на киберинциденты выглядит для кли- ента не только экономически целесооб- разным, но и едва ли не единственным способом решения задачи. – Какова общая структура Мега- Фон SOC? – Любой SOC состоит из людей, про- цессов и технологий: у нас команда высококлассных экспертов, которая в режиме 24/7 обеспечивает наших кли- ентов трехуровневой поддержкой, а выстроенные внутренние процессы позволяют выполнять нормативы по выявлению и реагированию на киберин- циденты. В части технологий мы пред- лагаем клиентам два архитектурных варианта: облачную реализацию, при которой события от элементов инфра- структуры заказчика передаются через защищенный канал в нашу инфраструк- туру для обработки в SIEM и IRP, либо смешанную реализацию, когда SIEM- система уже стоит у клиента и передает нам готовые инциденты. Поддержка • 27 IRP, SOAR, SOC www.itsec.ru