Журнал "Information Security/ Информационная безопасность" #5, 2022

и сопровождение клиентов с нашей сто- роны осуществляются в обоих вариантах, также как и автоматизированные дей- ствия по реагированию на инциденты в IRP-платформе. – Какими инструментами и реше- ниями пользуются в МегаФон SOC? Насколько остро стоит вопрос импортозамещения в вашей инфраструктуре? – Мы используем связку системы SIEM и платформы IRP. В SIEM настрое- но порядка 250 правил корреляции и сформировано более 100 use cases, и в IRP-решение передаются уже сфор- мированные в SIEM инциденты для авто- матизации реагирования. Сейчас в SIEM заведено порядка 4 тыс. систем – источ- ников событий, а наши вычислительные мощности позволяют обрабатывать до 100 тыс. событий в секунду от одного клиента. В качестве системы IRP мы используем российское решение Secu- rity Vision IRP/SOAR. Напомню, что решения класса IRP/SOAR – это плат- формы для централизованного управ- ления средствами и системами защиты информации, автоматизации рутинных процессов и оперативного реагирова- ния на киберинциденты. Интеграции с ИТ-системами и СЗИ позволяют полу- чать от них данные для обогащения информации по кибер-инцидентам, а также изменять их настройки в еди- ном интерфейсе (то есть отправлять управляющие воздействия на ИТ- и ИБ- системы), что существенно экономит время при решении задач кибербезо- пасности. При реагировании на инци- денты IRP/SOAR помогает выполнять рутинные операции по сбору дополни- тельной информации, осуществлять неотложные действия по сдерживанию и устранению киберугроз (например, провести сетевую изоляцию хоста), вос- становить атакованную систему, опо- вестить заинтересованных лиц, собрать и передать собранную информацию по инциденту. Модуль Threat Intelligence IRP-/SOAR-решений помогает обогатить данные по киберинциденту индикато- рами компрометации, получить допол- нительную аналитику по инциденту, провести ретроспективный поиск в ранее отработанных инцидентах ИБ. В целом популярность IRP-/SOAR- систем в коммерческих SOC-центрах обусловлена экономическим эффектом от повышения скорости обработки инци- дентов, контроля соблюдения нормати- вов (KPI/SLA), наглядной визуализации и отчетности состояния кибербезопас- ности в каждом из клиентов, роботиза- ции ручных операций аналитиков и опе- раторов SOC и высвобождения ресурсов для действительно критичных задач, что существенно повышает эффективность процессов реагирования на инциденты информационной безопасности заказ- чиков. Решение Security Vision IRP/SOAR выполняет все вышеперечисленные классические функции, поддерживает режим Multitenancy и установку на оте- чественные ОС и СУБД, позволяет рабо- тать с динамическими codeless-плейбу- ками с удобной и понятной графикой, а также использует технологии искус- ственного интеллекта, машинного обуче- ния и Big Data для ускорения реагирова- ния, выявления аномалий и помощи ИБ- специалистам путем снижения рутинной нагрузки. – Какие актуальные вызовы сейчас стоят перед коммерче- скими центрами SOC? Что вы можете посоветовать коллегам? – Основные вызовы российских SOC- центров имеют много общего с актуаль- ными задачами, стоящими перед ИТ- и ИБ-департаментами: это и уход запад- ных вендоров, и необходимость экс- тренного замещения некоторых зару- бежных технологий, и сложности с при- обретением новых аппаратных мощно- стей. В сложившихся условиях одним из ключевых вопросов остается кадровый: в условиях увеличения кибератак прак- тически на порядок SOC-центрам сле- дует либо кратно увеличивать штат, либо автоматизировать все большее число действий при реагировании – с последним, однако, успешно помогают рассмотренные выше IRP-/SOAR-реше- ния. Кроме того, для отечественных решений требуется квалифицированное сопровождение, поскольку по естествен- ным причинам российский софт до опре- деленного момента применялся не очень широко, соответственно на рынке ощу- щается недостаток экспертов, которые способны его профессионально адми- нистрировать и поддерживать. Выходом из ситуации недостатка компетенций, железа и софта может стать модель кибершеринга, при которой компетен- ции, аппаратное и программное обес- печение будут определенным образом использоваться компаниями совместно, по мере необходимости, в чем-то повто- ряя и расширяя концепцию SecaaS (Security-as-a-Service, кибербезопасность как услуга). – Рынок отечественных реше- ний и услуг по кибербезопасно- сти уже достаточно зрел и широк. Какими критериями можно руко- водствоваться при выборе про- дуктов? – В свете разнообразных льгот и при- вилегий, которые в последнее время получает ИТ-отрасль в России, велика вероятность появления на рынке неко- торого числа совсем сырых ИБ-продук- тов или немного видоизмененных реше- ний Open Source. Кажущееся разнооб- разие продуктов не должно вводить в заблуждение: функциональные и сравни- тельные тесты говорят о продукте боль- ше, чем маркетинговые материалы, а отзывы о решении от коллег из других компаний послужат неоценимой помо- щью при выборе. Следует также внима- тельно подходить к вопросу пилотиро- вания, проверяя работу СЗИ в условиях, близких к боевым, и не подгоняя резуль- тат тестирования продукта под собст- венные ожидания. Кроме тестирования, объективными характеристиками про- дукта будут сведения о подтвержденной дате первого релиза или начала разра- ботки, полнота документации, наличие технической поддержки, готовность вен- дора или сервис-провайдера к доработ- кам продукта или услуги под ваши нужды, подтвержденный успешный опыт промышленной эксплуатации решения в крупных компаниях смежных секторов экономики, а также наличие действую- щих сертификатов регуляторов и при- сутствие продукта в реестре отечествен- ного ПО. – Как, на ваш взгляд, будет раз- виваться отечественная отрасль коммерческих SOC и рынок ИБ в целом в среднесрочной пер- спективе? – Вероятно, состояние ландшафта киберугроз в среднесрочной перспективе будет определяться политико-экономи- ческой ситуацией, состоянием экономики и рынка труда, а также законодатель- ными требованиями. Скорее всего, мы увидим тренд на развитие импортоза- мещающих технологий, более широкое использование Open Source, активное взаимодействие между игроками рынка для нивелирования негативных послед- ствий санкционного давления. Вероятно, повышенным спросом будут пользовать- ся услуги киберстрахования и аутсорсинг кибербезопасности, более широкое при- менение найдет концепция SecaaS. Оби- лие громких утечек персональных дан- ных граждан уже привело к изменению законодательства в этой сфере, и можно ожидать всплеск интереса к системам контроля данных и предотвращения уте- чек. Спрос на услуги и компетенции по DevSecOps будет только расти, и ИБ- игроки, вероятно, начнут массово пред- лагать услуги в этой области. Для обес- печения более глубокой видимости инфраструктуры в крупных компаниях, возможно, будет наблюдаться объеди- нение функций ИТ- и ИБ-мониторинга, которые станут взаимно дополнять и обогащать друг друга. В целом, следуя восходящему тренду на увеличение киберугроз и повышению количества кибератак, отрасль ИБ будет активно развиваться, но имеющиеся санкцион- ные и технологические ограничения могут создать этому процессу опреде- ленные вызовы. l 28 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru