Журнал "Information Security/ Информационная безопасность" #5, 2023

Александр Матвеев, IZ:SOC: 1. Конечно же, проконсультироваться с экспертами, которые годами зани- маются предоставлением услуги SOC. 2.Определить функции, которые пла- нируется возложить на внешнюю коман- ду SOC. 3. Определить элементы инфраструк- туры, мониторинг которой планируется осуществлять. 4. Воспользоваться услугой пробного бесплатного периода, который предо- ставляет внешний SOC, чтобы понять, устраивает ли качество, стоимость и экспертиза услуги именно выбранной команды. Желательно параллельно сравнить несколько SOC, если есть такая возможность. 5. Делать выводы, основываясь не на маркетинговых материалах, а на основе комплекса факторов, включая стоимость услуги, полученный результат, экспер- тизу и комфорт работы с внешней коман- дой. Руслан Амиров, Инфосистемы Джет: Если речь идет о принятом принципи- альном решении, первым шагом может быть запуск процедуры выбора постав- щика услуг. Рынок коммерческих SOC в России представлен множеством орга- низаций, и выбор можно провести по качественным и объективным критериям. В процессе взаимодействия с коммер- ческим SOC заказчик получит исчерпы- вающую информацию об услугах, тех- нических особенностях подключения и определит область покрытия монито- ринга. Пилотный запуск услуг SOC поле- зен как для проверки компетентности поставщика, так и для готовности заказ- чика к получению и использованию результатов. Даниил Вылегжанин, RuSIEM: В этом случае однозначно выбор поставщика услуг, оптимального по бюд- жету и SLA. Андрей Дугин, МТС RED: Первый этап – подготовка взаимо- действия инфраструктур MSSP-провай- дера и заказчика, инвентаризация ИТ- активов в контуре мониторинга SOC. Без четкого понимания защищаемой инфраструктуры и сервисов полноценно обеспечить их безопасность крайне затруднительно. Теймур Хеирхабаров, BI.ZONE: Определиться с границами подключе- ния инфраструктуры к SOC, а также с набором услуг и функций, ожидаемых от коммерческого SOC. Это позволит очертить круг возможных сервис-про- вайдеров, а также оценить требуемый бюджет. При этом если у компании не было до этого опыта потребления услуг коммерческого SOC либо планируется смена сервис-провайдера, то крайне рекомендуется провести пилотный про- ект с одним-двумя игроками рынка. Это нужно для того, чтобы ожидания сошлись с возможностями рассматриваемых партнеров. Артём Савчук, ПМ: 1. Формирование ТЗ. 2. Сбор ТКП. 3. Определение НМЦ. 4. Возможно, пилотное подключение к различным SOC, для сравнения. 5. Выбор подрядчика или подрядчи- ков. Максим Акимов, Innostage CyberART: Наш подход к приему в работу нового проекта включает последовательные шаги: 1. Запрос сведений об инфраструктуре заказчика. 2. Построение защищенного канала. 3. Подготовка инфраструктуры заказ- чика. 4. Подготовка инфраструктуры SOC. 5. Внедрение контента. 6. Согласование SLA-параметров сер- виса. 7. Инвентаризация. 8. Наполнение базы знаний. 9. Настройка источников. 10. Обогащение индикаторами ком- прометации (IoC, TI). 11. Сдача приемочных испытаний. Передача на сервис. Артём Савчук, ПМ: В настоящее время это острая нехват- ка квалифицированных кадров и высо- кая конкуренция за специалистов среди коммерческих SOC, а также импортоза- мещение, то есть переход и модерниза- ция ИТ-инфраструктуры SOC с исполь- зованием отечественных решений. Отме- чу и дороговизну ЗИП из-за параллель- ного импорта. Сергей Солдатов, Лаборатория Касперского: 1. Для предоставления большей цен- ности сервисов требуется глубокое погружение в бизнес-процессы заказ- чика. 2. Люди, процессы, технологии – нет предела совершенству! Андрей Дугин, МТС RED: Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численно- сти SOC, так и средствами автоматиза- ции и обогащением дополнительными средствами защиты – там, где это воз- можно. Александр Матвеев, IZ:SOC: Актуальны классические вызовы, как, например, недостаток специали- стов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозаме- щением технических средств, исполь- зуемых в SOC. Есть также вызовы, связанные с постоянным совершен- ствованием наших процессов и при- менением технологий машинного обучения для снижения нагрузки ана- литиков и прогнозирования угроз на основе аномалий. Максим Акимов, Innostage CyberART: Главные вызовы – усиление внима- ния со стороны хакерских группиро- вок, дефицит квалифицированных кадров на рынке и уход западных вендоров. Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив програм- му Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспек- тиве сразу в нескольких векторах: l автоматизация типовых действий для повышения продуктивности и миними- зации человеческого фактора; l популяризации концепции Purple Team, командная работа "синих" и "крас- Основные вызовы в развитии и совершен- ствовании коммерческих SOC? • 21 SOC и TI www.itsec.ru