Главная
Количество киберугроз растёт, развивается хактивизм, появляются новые схемы для нападений, увеличивается число гибридных атак, а сами нападения становятся дешевле — в этом контексте проактивная защита выходит на первый план, становясь ключевым элементом стратегии кибербезопасности.
Один из наиболее эффективных инструментов такой защиты — центры мониторинга кибербезопасности. Эти структуры позволяют компаниям оперативно обнаруживать и реагировать на кибератаки, а также предвосхищать их.
> 18% атак приводят к остановкам производства и сбоям поставок
60% компаний финсектора в 2023 году столкнулись с атаками на цепочки поставок
Security Operations Center (SOC), центр оперативного реагирования на инциденты информационной безопасности, центр мониторинга кибербезопасности — вариантов названия много. SOC создают комплекс из технологических решений, процессов, навыков специалистов высокого уровня для формирования системы, защищающей от киберугроз. Основная цель центров — непрерывный контроль и защита цифровой инфраструктуры компании, минимизация рисков, а также последствий возможных атак.
Владимир Дащенко,
эксперт по кибербезопасности Kaspersky ICS CERT, международного центра исследования безопасности промышленных систем и реагирования на инциденты:
Такой центр мониторит всю инфраструктуру с привлечением огромной базы знаний мирового состояния киберугроз (новых индикаторов компрометации, тактики и техники атак и т. д.). Эти технические артефакты применяют к каждому заказчику, анализируют не только отдельные «звоночки», но их совокупности, определяя признаки угроз любого уровня. SOC начинает расследование не постфактум, а непосредственно в момент обнаружения угрозы.
Специалисты по защите информации (системный администратор, специалист по настройке внутренних систем обработки инцидентов (SIEM, SOAR, IRP и т. д.), аналитик, специалист по реверс-инжинирингу, форензик-эксперт, специалист по киберразведке) в реальном времени отслеживают угрозы с помощью технических средств, обнаруживают, анализируют, реагируют на инциденты. Менеджер SOC адаптирует технические данные от этой команды, позволяя руководству и собственникам понимать, что за угрозы возникают, какой наносят ущерб.
SOC-центры могут быть внутренними или внешними (аутсорсинговыми). Первые формирует сама компания, нанимая экспертов ИБ в штат, выстраивая нужную инфраструктуру. Аутсорсинговый центр реагирования предоставляет те же услуги, но от внешней группы экспертов и частично внешней же инфраструктуры, в соответствии с поставленными по договору KPI. Подобная структура не требует расширения штата, запустить постоянную работу можно оперативнее.
Андрей Шаляпин,
руководитель BI.ZONE TDR:
На создание и ввод в работу собственного SOC у компании может уйти несколько лет. Для эффективного выявления инцидентов, которые не попадают в фокус стандартных превентивных средств защиты, SOC должен достичь определённого уровня зрелости. Расширение экспертной базы правил, по которым выявляют подозрительные события, непрерывная их актуализация, выстраивание процессов, подготовка плейбуков — всё это требует много времени, ресурсов и глубокой экспертизы. Запуск внешнего центра реагирования часто можно уложить в несколько недель.
При этом эксперты подчёркивают, что значимый фактор успеха SOC — широта покрытия мониторингом ИТ-инфраструктуры компании.
Андрей Шаляпин,
руководитель BI.ZONE TDR:
Слепые зоны для мониторинга могут оставаться всегда, поскольку появляются в тех местах, куда не дотягиваются процессы инвентаризации ИТ-инфраструктуры. Если выстроить эти процессы правильно, можно минимизировать возможность успешных кибератак, снизить вероятный ущерб. Поэтому специалистам важно знать, что есть в инфраструктуре и что необходимо охватить мониторингом.
Евгения Хамракулова,
руководитель направления развития бизнеса центра противодействия кибератакам Solar JSOC:
Например, продвинутые атаки порой проходят ниже радаров стандартных средств мониторинга, поэтому могут быть выявлены только посредством отслеживания аномалий на сети (технология NTA) или конечных точках (EDR).
Security Operations Center обеспечивает безопасность информационных систем компании.
При росте рынка ИБ в целом на 15—35% в 2023 году рынок центров реагирования вырос на 50—60%. Тренду на повышение способствовало усиление законодательства в области кибербезопасности, требующего от компаний соблюдения определённых стандартов и норм. Но ещё сильнее повлияла быстрая цифровизация бизнеса, открыв новые каналы для атак. SOC — один из инструментов, позволяющий бороться с угрозами в контексте бизнес-процессов, а также структуры конкретной компании.
Российский рынок представлен сразу несколькими крупными игроками:
У Security Operations Center есть и ряд ограничений.
Андрей Шаляпин:
Сказать, что центры реагирования востребованы только крупными компаниями, нельзя. Среди наших заказчиков есть компании, чья ИТ-инфраструктура насчитывает от нескольких десятков хостов до нескольких тысяч. Скорее, процессы мониторинга и реагирования на инциденты внедряют те компании, у которых ИТ-инфраструктура с обрабатываемыми в ней данными являются критичными элементами бизнес-процессов, поэтому в случае кибератаки компания понесёт существенный ущерб.
Если нет чёткой стратегии, выстроенного управления данными (неструктурированные данные затрудняют анализ взаимосвязей) или не хватает ресурсов, SOC также не будет эффективен.
Евгения Хамракулова:
SOC не запустится, если внутри компании не работают процессы цифровой безопасности. При этом какие-то из них можно отдать на аутсорс, а что-то должно оставаться внутри. Если проигнорировать даже один процесс, то компания может работать в иллюзии защищённости, при этом не имея реальной возможности справиться с потенциальной атакой.
Компании проявляют всё больший интерес к рынку центров кибербезопасности, так как количество цифровых угроз непрерывно растёт. По данным аналитиков F.A.C.C.T., в 2023 году было обнаружено на 68% больше фишинговых доменов, чем в 2022 году. Специалисты «Лаборатории Касперского» находят по 40—50 уязвимостей в программах с открытым кодом, а также по 100—150 уязвимостей высокого уровня. Бизнесу нужна эффективная защита, способная адаптироваться под постоянно изменяющиеся условия, SOC как раз направлен на решение подобной задачи. Поэтому, по оценкам экспертов, мировой рынок центров реагирования будет в среднем расти на 10,3% ежегодно в прогнозируемый период до 2030 года.
Андрей Шаляпин:
По нашему мнению, ключевыми трендами в развитии SOC в ближайшие 2—3 года будут, во-первых, внедрение методов машинного обучения в процессы обнаружения инцидентов кибербезопасности. А во-вторых, развитие концепции расширенного обнаружения и реагирования XDR (Extended Detection & Response), которая направлена на сокращение времени реагирования на инциденты и автоматическое прерывание кибератак.
Евгения Хамракулова:
Очевидно, рынок будет расти — видим тенденцию появления новых сервис-провайдеров в этой области. Также будет увеличиваться спрос на услуги в среднем сегменте бизнеса. В компаниях этого уровня есть не только запрос на мониторинг и реагирование на киберугрозы, но также понимание того, что услуги коммерческого SOC стоят меньше выстраивания экспертизы и мониторинга внутри компании. Зрелый коммерческий центр с большим количеством клиентов всегда имеет колоссальное преимущество в скорости накопления экспертизы, широте обзора киберугроз.
Напишите нам и менеджеры свяжутся с вами