Михаил Климов (RED Security): «Рынок аутсорсинга растет чуть быстрее всего рынка ИБ»

— Михаил, насколько растет рынок аутсорсинга ИБ? Какие предпосылки у этого роста?

— Рынок аутсорсинга растет чуть быстрее всего рынка ИБ, и в этом году рост составит около 25 %. Причины в том, что инфраструктуры компаний год от года расширяются, с переходом на отечественные решения они еще заметно меняются. Их надо обслуживать, надо защищать, а кадровый дефицит в отрасли — все еще актуальная проблема. Поэтому аутсорсинг для многих становится решением, и это стимулирует рост рынка.

Если говорить о сегменте центров мониторинга и реагирования на киберугрозы, то этот рынок растет не только за счет новых заказчиков, но и благодаря растущему числу моделей поставки сервисов и новых технологий защиты, которые предлагают сервис-провайдеры.

Михаил Климов, руководитель направления сервисов центра мониторинга
и реагирования на кибератаки RED Security SOC, компания RED Security.
Фото: RED Security

— Какие услуги ИБ предлагают исполнители, и какие функции заказчики чаще всего отдают на аутсорсинг?

— Центры мониторинга традиционно предлагают комплекс услуг – инвентаризацию инфраструктуры, эксплуатацию СЗИ, мониторинг событий ИБ и реагирование на них, а также в ряде случаев дополнительные услуги — форензику, пентесты. Заказчики легче всего отдают на аутсорсинг мониторинг и выявление инцидентов.

Инвентаризацию перед стартом подключения SOC проводят, к сожалению, не все. Заказчики часто убеждены, что обладают самой актуальной информацией о своей инфраструктуре, и, хотя часто это оказывается заблуждением, такая позиция все еще распространена.

Эксплуатация СЗИ и применение технических мер реагирования на инфраструктуре заказчика силами инженеров SOC – это нормальная практика, но ее редко используют в первый же год использования сервисов от того или иного поставщика. Обычно заказчик хочет сначала убедиться в компетенциях специалистов SOC на основе сервиса мониторинга. И только после этого он готов передать им «ключи» от инфраструктуры компании.

Если компания достаточно зрелая, чтобы создавать внутренний центр мониторинга, она часто прибегает к аутсорсингу для помощи в реализации отдельных этапов этого проекта. В частности, мы получаем запросы на создание набора правил корреляции — контент для внутренних SOC. Периодически заказчики обращаются за написанием плейбуков или консалтингом в части выстраивания внутренних процессов SOC.

Иногда такие заказчики в итоге отдают на аутсорсинг именно функции третьей линии SOC. Дело в том, что, даже достигнув достаточно высоко уровня зрелости, их внутренние центры мониторинга крайне редко имеют ресурсы для того, чтобы серьезно вкладываться в развитие, следить за трендами и оперативно создавать новые правила корреляции под только что появившиеся угрозы и тестировать на большом объеме данных.

— Как оценивается их эффективность, как заказчикам выбрать необходимый SLA?

— Минимальное необходимое требование – это круглосуточный мониторинг. Огромная часть атак происходит в нерабочее время, и часто в пятницу вечером. В такой ситуации, если в компании нет функции мониторинга 24/7, в понедельник утром сотрудники могут увидеть уже разрушенную инфраструктуру. Атаки в выходные и в ночное время — это паттерн, который встречается во всех отраслях, однако для некоторых он максимально характерен. Например, в первом полугодии этого года почти половина всех атак на промышленность пришлась на выходные и праздничные дни или часы, которые традиционно являются нерабочими — с 19:00 до 09:00.

Второй важный аспект, на который надо обратить внимание, это скорость реагирования по SLA. Здесь совет компаниям прост: из тех центров мониторинга, которые вписываются в ваш бюджет, надо выбирать тот, у которого лучше SLA. Скорость реагирования очень часто становится тем фактором, который определяет, понесет ли бизнес ущерб от кибератаки, и каким он будет.

Понимая, как это важно, мы постоянно работаем над снижением этого показателя. По SLA сроки реагирования на критичный инцидент у RED Security SOC составляют 30 минут, но фактически среднее время реагирования сейчас составляет 14 минут. Это очень быстро, но мы все равно тестируем новые технологии и процессы, которые могут помочь еще сократить время реагирования — конечно, при сохранении необходимого уровня полноты и детализации наших отчетов и рекомендаций.

— Какие преимущества получает компания, выбравшая ИТ-аутсорсинг? Есть ли заказчики или бизнес-функции, которым аутсорсинг противопоказан?

— Ключевое преимущество — это быстрое появление в компании зрелой функции ИБ. Не надо собирать штат специалистов, обучать их, наращивать экспертизу, выстраивать процессы, самостоятельно заводить системы на мониторинг, писать корреляционные правила и прочее. Можно обратиться к сервис-провайдеру и получить либо весь объем функций SOC, либо выборочно те, которые не выстроены внутри компании.

Аутсорсинг не то чтобы полностью противопоказан каким-то заказчикам, скорее некоторым из них разумно отдавать на аутсорсинг не все функции ИБ, а только определенные. Например, в промышленности применение технических мер реагирования разумно оставить внутри.

В целом у заказчиков из каждой отрасли есть свои предпочтения, опасения или ограничения, поэтому в текущей парадигме рынка сервис-провайдеры должны быть гибкими, если хотят стабильно расти. Например, некоторые заказчики не хотят, чтобы информация об инцидентах покидала контур компании — им мы предлагаем не облачную, а гибридную модель подключения SOC. Другие хотят, чтобы команда SOC взяла на себя и мониторинг, и реагирование с активным противодействием угрозам — для таких заказчиков у нас есть сервис EDR, который позволяет оперативно блокировать действия злоумышленников на конечных точках сети.

— Как выбрать качественного исполнителя услуг ИБ-аутсорсинга? На какие характеристики обратить внимание? Как контролировать его работу?

— Ключевые характеристики — это, как уже говорилось, круглосуточный мониторинг и SLA. Кроме того, важно, чтобы компании предоставили выделенного сервис-менеджера, который будет отвечать за взаимодействие с командой SOC и оперативное исполнение запросов заказчика. Имеет значение и штатная численность SOC, хотя, на наш взгляд, о качестве сервиса это может свидетельствовать лишь косвенно.

Контроль работы — тоже важный момент как для заказчика, так и для нас как сервис-провайдера. Прежде всего, если результаты работы коммерческого SOC не прозрачны, если их нельзя представить в виде, понятном и информативном как для CISO, так и для генерального директора, такой центр мониторинга имеет мало шансов на развитие. Поэтому мы очень активно развиваем и дорабатываем личный кабинет RED Security SOC. В нем заказчик может следить за дашбордами, которые отражают не только базовые срезы данных, такие как общее количество инцидентов или их распределение по критичности, но и, например, видеть, какие правила чаще срабатывают, как атакуют именно его компанию и где надо усилить защиту. А кроме того, в личном кабинете постоянно отображается уровень соблюдения SLA и используемый компанией объем показатель EPS (Events Per Second), который непосредственно влияет на стоимость сервисов. Заказчик может даже отслеживать в режиме реального времени, как аналитики центра мониторинга обрабатывают инцидент, и давать свои комментарии во встроенном чате. Когда мы проводим опрос заказчиков в отношении уровня удовлетворенности сервисами RED Security SOC, примерно половина выделяет личный кабинет в качестве аспекта, которым они особенно довольны.

И конечно, важно проводить практическую проверку защищенности, которую обеспечивает SOC, с помощью пентеста, RED Teaming, Purple Teaming. Наши заказчики регулярно проводят такие мероприятия, и они полезны для всех сторон.

— Назовите, пожалуйста, яркие проекты по аутсорсингу ИБ, в которых вы участвовали в последние 1-2 года.

— Наверное, одним из самых ярких был кейс, когда одна крупная компания со множеством филиалов нашла в даркнете информацию о планируемой на нее атаке. Нужно было очень быстро подключить инфраструктуру на круглосуточный мониторинг. Компания обратилась к нам в конце недели, мы немедленно направили команду инженеров на площадку заказчика, и в итоге инфраструктуру компании подключили к мониторингу за выходные. Это была очень напряженная работа всей команды, но в той ситуации было понятно, что время играет против заказчика, и выполнять работы в стандартном режиме не получится.

И хотя ежегодно сервисы RED Security SOC проходят более 10 проверок качества методами Red Teaming или Purple Teaming, для нас успешное прохождение проверки — всегда значимый кейс. Совсем недавно такие проекты завершились у двух наших заказчиков, и было очень ценно получить от них благодарность за высокое качество сервисов нашего SOC.

— Большое спасибо за беседу!