«На сегодняшний день в России у функционального заказчика есть два варианта: отдать мониторинг ИБ на аутсорсинг коммерческому SOC либо обеспечивать его на своих средствах защиты, наняв экспертизу для их настройки. Во втором случае заказчики нередко сталкиваются с проблемой, когда технические решения работают, а трудовых ресурсов на обеспечение самого процесса нет. Здесь сказывается как высокая стоимость ФОТ, так и кадровый дефицит в этой области. При этом передать эту функцию подрядчикам не представляется возможным, поскольку они отказываются работать на чужих системах. И это одно из немногих ограничений, которые существуют в рамках сложившегося разделения между практиками. Мы решили стереть границу между SOC on-premise и SOC outsource и предложить заказчикам самим выбирать, как «перемешивать» эти направления в соответствии со стоящими перед ними задачами», – комментирует Тимур Зиннятуллин, вступивший в должность директора Центра киберустойчивости ACRC.
Запустить модель MDRS позволяет накопленная экспертиза как коммерческого SOC компании, так и отдела систем мониторинга и реагирования, который, помимо реализации проектов по внедрению решений класса SIEM, SGRC, IRP/SOAR, Threat Intelligence & Security Feeds и Security Intelligence, вносит вклад в улучшение общего состояния отрасли в рамках деятельности международной инициативы Open Security Collaborative Development (OSCD), а также развивает открытые репозитории со Сценариями детектирования угроз (Sigma). Объединив накопленный опыт двух направлений, группа компаний Angara обеспечит более комплексный подход к решению любых функциональных задач, стоящих перед заказчиками по всем веткам направления мониторинга и реагирования на инциденты ИБ.
Центр киберустойчивости ACRC группы компаний Angara готов оказывать услуги как с использованием своих систем мониторинга, так и с использованием систем заказчика. Клиенты получат возможность подключить Red team, Blue team, Purple team и SOC L1/L2 в любом формате, на любом этапе и платформе. Также в предложение компании войдут: совместная разработка карт реагирования и карт контактов, регламентов взаимодействия, карточек ролей и полномочий, матриц RACI и другой операционной нормативной базы, совместная разработка Сценариев детектирования угроз, параметров «hardering» (настройки аудита) контролируемых объектов информационной инфраструктуры и их согласование с «DataCastodian» (владельцами сервисов заказчика), с одновременным наполнением и сохранением результатов в базах знаний заказчиков.
В портфеле SOC, помимо собственной запатентованной платформы ACR Platform, находятся решения, занимающие остальные основные доли сегодняшнего рынка средств класса SIEM, а также решения класса IRP/SOAR, Security Intelligence (BI для ИБ) и аналитический программный комплекс Dataplan, позволяющий работать с большими данными и, применяя алгоритмы машинного обучения и статистического анализа, строить по этим данным метрики, покрывая дополняющую SOC деятельность по ретроспективному анализу больших данных.
«Слияние в одно направление – логичный шаг развития экспертизы группы компаний Angara в области мониторинга и реагирования на инциденты ИБ. Мы выходим на рынок с новым ценностным предложением, которое удовлетворит самые специфичные запросы бизнеса и предвосхитит рост потребностей в MDRS в течение ближайших двух-трех лет», – заключает генеральный директор группы компаний Angara Сергей Шерстобитов.
AngaraCyber Resilience Center (ACRC) – собственный центр мониторинга событий ИБ и расследования инцидентов, который оказывает услуги по мониторингу и выявлению инцидентов информационной безопасности в круглосуточном режиме. Пользователями сервиса являются кредитно-финансовые организации, предприятия ТЭК и промышленности, телекоммуникационные и транспортные компании, а также госструктуры и ведомства по всей стране. В 2019 году в рамках подписанного соглашения о взаимодействии с «Национальным координационным центром по компьютерным инцидентам» (НКЦКИ) ACRC стал оператором ГосСОПКА.