Медиапроект «Банковское обозрение» некоторое время назад провел среди ИБ-специалистов опрос, посвященный актуальным трендам в области построения SOC и лучшим практикам их эффективной эксплуатации в организациях финансовой сферы. Результаты исследования оказались на редкость информативными, что позволило утверждать, что кулуарный термин SOCTech становится не таким уж локальным.

Другим важным результатом исследования стало то, что участникам рынка было что добавить к мнению коллег, участвовавших в опросе. Поэтому было решено задать аналогичные вопросы и другим гуру SOCTech. На них согласились ответить Артем Грибков, заместитель директора компании Angara SOC по развитию бизнеса; Александр Бондаренко, генеральный директор компании R-Vision; Владимир Ульянов, руководитель аналитического центра компания Zecurion; Дмитрий Михеев, технический директор компании «АйТи Бастион»; Михаил Шипицын, руководитель департамента интеграционных решений компании «КСБ СОФТ», а также Артем Савчук, заместитель технического директора компании «Перспективный мониторинг».

Для какого круга финансовых компаний построение SOC является действительно эффективным решением? Какие могут быть альтернативы?

Дмитрий Михеев высказал такое мнение: «Построение собственного SOC — задача, решить которую могут далеко не все организации. Несмотря на то что многие заявляют о планах или проектах по реализации SOC, конечный результат может быть совершенно разным».

В частности, это связано с тем, что собственный центр требует достаточно крупных финансовых вложений, причем на всех этапах — от создания до дальнейшей эксплуатации. Полноценный SOC — это сложная совокупность систем и процессов.

«В итоге, действительно эффективный и функциональный SOC может построить только зрелая в плане ИБ организация финансового сектора, которая не только имеет в своем штате достаточное количество сотрудников для выполнения таких задач, но и готова вкладывать ресурсы в их “взращивание”. Именно по этой причине возникают внешние SOC как услуга. Причем тут не обязательно говорить о полном цикле операций», — считает эксперт.

Артем Грибков представил свою аргументацию: «Собственный SOC, выстроенный in-house или приобретенный по сервисной модели SOC-as-a-Service, является последним рубежом эшелонированной обороны при защите от ИБ-угроз, который позволяет логически объединить и повысить эффективность используемых средств безопасности, а также выстроить четкие процессы реагирования на киберинциденты. С учетом количества компьютерных атак сегодня востребованность такого рубежа высока, как никогда».

Представители экспертного сообщества уверены, что наибольшая эффективность построения SOC (вне зависимости от выбранной модели) достигается у организаций, которые уделяют должное внимание созданию комплексной системы защиты информации.

Принимая во внимание специфику банковской сферы, ее требования к уровню ИБ, а также контроль со стороны регуляторов, можно сказать, что большинство финансовых организаций, как правило, находится на достаточно высоком уровне зрелости в вопросах обеспечения информационной безопасности.

«Однако кадровый дефицит, а также дороговизна построения подобных решений in-house приводят все больше компаний к сервисной модели SOC, когда самые трудоемкие и дорогие процессы остаются на плечах сервис-провайдера, а заказчик оперативно получает качественный сервис и экспертизу, избегая капитальных затрат. Так или иначе, все больше финансовых компаний приходит к построению SOC. Вопрос остается лишь за выбором схемы — приобрести услугу или строить у себя», — сделал вывод Артем Грибков.

Для каких видов финансовых организаций сегодня наиболее целесообразно построение SOC?

Артем Савчук утверждает: «В этот список входят страховщики, банки и негосударственные пенсионные фонды. Такого рода компании могут позволить себе построение и содержание собственного SOC (а по сути, отдела/подразделения ИБ). И затраты при этом будут ниже, чем потенциальные убытки от нарушения ИБ. Для других видов компаний — МФО, кредитных потребительских кооперативов или ломбардов — выгоднее прибегать к услугам внешнего SOC либо к найму нескольких профильных специалистов в штат».

Какие положительные и отрицательные моменты могут быть, если защищать не всю инфраструктуру, а только критические бизнес-процессы?

«Надо честно признаться, что большинство компаний в настоящий момент не обладают достаточными ресурсами для защиты даже критических бизнес-процессов, не говоря уже обо всей корпоративной инфраструктуре. Но если в организации обеспечена защита критических бизнес-процессов и определены процессы, которые являются таковыми, а также выявлены ключевые риски для них и проработаны защитные механизмы, то это уже большой шаг вперед. Конечно, наличие других незащищенных или слабо защищенных сегментов инфраструктуры может приводить к возникновению инцидентов. Но они не будут иметь такого серьезного влияния на бизнес, как инциденты, связанные с критическими процессами. В этом и заключается суть построения системы безопасности в организации. Обеспечить 100%-ную защиту невозможно в принципе, нужно просто минимизировать риски там, где это действительно необходимо», — заявил Александр Бондаренко из R-Vision.

«В целом, идея выделения приоритетных направлений понятна и в некоторых случаях оправдана. Так или иначе, всем приходится выстраивать приоритеты при решении задач ИБ, но суть SOC такова, что больший объем информации, в том числе получаемой из не самых важных процессов, помогает своевременно выявлять глобальные угрозы», — дополнил коллегу Владимир Ульянов.

Многие в числе положительных моментов выделяют то, что защита части инфраструктуры — это снижение стоимости данного процесса. Чем меньшая площадь поверхности атаки защищается, чем проще это сделать. С другой стороны, разумеется, хочется всего и сразу.

Дмитрий Михеев в этой связи сказал: «Имеет смысл говорить прежде всего про анализ того, от чего мы должны защищаться, и составить перечень недопустимых событий. К отрицательным же факторам допустимо отнести невозможность полностью изолировать одни процессы от других. И тут надо подходить к вопросу с умом, четко понимая все взаимодействия в рамках одной инфраструктуры. Накрыть все колпаком безопасней, но и дороже, а вот сделать частичную защиту внутри единых бизнес-процессов сложнее».

Перспектива сэкономить бюджет на обеспечение ИБ при частичной защите, на первый взгляд, действительно представляется очевидным преимуществом такого подхода. К сожалению, не всегда такая экономия возможна без последствий.

Артем Грибков углубился в проблему: «Безусловно, построение защиты необходимо начинать с наиболее критичных процессов. Однако всегда необходимо помнить о том, что злоумышленники используют различные векторы атак, как правило, начинают проникновение в систему через наименее критические и часто менее контролируемые активы. Однако эффективность реагирования на кибератаки тем выше, чем раньше обнаружена активность злоумышленника. Соответственно и потенциальный ущерб для владельца атакуемой системы будет ниже».

«В итоге в первую очередь необходимо защищать то, что требуют законодательство и нормативные акты — это безусловные требования. А далее можно масштабировать средств защиты информации и строить эшелонированную защиту. Но стоит помнить, что 100%-ной защиты не существует, и руководствоваться принципом минимально необходимой достаточности. Затраты на систему ИБ банка не должны превышать ущерба от ее отсутствия», — поставил точку в этой части дискуссии Артем Савчук.

Может ли связка SOC/SIEM заменить сегодня все остальные ИБ-системы: DLP, UEBA, DCAP, а также антифрод-системы на уровне бизнес-систем или по транзакциям по счетам?

Александр Бондаренко признался: «Я воспринимаю SOC не как инструмент, а как концепцию, поскольку, когда мы говорим о создании SOC, речь идет о построении ситуационного центра, который должен обеспечивать решение определенных задач по выявлению и реагированию на инциденты, актуальные для организации на данный момент времени. А выбор технологий для обнаружения и реагирования будет определяться спецификой бизнеса финансовой организации, ее ключевых рисков, операционных процессов и применяемых для этих процессов IT-технологий».

Связка SOC/SIEM, как выяснилось, заменить специализированные для финансового сектора антифрод-системы не может, потому что изначально разрабатывалась по другим технологиям и имеет иное предназначение. Что касается DLP, UEBA, DCAP и других систем, каждый класс этих решений отвечает за реализацию определенных функций. «Например, DLP-системы нацелены на контроль утечек данных. С помощью SOC можно вычислить, что куда-то утекает информация, но он не позволяет детально расследовать данный инцидент, т.е. не дает ответ на вопросы, куда данные утекли и кто в этом виноват. SOC обеспечивает работоспособность и безопасность инфраструктуры, а DLP контролирует информационные потоки внутри организации», — поделился экспертизой Михаил Шипицын.

DLP, UEBA, DCAP и другие системы дополняют и усиливают связку SOC/SIEM, но не могут ее заменить.

Можно провести аналогию. SIEM-система в мониторинге — это мозг организма. Но если к нему по нервным волокнам (каналам) не будут поступать от других органов (устройств) импульсы (информация), то мозг (SIEM-система) не сможет правильно обеспечивать жизнедеятельность (безопасность) организма (инфраструктуры организации).

«Таким образом, связка SOC/SIEM обеспечивает безопасность информационных ресурсов, но для качественного анализа специалистами SOC нужны дополнительные инструменты, которые будут обогащать данные от SIEM-системы, повышая эффективность мониторинга», — утверждает Михаил Шипицын.

Может ли связка SOC/SIEM заменить сегодня все остальные ИБ-системы?

Мнение экспертов по этому вопросу оказались полярными.

Владимир Ульянов считает: «Нет, не могут. Это совершенно разные инструменты. Приведу примитивное сравнение. Можно попытаться забить гвоздь “универсальным” инструментом — камнем, но куда удобнее и эффективнее все же взять молоток. Особенно, если нужно забить не два-три гвоздя, а целую коробку».

А вот Артем Савчук оказался не столь категоричен: «Если подразумевать в контексте вопроса под SOC — “руки”, т.е. специалистов, и не ограничиваться лишь отечественными SIEM, то, пожалуй, да, это возможно при должной настройке SIEM. В классическом понимании SIEM не является антифрод-системой. Но, например, известны случаи, когда разнообразный функционал скопа систем в банке неплохо реализовывался посредством HP Arcsight. Многое в этом вопросе будет зависеть от возможностей выбранной SIEM и персонала, его эксплуатирующего».

Как оценить полноту покрытия SOC? Кто и как может ее измерить?

«Оценка покрытия SOC зависит от ряда непостоянных факторов. В общем случае можно ориентироваться на соотношение контролируемых SOC активов к общему количеству активов компании. Но не всегда для эффективной работы SOC требуется 100%-ное покрытие — на это будет влиять модель угроз, например сайты-визитки, не имеющие логической связанности с ИИ компании, размещенные на сторонних хостингах, контроль которых ресурсами SOC будет избыточной контрмерой, превышающей допустимую стоимость защиты с учетом стоимости актива. И тут снова мы вспоминаем про процесс управления активами и оценку рисков. Ведь если SLA для конкретного актива меньше стоимости применяемой контрмеры, то, возможно, этот риск стоит нивелировать другим способом или даже принять, расписав процедуры восстановления, не нарушающие принятые в организации RTO & RPO для данного актива. Таким образом, в каждом отдельном случае данный параметр следует оценивать комплексно, с учетом всех факторов и нюансов определенной компании. Универсальной формулы не существует», — обстоятельно описал проблему Артем Грибков.

Хорошо известно, что вопрос определения зоны покрытия SOC тесно связан с инструментарием, который используется при исследовании объекта. Чем больше инструментов в инфраструктуре организации, тем больше аналитической информации получат специалисты SOC, а что это за инструменты?

Михаил Шипицын пояснил: «Это должно быть встраиваемое программное обеспечение или устройства, которые позволяют фильтровать “сырые” исходные данные так, чтобы с источников отбиралась только необходимая для эффективного мониторинга информация. Покрытия в 100% не бывает, потому что часто сами IT-подразделения компаний, покупающие услуги SOC, не владеют в полной мере информацией о своей инфраструктуре. Однако мы должны стремиться покрыть максимальное количество защищаемых ресурсов. Для этого необходимо внедрять инструменты, которые будут собирать и фильтровать данные и только потом отправлять их на анализ. В этом случае с дашбордов аналитикам будет поступать информация высокого качества, а эффективность работы — расти. Таким образом, правильнее говорить не о полноте покрытия SOC, а его эффективности».

Эксперты советуют четко определить, что входит в «зону ответственности» SOC.

Все ключевые активы необходимо однозначно идентифицировать и учесть. «Это само по себе является непростой задачей, особенно для большой организации. После идентификации можно уже проводить оценку и мониторинг того, насколько данные активы видны команде SOC — проводится ли соответствующая инвентаризация, собираются ли журналы событий с этих систем, обеспечивается ли контроль за соблюдением внутренних ИБ-требований и другое. Это и будет показывать полноту покрытия SOC», — считает Александр Бондаренко.

Артем Савчук дал самый лаконичный ответ на обсуждаемый вопрос: «Лучше всего для этого подойдет внешний независимый аудит ИБ. Его результаты прозрачно покажут руководству компании, где есть недоработки, какие процессы отсутствуют или недостаточно зрелы и каких средств защиты информации недостает».

Каковы возможности развития риск-ориентированного подхода к решению задач в области ИБ и страхования киберрисков?

Артем Савчук высказался коротко, но содержательно: «Риск-ориентированный подход лежит в основе многих международных и отраслевых стандартов по ИБ, в настоящее время он охватывает свыше 90 видов государственного и муниципального контроля (надзора). Подход позволяет организациям, его применяющим, главным образом эффективно планировать и расходовать средства на поддержание ИБ с учетом большого числа существующих законодательных требований. А страхование киберрисков в 2022 году уже не является чем-то новым, и, насколько мне известно, риск-ориентированный подход активно применяется страховщиками в работе с данными клиентов».

Владимир Ульянов также оптимистичен: «Здравая идея. Построение систем ИБ, основанное на оценке рисков, — грамотный подход, который позволяет сократить расходы и сосредоточить внимание на наиболее важных направлениях. Что касается страхования киберрисков, в России это достаточно редкий инструмент. Немногие потребители готовы страховать подобные риски, а страховые компании не имеют большого опыта, поэтому вынуждены завышать страховую премию. Это тоже не способствует развитию направления».

«Предполагается, что механизм страхования способен вывести всю отрасль на какой-то принципиально иной уровень. Должен признаться, что сама возможность широкого применения механизмов страхования киберрисков вызывает у меня сомнение. Для этого на рынке нет достаточного уровня достоверной статистики, унификации подходов и института доверенных аудиторов ИБ. Без этих факторов, на мой взгляд, развитие страхования киберрисков будет затруднено, — считает Александр Бондаренко. — Что же касается риск-ориентированного подхода, то эта тема обсуждается на рынке уже не первый год. На самом деле риск-ориентированный подход в том или ином виде лежит в основе построения стратегии ИБ у большинства современных директоров по информационной безопасности. Другое дело, что кто-то применяет для этого наиболее простые экспертные подходы, а кто-то выстраивает сложные аналитические механизмы расчета и учета рисков. И говорить, что та или иная стратегия является единственно верной, думаю, некорректно. У каждого свой путь».

Какова сейчас ситуация с подготовкой и удержанием кадров?

Ситуация с кадрами на российском рынке никогда не была простой. И речь идет не только о нехватке людей, но и о качестве экспертизы. Стремительное развитие технологий диктует жесткие требования к квалификации специалистов.

«Обозначился очевидный тренд на дополнительное образование на базе технических институтов, проводимое коммерческими компаниями в сфере ИБ. Этот подход позволяет передавать молодым специалистам накопленные практические знания и готовить их к решению реальных задач. Большое внимание уделяется постоянному профильному обучению действующих сотрудников и их сертификации. Безусловно, складывающаяся ситуация побуждает компании как финансового сектора, так и других отраслей идти по пути приобретения ИБ-услуг по сервисной модели», — дал оценку ситуации Артем Грибков.

По общему мнению, одни из причин дефицита кадров — отсутствие гибкости в учебных программах вузов, а также отрыв образовательного процесса от производства.

Технологии развиваются стремительно, и преподавателям, как правило, не хватает компетенций для обучения будущих специалистов, особенно в части работы в подразделениях SOC. 

Михаил Шипицын в этой связи отметил: «Наша компания видит решение этой проблемы в сотрудничестве экспертов информационной безопасности, в частности специалистов SOC, с образовательными организациями для качественной подготовки кадров. Например, мы взаимодействуем с Чувашским государственным университетом, Институтом системного программирования РАН и другими учреждениями в образовательной и научной сфере для обучения студентов, аспирантов и молодых ученых с применением передовых технологий и практического экспертного опыта компании».

«В нашей отрасли на протяжении многих лет ощущается нехватка квалифицированных кадров. Сейчас, когда с ростом угроз спрос стал еще выше, конкуренция обострилась. Зато уход иностранных игроков высвободил некоторый кадровый резерв для российских компаний», — добавил оптимизма Владимир Ульянов.

За рамками данного обзора мнений участников ИБ-рынка осталась специфика технологического ландшафта SOC в условиях импортозамещения и построения инфраструктурных межбанковских и телекоммуникационных ИБ-сервисов. Но это уже другая история.