Выбрать страницу

В новых условиях центры реагирования на происшествия в сфере информационной безопасности (они же Security and Operations Center, или SOC) выглядят чуть ли не идеальной моделью потребления сервисов информационной безопасности. Совладелец “РуСИЕМ” Максим Степченков анализирует предпосылки актуального тренда и поясняет, почему в ближайшей перспективе корпоративный кибербез с большой долей вероятности примет облик внутреннего SOC.

SOC или SOC?

Риски из интернет-пространства давно перестали быть умозрительной угрозой даже для прожженных скептиков. «Нас точно не коснется!» — эти и подобные категоричные заявления звучат все реже, особенно учитывая актуальный информационный фон. Череда сливов данных, кража информации государственной важности, эпизоды взломов электронных СМИ и другие происшествия накладываются на инициативы регуляторов с их стремлением повысить степень ответственности за ИБ-проступки. Вишенка на торте — дефицит ИБ-специалистов, оценивающийся уже в десятки тысяч человек. Где их взять в ближайшей и даже среднесрочной перспективе, решительно непонятно.

Очевидно, актуальные вызовы требуют «пересборки» подходов к управлению корпоративным кибербезом. В сложившихся условиях привлекательными выглядят центры реагирования на киберинциденты, они же Security and Operations Center, или SOC. Быстрый старт сервиса по комплексной защите, отсутствие необходимости набирать команду и воевать с конкурентами за ИБ-таланты, доказанная экспертиза, оперативное и правильное реагирование на инциденты, а также предотвращение атак — провайдеры используют правильную риторику для продвижения собственных услуг, в том числе среди госструктур и корпораций. Но есть несколько причин, поясняющих, почему крупным организациям лучше смотреть в сторону собственного SOC.

Нюансы корпоративного управления

Помните достославные времена IPO и выхода компаний на долговой рынок? В упоительный процесс due diligence, помимо оценки активов и анализа финансового состояния предприятий, был вплетен аудит информационной безопасности. Легкомысленное к нему отношение со стороны кандидатов на биржевой листинг могло им в прямом смысле стоить дорого. Если что-то было не так с качеством киберзащиты активов, этот факт непременно отражался на оценке компании. Обилие вопросов к информационной безопасности нередко снижало цену акций будущего размещения.

В 2023 году смотреть в сторону биржи и долгового рынка может разве что неисправимый оптимист. А вот дальнейшее огосударствление экономики — вполне актуальный тренд. В силу этого у киберустойчивости как свойства российских экономических субъектов меняется бенефициар. Вместо вероятных акционеров и держателей долговых расписок им является Российская Федерация.

Новый бенефициар не склонен миндальничать. Подтверждение тому — прошлогодний, 250-й указ и грядущий драматический рост штрафов за утечки информации. Очевидно, это сигнал к тому, что государство не хочет взломов и утечек — по крайней мере для той части экономики, где у него стратегический интерес.

Вместе с тем следует учитывать темпы, которыми государство перенимает бизнес-практики из коммерческого сектора. Скорее всего, уже в этом году киберграмотность и/или сам факт прохождения ИБ-обучения станет частью корпоративных KPI для сотрудников предприятий госсектора. Где еще, как не внутри ведомственного SOC, будут искать темы для повышения киберграмотности персонала не только в статистике SIEM, но и исходя из данных, полученных с других средств защиты информации. Которые логично консолидировать в рамках ведомственного SOC, чтобы получать более объективную картину — она поможет составлению дорожной карты для обучения сотрудников.

Отчетность без ложных срабатываний

В условиях, когда взыскания за ИБ-проступки становятся все более суровыми, важно не допустить, чтобы в сторону регуляторов улетала информация о ложных срабатываниях.

Данные, отправленные по ошибке, прибавят работы заму по информационной безопасности. В таких случаях ему предстоит оправдываться перед той же ГосСОПКА за слишком «чуткие» настройки корпоративных систем кибербеза и доказывать, что информация, которую регулятор получил в распоряжение, — нерелевантна. Собственная SIEM (и уж тем более свой SOC), где настроено ручное управление отчетами, поможет для начала разобраться в природе инцидента. Сделать это можно будет благодаря консолидации данных на одной информационной системе (SIEM) и/или в рамках конкретной бизнес-функции (SOC).

Важность SIEM и SOC с точки зрения ответственности перед регулятором почти наверняка вырастет после принятия новой законодательной нормы об оборотных штрафах за утечку персональных данных. В законопроекте есть поблажка — но она работает лишь в случае, если компания-нарушитель доказала, что предприняла максимум для защиты от подобных инцидентов.

Конкуренция через взлом

Более чем за год жизни в режиме кибершторма практики кибервойн распространились на конкурентную борьбу. От наших заказчиков мы знаем: в ситуации борьбы всех против всех на отдельных рынках хозяйствующие субъекты обмениваются уколами в киберпространстве. Это пугающая тенденция, она говорит о легитимизации кибероружия даже в рамках дуэлей за долю рынка.

С одной стороны, от атак неплохо защищает обычный коммерческий SOC. По большому счету, его сотрудникам все равно, кто источник агрессии — важно ее отразить и не дать реализоваться недопустимым событиям. С другой — решая аналогичную задачу, сотрудники внутреннего SOC имеют больше возможностей для анализа цифровых улик, чтобы установить не только исполнителя, но и заказчика атаки.

Контент всему голова

Продвигая сервисы коммерческих центров реагирования на инциденты, поставщики таких услуг старательно избегают «подсветки» одного критически важного фактора. Всё многообразие логов, отчетов, описание событий и другие сущности, сгенерированные машинами или сотрудниками SOC, после прекращения сотрудничества окажутся недоступны заказчику и при этом останутся у провайдера.

Поставщики услуг центров реагирования на киберинциденты поступают так отнюдь не из вредности. Передача всей совокупности собранных данных — процесс в равной степени трудоемкий для провайдера и бесполезный для клиента. Первый потратит огромное количество усилий на консолидацию тех данных, которыми у второго просто не получится воспользоваться. Заказчику, впрочем, от этого не легче. Он лишается массива данных, из которых можно будет извлечь цифровые улики, скажем, для передачи правоохранителям или регуляторам. И тем самым остается без возможности оградить свою компанию от штрафов, а конкретных должностных лиц — от ответственности вплоть до уголовной.

Заключение

Старания отдельных вендоров привели к изрядной демократизации SIEM как класса решений в сфере кибербезопасности. Заказчику больше не нужно располагать бюджетами в десятки миллионов, чтобы внедрить подобное решение. Более того, относительно доступные SIEM дали ход общерыночному процессу формирования внутренних центров реагирования на киберинциденты.

Цена вопроса по созданию «SOC на минималках» в значительной степени определяется стоимостью SIEM-системы. Это очень удобно для CISO с точки зрения формирования бюджетов и их защиты перед советом директоров. ДИБу проще объяснить внедрение новой бизнес-функции своего департамента через стоимость лицензии и через количество ставок, чем пытаться донести до совета директоров абстрактную сущность SOC. Хотя другой аргумент — стоимость мер по информационной безопасности по сравнению с масштабами взысканий — сработает не менее эффективно.