«Следующим шагом будет то, что поставщики облаков будут предоставлять тот же самый SOC»

Ещё недавно многие российские компании высказывались об облачных решениях и сервисах достаточно негативно. Пока весь мир стремительно исследовал и использовал новые возможности, в нашей стране к этому относились скептически.

Однако история с пандемией и карантином подтолкнула бизнес присмотреться к облакам. Эксперты секции «Выбор коммерческого SOC 2.0: SOC, который ловит» киберполигона The Standoff затронули вопрос облачных решений в контексте требований ИБ.

По словам операционного директора Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Солар» Антона Юдакова, определённый пул их клиентов уже смотрит в эту сторону [в сторону облаков — прим.], начиная с каких-то офисных решений и заканчивая ЦОДами. «Важно понимать, что там наверняка в первую очередь решается определённый пул ИТ-задач вокруг соответствующих миграций, переездов в инфраструктуре или потребления куска сервиса. Но критически важно здесь не упустить кусок информационной безопасности», — отметил он.

Вместе с тем эксперты уверены, что тема облаков уже не хайп, а хороший альтернативный вариант старым решениям.

«На мой взгляд, этап хайпа облаков уже закончился, и сейчас выходит на плато продуктивности, когда уже шумиха вокруг всей этой истории заканчивается, и в этот момент, по крайней мере по нашим наблюдениям, прям идёт рост использования облаков. Хотя он не такой тотальный, как некоторые предсказывали», — сказал в своём выступлении руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексей Мальнев.

С ним согласился и директор экспертного центра кибербезопасности Positive Technologies Алексей Новиков, отметив, что «история с облаками несколько перегрета».

«Давайте немного назад отойдём и посмотрим. Создаётся новая информационная система у заказчика, пусть она будет на их территории, на их мощностях. Приходит служба ИБ и предъявляет требования к этой информационной системе. Они вместе определяют риски, чего бояться, как их мониторить, какие внедрять средства защиты информации. В принципе, в случае использования облаков этот же процесс точно также должен перекладываться на сторону облаков, то есть проблема больше в том, что очень мало облаков в состоянии обеспечивать гибкую возможность по ИБ», — рассказал Алексей Новиков.

Он также добавил, что крайне важно на старте отловить момент выбора облака и правильно предъявить к нему требования. И чтобы при выборе облаков были требования не только с точки зрения ИТ, но и чтобы точно такие же требования были с точки зрения ИБ.

Тему про проблемы облаков подхватил и Алексей Мальнев, добавив, что конкретно для Центров мониторинга в этом плане имеется несколько спорных вопросов. Например, избыточное доверие владельцев информационных систем облакам с точки зрения ИБ. «То есть менталитет такой, что если серьёзная организация, может быть даже с мировыми именами, раз у них есть облако, значит у них там всё безопасно и мы считаем, что эта история полностью защищена. Что вообще не так. Даже наоборот — угроза некоторая возрастает», — пояснил он.

Второй момент — недостаток информации с этих облаков: ведь далеко не всегда можно получить некое журналирование событий того, что там происходит, и того, что туда отправляется.

«И то, что действительно больная история для каждого форензера — если уже что-то пробили и у компании происходит «облако головного мозга», то абсолютно сложно что-то расследовать действительно глубоко. То есть когда у заказчика лэптопы являются некой консолью и всё вообще находится в облаках. Эта история становится прям тяжелая. И если злоумышленник достаточно квалифицирован, у него гораздо больше возможностей затереть следы и меньше возможностей у киберкриминалиста что-то там найти. Это действительно проблема, но она тоже решаема. Решаема как на уровне процессов, так и на уровне технологий. Я думаю, к этому рынок тоже постепенно созреет. Но очень постепенно», — высказал своё мнение Алексей Мальнев.

Руководитель сервисов киберзащиты CyberART ГК Innostage Владимир Дмитриев подошёл к вопросу с другой стороны, со стороны провайдеров облаков. «На наш взгляд и по нашему опыту, куда сейчас двигается развитие, следующим шагом будет то, что поставщики облаков будут предоставлять тот же самый SOC. И такая коллаборация уже намечается. Ответом на все эти вопросы будет то, что качественные правильные поставщики облачных технологий будут либо развивать собственные сервисы киберзащиты, либо использовать экспертов с рынка. И только в таком случае они будут через какое-то время конкурентноспособны», — высказался он.

Эту идею поддержал и начальник отдела обеспечения ИБ компании МТС Андрей Дугин, отметив, что уже есть такая тенденция, когда предоставляются не только услуги хостинга и мощностей на облаках, но и какие-то сервисы по мониторингу ИБ. При этом он добавил, что облачный провайдер должен свои сервисы выстроить таким образом, чтобы клиент мог выбрать.

«Такие предложения есть. Публичные инфраструктуры стремятся предоставлять в том числе сервисы для заказчика. Важно, чтобы компания, в которой уже есть SOC свой ли коммерческий внешний, могла интегрировать набор этих данных, а по сути не распалась на два отдельных живущих кусочка. И важно не забывать про такую особенность», — подытожил беседу об облаках Антон Юдин.

Если вы хотите узнать больше про Центры мониторинга, облака и всё, что с этим связано, не пропустите крупнейшее мероприятие по ИБ — SOC-Форум Live, который пройдёт 1 декабря в онлайн-режиме.

 

BIS Journal — информационный партнёр киберполигона The Standoff.

18 ноября, 2020