5 ноября, 2015, BIS Journal №4(19)/2015

JSOC: стратегическая эволюция решения


Дрюков Владимир

руководитель департамента JSOC (компания Solar Security)

От разовых услуг конкретным клиентам — к универсальному коммерческому продукту

— Владимир Викторович, благодарим Вас за согласие рассказать читателям журнала «BIS Journal — Информационная безопасность банков» об опыте работы на рынке SOC! Первый вопрос — как давно компания Solar Security работает в этой области?

— История JSOC началась в 2007 году, когда мы начали оказывать услуги выборочным клиентам, в тот момент это ещё не называлось коммерческим SOC-ом. Сам бренд JSOC появился в 2012 году в рамках компании «Инфосистемы Джет», с того времени в нашем названии появилась буква «J». Сложилась довольна забавная ситуация, потому что JSOC существенно старше, чем сама компания Solar Security. Услуги как полноценный коммерческий SOC мы оказываем 3,5 года.

— Каким образом состоялся переход именно к коммерческому использованию?

— Некоторым драйверам для перехода от услуги под клиента к массовой услуге стало ощущение востребованности рынком. У нас произошел диалог с 5–6 нашими клиентами, где они сказали, что хотели бы получить услугу «под ключ», всё в одном, когда нет никаких капитальных расходов, а есть лицензии и оборудование, которые предоставляются клиенту в аренду. Есть такой модный зарубежный термин SECaaS (Security as a service), когда всё предоставляется в одном пакете. Но тогда мы поняли, что от услуг разовых, оказываемых конкретным клиентам, необходимо переходить к регулярным. Были заключены соответствующие партнёрские соглашения с ведущими вендорами, в том числе с компанией «HP», на базе их SIEM-системы мы собираем информацию об инцидентах.

— Скажите, пожалуйста, у Вашего центра информационной безопасности есть какая-то отраслевая специализация? Промышленные предприятия, кредитно-финансовые?

— На текущий момент нет. На старте у нас было два клиентских фокуса: банковский сектор и ритейл. Кредитно-финансовые организации гораздо более зрелые по информационной безопасности, в то же время для них мошенничество — это реальная угроза, с которой необходимо постоянно бороться. Кроме этого, есть требования регуляторов, которые заставляют их мониторить инциденты и осуществлять эту деятельность на постоянной основе. С ритейлом общая ситуация тоже понятна: с одной стороны, использование интернета неразрывно связано с многими бизнес-функциями, при этом капитальные вложения в обеспечение информационной безопасности в принципе неприемлемы. Для них схема Opex (операционных, а не капитальных расходов) гораздо выгоднее и удобнее.

На текущий момент мы работаем с транспортными компаниями, энергетикой и государственными компаниями. Говорить про специализацию не приходится, мы стараемся идти от потребности клиента, предлагая ему такой пакет услуг, который будет наиболее актуален.

— Как Вы рассматриваете перспективы обмена данными с FinCERT Банка России?

— У нас уже сейчас есть практика работы с CERT-ами, — с самыми разнообразными центрами реагирования на инциденты информационной безопасности. Как с зарубежными, так и с российскими.

— Уточните, пожалуйста, что Вы имеете в виду?

— У нас есть некоторая внутренняя задача — создание системы даже не обмена информацией, а скорее обмена знаниями и опытом. Собственно, три партнера у нас уже есть, но мы стараемся расширять свои каналы коммуникации.

— В чём, на Ваш взгляд, плюсы и минусы обоих вариантов для компании: построения собственного SOC или использования услуг коммерческих SOC на условиях аутсорсинга? Какими критериями пользуются компании, принимая решение в ту или иную сторону?

— На мой взгляд, самый важный фактор — это время, сколько компания готова ждать, потому что запуск своего Security operation center займёт год-полтора вне зависимости от текущего уровня зрелости компании. Это очень длинный цикл. Если у компании есть возможность и желание ждать, а также есть драйвер, способный продвигать эту тему внутри компании, тогда создание собственного SOC наверняка станет эффективней, чем использования сервис-провайдера. В независимости от того, компания крупная или компания мелкая. Конечно, ни один аутсорсер не сможет так глубоко погрузиться в бизнес-процессы компании, как внутренний сотрудник.

Плюсы привлечения сервис-провайдера — быстрый старт, в течение 2–3 месяцев заказчик сможет получить понятную бизнес-функцию, причём, фактически, без ограничений наращивания объёмов. Контракты с сервис-провайдером никогда не предусматривают градацию в зависимости от количества инцидентов. Если количество инцидентов возросло, значит, аутсорсинг будет наращивать свою мощь и работать эффективней. Если у заказчика возникают новые бизнес-потребности, их можно удовлетворить, не увеличивая штат собственного персонала, а просто расширяя, за соответственную плату, перечень услуг сервис-провайдера.

Коммерческий SOC — это понятный управляемый SLA. Когда сотрудники находятся внутри компании, всегда появляется искушение переключить их на решение других задач, а инциденты «могут подождать». Аутсорсер себе такого позволить не может, поэтому вероятность, что какой-то инцидент, казавшийся изначально незначительным, но способный повлечь за собой серьезные проблемы, останется не разобранным, практически минимальна.

— Был ли в Вашей практике такой опыт, когда Вы помогали заказчику запустить его собственный центр мониторинга?

— Если заказчик рассчитывает, что через год-полтора возьмет функции SOC на себя целиком, мы изначально предусматриваем в контракте возможность выкупа конфигурации, доработанной с учётом его пожеланий. Обычно в течение года оказываем услуги аутсорсинга, а когда заказчик чувствует, что созрел и готов взять на себя функции мониторинга полностью, происходит отключение его от нашего сервиса, начинается самостоятельная работа.

— Пожалуйста, опишите кратко функции и порядок работы JSOC.

— Не углубляясь в особенности инфраструктуры, хочу акцентировать внимание на людях, что, на мой взгляд, важнее. Одна часть нашей команды располагается в Москве, другая — в Нижнем Новгороде, где базируются две смены, работающие в режиме «24х7». Вся команда и московская, и нижегородская принципиально разделена на две части. В задачи команды, которая занимается мониторингом, входит разбор данных, приходящих от систем заказчика. Вторая часть занимается реагированием на эти инциденты: в их задачи входит адаптация средств защиты, реакция на атаки, блокирование при помощи firewall, защита от DDoS и т. д.

Это разделение играет некоторую идеологическую роль, команды проверяют друг друга. У нас реализована классическая схема, есть первая, вторая и третья линии. Когда SIEM-система выявляет инцидент, он попадает сначала на первую линию, если он требует особого внимания, то на вторую, а затем и на третью. О критических инцидентах мы оповещаем заказчика в течение получаса с момента их выявления.

Кроме этого, у нас есть отдельно выделенная группа контроля качества, которая занимается бизнес-аналитикой на стороне заказчика. Её задача — выявить у заказчика проблемные места, требующие особого контроля. Ещё одна задача — контролировать качество предоставляемой нами услуги. Так как для нас важно знать, что клиент получает от нас именно такой сервис, какой хотел.

Вторая независимая группа занимается развитием услуги. Эти специалисты не поглощены потоком контрактов и инцидентов, а работают в рамках нашей roadmap, утвержденной на ближайшие три года. Мы хотим жить не только в рутине и в ежедневной текучке, какой бы интересной она не была, нам хочется развиваться, привносить что-то новое. Поэтому задача развития является для нас стратегически важной.

 

 

Смотрите также

Подпишись на новости!
Подписаться