Центры оперативного управления информационной безопасностью
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
Александр Чигвинцев, EMC:
Работа по обеспечению безопасности – как в крупной компании с выделенным персоналом и ресурсами, так и в небольшой организации – состоит в поддержании безопасности информационных активов на требуемом уровне посредством непрерывного наблюдения за вычислительной средой компании, предупреждения и оперативного устранения выявленных угроз и уязвимостей. Один из вариантов формализованного подхода к данной задаче сводится к созданию "Центра оперативного управления информационной безопасностью» (ЦОУ ИБ), или SOC (Security Operation Center). Это может быть как централизованная, так и распределенная служба, в идеале обеспечивающая выявление, контроль и устранение всех инцидентов информационной безопасности.
К сожалению, достаточно большое число специалистов по ИБ почерпнули представления о SOC из голливудских, да и из отечественных блокбастеров: полутемная комната; стена с огромными экранами, на которых высвечиваются постоянно меняющиеся графики, диаграммы и таблицы; ряды сотрудников отдела ИБ, что-то пристально рассматривающих на своих индивидуальных мониторах…
Сразу следует заметить, что SOC – это не только настенные мониторы и красочные диаграммы. Это прежде всего хорошо разработанная и формализованная политика информационной безопасности. Наибольший эффект от внедрения данного сервиса можно получить только после классификации информации, циркулирующей внутри организации, выявления потенциальных угроз, разработки стандартных процедур реагирования на те или иные инциденты, распределения ролей и обязанностей, составления четких должностных инструкций для сотрудников отдела ИБ и дежурной смены SOC.
Кроме того, SOC в его классическом виде (здесь правильнее использовать термин SIEM – Security Information and Event Management Solution) уже не является адекватным ответом на современные риски и угрозы информационной безопасности. Именно поэтому компания RSA (сейчас это подразделение информационной безопасности корпорации EMC) в конце октября этого года анонсировала инициативу Advanced Security Operations. Одна из основных идей, лежащих в основе данной стратегии, – идея объединения (конвергенции) различных инструментов и методов контроля и управления информационными рисками, благодаря чему достигается кардинальное расширение номенклатуры контролируемых параметров и возможность анализа не только событий информационной безопасности. В частности, в предложении RSA платформа enVision (SIEM) интегрируется с системой RSA DLP (Data Loss Prevention – система предотвращения утечки конфиденциальной информации), технологиями борьбы с онлайн-мошенничеством (RSA FraudAction, RSA eFraudNetwork), системами контроля и управления ИТ-инфраструктурой и приложениями – EMC Ionix.
Дмитрий Породин, INLINE Technologies:
ЦОУ ИБ (SOC), также называемый ситуационным центром по ИБ, представляет собой взаимоувязанную совокупность технических средств выявления и обработки инцидентов, контроля и визуализации показателей состояния ИБ, а также процессов и регламентов управления ИБ организации. На текущем этапе развития ИТ все информационные системы корпоративного уровня являются сложной гетерогенной средой. Поэтому с учетом возрастающих и очень быстро изменяющихся угроз ЦОУ ИБ является единственным инструментом, позволяющим оперативно и эффективно реагировать на возникающие инциденты в области ИБ. Важно отметить, что полноценный ЦОУ нельзя построить только на продуктах обработки информации и событий ИБ (SIEM), поскольку даже являющиеся лидерами рынка продукты SIEM не могут реализовать все необходимые для ЦОУ ИБ функции.
Как правило, полнофункциональный ЦОУ ИБ включает в себя следующие компоненты: специальные средства мониторинга СУБД и файловых хранилищ, модуль кросс-корреляций и анализа, централизованное хранилище инцидентов, модуль визуализации бизнес-процессов и показателей, модуль управления процессом разрешения инцидентов ИБ.
Централизованное управление процессом разрешения инцидентов позволяет организации видеть полную картину состояния ИБ, а также мгновенно получать данные по текущим и прошедшим инцидентам и представлять результаты работы службы ИБ руководству и аудиторам.
Виктор Сердюк, «ДиалогНаука»:
Центры управления ИБ предназначены для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. Как правило, подобные центры функционируют 24 часа в сутки и позволяют анализировать данные, поступающие от средств защиты информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других источников.
Любой ЦОУ ИБ состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM, которая занимает одну из лидирующих позиций в данной области.
Документационная часть ЦОУ ИБ включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности. Например, в состав базовых документов входят должностные инструкции операторов и администраторов ЦОУ ИБ, политика и регламенты управления инцидентами, база данных инцидентов ИБ и т. д.
Кадровая составляющая ЦОУ ИБ подразумевает выделение сотрудников, ответственных за работу с центром управления. Как правило, выделяются следующие роли сотрудников:
- системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения ЦОУ ИБ;
- администратор безопасности, обеспечивающий управление и настройку параметров функционирования ЦОУ ИБ;
- оператор, выполняющий задачи просмотра результатов работы ЦОУ ИБ и выполнения базовых функций реагирования на типовые инциденты;
- аналитик, обеспечивающий анализ и реагирование на сложные виды инцидентов.
Руслан Рахметов, «АйТи»:
ЦОУ ИБ — это, если выражаться образно, «глаза» системы информационной безопасности компании. Сейчас никого из наших заказчиков не удовлетворяет точечный подход к решению проблемы ИБ. Нашим заказчикам необходим именно целостный, отлаженный процесс обеспечения информационной безопасности в организации. Эффективно организовать такой процесс можно только при условии, что система информационной безопасности будет пронизывать все уровни организации и включать три основные составляющие: люди, процессы и технологии.
Компания «АйТи» – одна из первых, кто серьезно занялся вопросом создания ЦОУ ИБ, разработав собственное решение. Наше решение позволяет мгновенно увидеть целостную картину состояния информационной безопасности в организации, причем, что немаловажно, — в динамике.
Денис Батранков, IBM Internet Security Systems:
Центр управления безопасностью (SOC) предоставляет необходимые ресурсы для управления безопасностью корпоративной сети из единой точки и в реальном времени. Под ресурсами мы понимаем и утилиты, и инфраструктуру, и самую главную компоненту SOC: профессионалов, которые там находятся круглосуточно.
Перед SOC ставятся следующие задачи:
- сбор событий информационной безопасности вне зависимости от производителя средства защиты, зачастую в формате, пригодном для представления в суд;
- просмотр, анализ и реагирование на события;
- расследование инцидентов и предотвращение аналогичных инцидентов в будущем;
- прием заявок от пользователей корпоративной сети и их исполнение;
- решение текущих задач согласно политике ИБ, например, ежедневное сканирование сети или создание отчетов для руководства;
- внесение изменений в политики средств защиты сети.
Нельзя ставить перед SOC задачу только сбора информации и анализа собранных событий. Ведь про то, что началась эпидемия очередного червя Conficker, вы узнаете просто включив телевизор. А вот чтобы узнать, где он в вашей сети, и затем начать как-то защищаться, нужно иметь соответствующую инфраструктуру. Нужно иметь возможность удаленно перенастраивать системы защиты для предотвращения инцидентов безопасности и распространения угроз в сети.
Очень распространены SOC у интернациональных компаний, в которых сети разбросаны по всему миру и нужно иметь единый центр управления вне зависимости от того, где находится защищаемая сеть: в Австралии, Америке или Европе.
Если у компании нет своего SOC, то ей выгодно взять в аренду инфраструктуру и профессиональные команды, созданные другими компаниями, поскольку современные сетевые технологии позволяют реализовать SOC на любом удалении от реально защищаемых сетей.
Следующим поколением стали так называемые Virtual SOC, где сотрудники безопасности компании могут следить и управлять за безопасностью сами, хотя утилиты и инфраструктура расположены у поставщика услуги. По сути это Web-приложение, которое позволяет выполнять те же операции, что и в реальном SOC, но для этого нужен лишь браузер, который, в свою очередь, можно запустить даже на КПК. Пример такого приложения доступен через https://portal.mss.iss.net.
Алексей Лукацкий, Cisco:
Когда сеть организации подвергается атаке вирусов, червей или распределенной атаке типа «отказ в обслуживании» (DDoS), издержки могут оказаться весьма значительными. Это упущенные прибыли. Это недовольные клиенты. Это разочарованные сотрудники. Это подмоченная репутация. Но при этом у многих организаций нет адекватных программ и процедур обеспечения безопасности для обработки таких инцидентов. Как правило, этим организациям также не хватает профессионального опыта и инструментов для устранения последствий нарушений информационной безопасности. Организации простодушно рассчитывают на то, что такие атаки их не коснутся. Такая шаткая вера – это скорее принятие желаемого за действительное, а не реалистичный взгляд на вещи.
Несмотря на это организации хотят избежать потери и порчи своих данных, в том числе и важных объектов интеллектуальной собственности. Они хотят защищать критически важные ресурсы. Они хотят «оставаться на связи», поддерживать работоспособность важных сервисов, защищать деловые операции от убытков и задержек и обеспечивать обслуживание клиентов. Существенное нарушение безопасности сети может поставить под угрозу реализацию всех этих задач.
Для решения этих задач центр SOC должен обеспечить:
- управление следующими объектами и мониторинг их состояния в режиме реального времени: виртуальные частные сети, межсетевые экраны, системы обнаружения и предотвращения вторжений, системы отражения DDoS-атак, решения для борьбы с вирусами, шпионскими программами и другим вредоносным кодом, обновления ПО, персональные и портативные компьютеры, серверы и другие продукты, имеющие отношение к сфере безопасности;
- анализ данных журналов безопасности, сведений об уязвимостях, информации о ресурсах и сигналов тревоги;
- немедленное принятие ответных мер при возникновении потенциальных угроз нарушения безопасности и быстрое разрешение проблемных ситуаций в сфере безопасности;
- мониторинг состояния безопасности клиентов в режиме реального времени;
- защиту организации от возникающих сетевых атак;
- защиту инвестиций организаций в технологии обеспечения информационной безопасности.
Для успешного решения этих задач центру SOC необходимо выполнять мониторинг сетей клиентов, отслеживая возникающие угрозы безопасности. Эта функция, так называемый мониторинг безопасности для оценки риска, подразумевает выполнение следующих действий.
- Получение подробного обзора состояния сети путем сбора данных, в частности, результатов опроса по протоколу SNMP, сообщений SNMP-trap, syslog-сообщений и данных NetFlow.
- Применение приемов и инструментов интеллектуального анализа и корреляции для выявления инцидентов в сфере безопасности на базе собранной информации.
- Тщательный мониторинг возникающих угроз и единые правила реакции на эти угрозы в сети коллективного пользования наряду с применением индивидуальной политики безопасности для каждого клиента.
- Применение сложной методики анализа трафика для обнаружения аномалий, потенциально связанных с инцидентами в сфере безопасности.
- Привлечение экспертов по безопасности для анализа и помощи в разрешении инцидентов в сфере безопасности.
- Непрерывный мониторинг уязвимостей и нарушений в сфере безопасности; проведение таких мероприятий на самом раннем этапе, выявление инцидентов в сфере информационной безопасности в самом начале позволяет устранить угрозу до того момента, как будет нанесен реальный ущерб.
- Периодическое сканирование вашей сети и сетей ваших клиентов для проверки соответствия мер обеспечения информационной безопасности принятым политикам безопасности и условиям договоров об уровне обслуживания (SLA).
- Мониторинг сети для отслеживания сигналов тревоги, контроль и тестирование элементов сети.
- Удаленное обслуживание, конфигурирование и резервное копирование файлов для оперативного восстановления работоспособности сервисов.
- Модернизация устройств обеспечения безопасности с применением протестированного ПО, которое содержит исправления, устраняющие уязвимости, текущие обновления и новые функции.
- Сбор данных об использовании ресурсов клиентами для биллинга.
- Помощь в генерировании отчетов о соблюдении нормативных требований для аудиторов с использованием обширного хранилища собранных данных.
Наталья Зосимовская, «Информзащита»:
In-house Security Operations Centre может выполнять довольно широкий и разнообразный набор функций в организации. Это может быть мониторинг и управление инцидентами ИБ, управление уязвимостями, оценка защищенности, управление соответствием тому или ному стандарту и т. д. Все функции, которые будут выполняться данным подразделением напрямую, зависят от тех целей и задач, которые будут возложены на него при проектировании и последующем развитии. Но, как показывает практика, большинство компаний, создающих подобные Центры, возлагают на них в первую очередь функции мониторинга происходящего в сети и управления инцидентами ИБ.
Если говорить в общем, то выполняемые SOC функции можно разделить на два основных типа: реактивные и проактивные. К реактивным функциям относятся все те действия, которые предпринимаются для выявления, обработки, реакции на инцидент. Получая сообщения от различных компонентов информационной системы об уязвимостях, атаках, сканированиях, злоупотреблениях теми или иными сетевыми ресурсами, неавторизованных доступах к данным и информационным активам, сотрудники SOC анализируют входящую информацию, определяют, что на самом деле происходит, и исходя из этого выполняют соответствующие действия для минимизации возможного ущерба и решения проблем. Если говорить о проактивных функциях, позволяющих снизить риски возникновения инцидентов в будущем, то корпоративный SOC может проводить тренинги по повышению осведомленности и консультирование различных сотрудников по вопросам ИБ, предлагать помощь в поддержке конфигураций, написании политик ИБ и т. д.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Александр Чигвинцев, EMC:
Одна из главных задач, которые удается решить при внедрении SOC, – постоянный контроль текущего уровня информационных рисков. Это, в свою очередь, позволяет оперативно выявлять инциденты, связанные с нарушением принятых политик информационной безопасности, и реагировать на них; в конечном счете это обеспечивает достаточно серьезные конкурентные преимущества, а в некоторых случаях – сохранение (спасение) как репутации, так и финансовых средств.
EMC как одна из крупнейших транснациональных корпораций постоянно сталкивается с проблемой обеспечения адекватного уровня информационной безопасности. Для решения данной задачи в конце октября был открыт Корпоративный центр реагирования на критические инциденты (CIRC – Critical Incident Response Center). Данная служба как раз и построена на продуктах и концепции Advanced Security Operations, описанной выше.
Дмитрий Породин, INLINE Technologies:
Основное преимущество от внедрения ЦОУ ИБ – оперативность реакции на наиболее критичные инциденты ИБ в распределенной корпоративной информационной системе.
Без использования специальных средств анализа и корреляции практически невозможно выявить инцидент в огромном потоке информации и событий от средств защиты информации, общесистемного/прикладного ПО, сетевого оборудования. Отдельной проблемой является полноценный мониторинг больших корпоративных СУБД и файловых ресурсов. Здесь также не обойтись без специализированных решений ЦОУ ИБ, так как встроенные средства контроля могут привести к существенной деградации производительности систем.
Возможность увидеть степень соответствия показателей ИБ организации тем или иным законодательным и вертикальным требованиям в виде интуитивно понятных графических форм с возможностью детализации зачастую является не меньшим преимуществом, чем функционал анализа и корреляции ЦОУ ИБ.
Виктор Сердюк, «ДиалогНаука»:
ЦОУ ИБ обеспечивают повышение эффективности принятия решений по реагированию на инциденты безопасности. Это достигается за счет того, что ЦОУ ИБ позволяют значительно сократить объем информации, который должен анализировать оператор для реагирования на те или иные инциденты ИБ. Так, ЦОУ ИБ может ежесекундно обрабатывать десятки тысяч событий, поступающих из разных источников, формируя на выходе список из десятка наиболее значимых инцидентов, на которые в первую очередь должен реагировать администратор безопасности.
Руслан Рахметов, «АйТи»:
Основные преимущества, которые дает создание ЦОУ ИБ, — это скорость реакции на инциденты и повышение управляемости процесса обеспечения ИБ.
Время протекания большинства инцидентов в сфере информационной безопасности составляет не более секунды, а последствия этих секундных сбоев могут быть катастрофичны. В свою очередь, построение ЦОУ ИБ, по данным западных исследований, снижает задержки реагирования на инциденты ИБ из-за человеческого фактора на 80–90%.
Вторым немаловажным преимуществом является возможность видеть срез состояния информационной безопасности в комплексе, в режиме реального времени.
Можно выделить и более частные преимущества, такие как:
- снижение рисков и времени простоя в критичных бизнес-процессах;
- контроль и предотвращение инцидентов безопасности. Сокращение сроков работ по расследованию инцидентов и предоставлению отчетов руководству;
- высвобождение ресурсов специалистов информационной безопасности и ИТ-службы, поскольку они затрачивают много времени на консолидацию и анализ инцидентов, связанных с нарушениями политики информационной безопасности компании;
- ответственность за процесс (когда нет процесса реакции на инциденты, тогда нет и ответственного);
- расстановка приоритетов по рискам для принятия адекватных мер защиты.
При разработке собственного решения — Центра мониторинга информационной безопасности IT SMMC — мы старались учесть основные потребности наших заказчиков, которые не закрывались решениями западных вендоров. Во-первых, в большинстве российских компаний используется множество средств защиты информации, в том числе отечественных, а порой и собственной разработки. Поэтому наши заказчики постоянно сталкивались с необходимостью интеграции мультивендорных решений. Во-вторых, необходимо формировать единую, консолидированную отчетности на русском языке.
Центр мониторинга информационной безопасности IT SMMC представляет собой систему с распределенной сетью агентов сбора, единым ядром аналитики и порталом русскоязычной отчетности. В качестве ядра аналитики, обеспечивающего хранение, обработку событий, управление инцидентами информационной безопасности, «АйТи» использует продукты и практики Cisco Systems. В качестве агентов сбора используются собственные разработки компании «АйТи», позволяющие интегрировать существующие и планируемые к внедрению системы защиты информации к ЦОУ ИБ. Портал отчетности ЦОУ ИБ дает возможность формировать отчеты о состоянии ИБ компании в соответствии с принятой в компании политикой или отраслевой спецификой.
Решение позволяет организовать глубокую интеграцию существующих систем защиты путем централизации управления и мониторинга и перевести разрозненные системы защиты в разряд сервисов, управляемых из единого центра.
Денис Батранков, IBM Internet Security Systems:
Основным преимуществом SOC является то, что вы узнаете о очередном инциденте в своей компании сами, а не из телевидения и газет. Недавняя эпидемия Conficker показала это. Компании узнали о проблемах с безопасностью из новостей. Лечить системы от этого сетевого червя они начали, когда сетевое оборудование уже перестало выдерживать объем генерируемого им трафика.
Вообще централизованное управление безопасностью устройствами любого производителя – мечта любого ИТ-специалиста. Современное состояние ИТ в компаниях предполагает наличие разного оборудования, причем исправить это уже невозможно и приходится иметь несколько разных систем управления, которые хотелось бы и коррелировать друг с другом (впрочем это могла бы делать система SIEM), в том числе и управлять ими.
И наконец, SOC устраняет типичную головную боль руководителя – кто же будет следить за безопасностью в вашей сети. Ведь очень часто услуга по удаленному управлению безопасностью включает в себя еще и гарантированную защиту – ответственность за каждую пропущенную атаку. Например, компания IBM платит штрафы до 50 тыс. в таких случаях.
Алексей Лукацкий, Cisco:
Фактически скорость реакции – это основное преимущество SOC. Компьютерные черви способны распространяться в сети Интернет в течение минут или даже секунд, выводить из строя сети ваших клиентов или замедлять передачу трафика до черепашьих скоростей. Поэтому для выявления таких атак и их отражения еще до того, как они смогут причинить существенный ущерб, важна каждая секунда. SOC предназначен для решения именно таких задач.
На практике SOC выполняет мониторинг состояния безопасности сети и мгновенно реагирует на возникновение критических ситуаций в сфере безопасности, проблемы и появление новых уязвимостей.
Наталья Зосимовская, «Информзащита»:
Главное и основное преимущество – это значительное сокращение времени реакции на инциденты ИБ (от обнаружения до контрмер) за счет автоматизации и централизации процесса сбора и обработки событий ИБ, корреляции событий и визуализации происходящего, формализации процесса управления инцидентами. В результате повышается уровень контроля защищенности активов, минимизируются возможные риски. Сбор статистического материала и результаты анализа инцидентов дают возможность принимать обоснованные решения по усовершенствованию обеспечения ИБ в организации. Также не стоит забывать про соответствие требованиям регуляторов и стандартам в области обеспечения ИБ. Большинство из них содержат требования к проведению постоянного мониторинга событий и управлению инцидентами.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
Александр Чигвинцев, EMC:
На Западе уже давно появились компании, специализирующиеся на предоставлении услуг информационной безопасности (Managed Security Services Providers — MSSP). Многие из них в своей деятельности широко используют продукты и решения RSA (см., например, http://www.rsa.com/node.aspx?id=1295; http://www.communicationvalley.it). Таким образом, достаточно четко прослеживается тенденция переноса части функций обеспечения ИБ на внешние, специализированные организации. Тем не менее, наверное, трудно предложить формальные критерии, когда SOC надо создавать своими силами, а когда – отдавать на аутсорсинг. Возможно, внутренняя (собственная) служба в масштабе CIRC – прерогатива больших компаний, так как в этом случае дежурная смена получает доступ не только к информации о событиях информационной безопасности, но и к самим данным как таковым (например, через интерфейсы администрирования DLP), что требует совершенно другого уровня доверия к сотруднику SOC. Кроме того, формат CIRC подразумевает взаимодействие в одной команде специалистов как по ИБ, так и по ИТ-инфраструктуре, приложениям и т. п.
Как обычно, российская специфика вносит свои коррективы. Пока ситуация выглядит так, что практически все заказчики с которыми мы обсуждали тему построения SOC, намеревались внедрять этот сервис своими силами или, как вариант, силами собственных ИТ-подразделений. При этом служба ИБ выступала как внутренний заказчик и пользователь данного сервиса.
Дмитрий Породин, INLINE Technologies:
На мой взгляд, все организации, имеющие распределенную информационную систему корпоративного уровня, должны создать собственный ЦОУ ИБ, построенный с учетом специфики существующих ресурсов и бизнес-процессов. Мне сложно представить, что такую критичную и конфиденциальную тему, как обработка инцидентов ИБ, российские компании могут доверить сторонним подрядчикам. Исключением, пожалуй, является сектор SMB, предприятиям которого сложно инвестировать большие средства в создание собственного ЦОУ ИБ и содержание квалифицированной службы ИБ. Однако, по моему мнению, аутсорсинговые услуги в части ЦОУ ИБ будут ограничены защитой от атак и вредоносной активности. К более глубокой и широкой услуге сейчас не готовы ни заказчики, ни провайдеры услуг ИБ.
Виктор Сердюк, «ДиалогНаука»:
Для крупных компаний с большим количеством источников событий безопасности рекомендуется иметь собственный центр управления ИБ. Это позволит более оперативно реагировать на выявляемые инциденты. Для небольших компаний в ряде случаев может быть более выгодным передать функции мониторинга на аутсорсинг в целях экономии финансовых ресурсов.
Руслан Рахметов, «АйТи»:
В данном вопросе необходимо учитывать специфику работы каждой конкретной компании. «АйТи» предлагает три основных варианта внедрения ЦОУ ИБ. Два из них, Onsite и Outsourcing, различаются только местом размещения необходимого оборудования — у заказчика или в «АйТи». Третий вариант — Comanaged — самый гибкий: помимо выбора места расположения оборудования он предполагает различные опции. Это может быть линия поддержки: например, клиент обеспечивает первую линию поддержки, «АйТи» — вторую; или интервал времени поддержки: например, клиент управляет ЦОУ ИБ в рабочие часы, «АйТи» — в нерабочие.
Безусловно, российская специфика существует. В первую очередь это касается вопросов аутсорсинга в сфере ИБ: то, что для большинства западных компаний является распространенной практикой, в России пока не находит столь широкого применения. Вторая проблема, характерная для многих российских компаний, — необходимость формирования отчетности на русском языке. Причем требования к такой отчетности имеют значительную отраслевую специфику: различный порядок классификации инцидентов безопасности, обработки инцидентов безопасности, мониторинга событий безопасности, визуализации системы мониторинга и т. д. Естественно, подобный функционал не заложен в стандартных западных продуктах и решениях по ИБ. И в большинстве случаев каждое решение требует серьезной локализации. Поэтому при выборе и построении ЦОУ ИБ необходимо учитывать вопросы мультивендорности, локализации, надежности ядра аналитики, гибкости решения и, конечно, цены.
Денис Батранков, IBM Internet Security Systems:
Собственный центр нужно создавать при нежелании выносить информацию о своих событиях безопасности и инцидентах наружу. В тех странах, где законодательно требуется рассказывать о своих инцидентах, компании любят использовать аутсорсинг, поскольку за все эти задачи, включая сами инциденты, несет ответственность аутсорсер. Собственный SOC предполагает значительные затраты, которые могут не окупиться. Профессиональных сотрудников трудно найти, их нужно постоянно обучать новым тенденциям и технологиям, и они норовят все время уволиться, например, устав однажды просто читать журналы. Использование арендованного центра управления снижает CapEx, но увеличивает OpEx. Очень часто это выгодно, поэтому компании с удовольствием этим пользуются.
Наталья Зосимовская, «Информзащита»:
Изначально надо понимать, что создание корпоративного SOC – это большие капитальные и средние временные затраты. Помимо этого для эффективной работы Центра необходим штат квалифицированных специалистов, работающих в режиме 24*7. В сегодняшней ситуации нехватки кадров собрать подобную команду может быть непросто. Поэтому можно сказать, что собственный SOC в большей степени актуален для крупных организаций с большой и распределенной инфраструктурой, требующей централизованного контроля и не желающих передавать функции мониторинга на аутсорсинг.