Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Вместо тысяч человеко-часов…

Уже полгода клиенты нашей группы компаний могут воспользоваться сервисом SOC (от англ. Security Operation Center – центр мониторинга и реагирования на инциденты информационной безопасности) «Инфосекьюрити» (ГК Softline). На текущий момент в проработке по этому направлению находится около 40 проектов.

Что ищут клиенты? Почему они обращаются к нам?

С одной стороны, у нас есть уже готовые и построенные процессы, изначально рассчитанные на очень крупную организацию (около 70 тыс. источников событий), а также используемые технологии, прежде всего, open-source и свои разработки. В SOC Softline работают около 50 специалистов: аналитики и группа мониторинга, которые реагируют на типовые инциденты; собственные разработчики, которые постоянно совершенствуют сервис ISOC.

С другой стороны, услуги по информационной безопасности из облака сейчас недооценены. Причины всем известны: боязнь нового, опасение утечек данных на сторону и желание самостоятельно управлять своими процессами. Такой клиент, услышав на рынке о ISOC Softline, приходит к нам и просит построить «такое же, но с перламутровыми пуговицами» внутри его инфраструктуры.

У нас сейчас уже есть проекты так называемого SOC под ключ, но, несмотря на крупные суммы контрактов, мы отговариваем заказчиков от такого варианта.

Наверняка вы помните повальное увлечение своими ЦОДами на рынке. Так вот, рынок SOC сейчас проходит ту же стадию развития. Интересно, насколько загружены сейчас те ЦОДы? Если, конечно, они не прогорели в жесткой конкуренции.

Многие клиенты, как правило, упускают из внимания, что свой SOC – это очень дорого и долго, а ожидания, увы, могут не совпадать с результатами.

По каким причинам мы отговариваем от SOCа под ключ?

В ходе первых проектов стали очевидными следующие факты:

  • Наш SOC (ISOC) существует уже несколько лет, его качество прошло проверку временем. Эти несколько лет развития ISOC никак не уложить в сроки менее одного года. Вы понимаете, не могут девять беременных женщин выносить одного ребенка за один месяц!
  • Теперь вспомним про деньги. В ИТ вашей компании уже вложены огромные средства, и руководство наверняка считает, что этого вполне достаточно, чтобы отбиться от хакеров. ФОТ раздут, новых сотрудников нанимать в ИТ не дают, их и так много, и вообще руководству не очень понятно, что они все там делают. А еще говорят, что кризис. Средств на инвестиционные затраты нет и в ближайшие пять лет не будет. По самой грубой оценке, стоимость таких проектов начинается от 250 млн рублей за два года.
  • В процессе самостоятельного построения своего SOC у потенциального клиента возникает дикое желание сделать так, чтобы в его системе смешалось все, что можно и нельзя: процессы, технологии, кони, люди. После этого на выходе он, скорее всего, получит тяжелое разочарование оттого, что цель была совсем другая, а пришел он не туда, куда хотел.

Если и вам приходилось сталкиваться с упомянутыми выше вопросами, то, скорее всего, вы уже задумывались о возможности использования модели «SOC как услуга».

Кадровый голод на рынке оставляет еще меньше шансов тем компаниям, кто хочет строить собственный SOC. Посмотрите на HH.ru, сколько стоят специалисты по кибербезопасности. Заработная плата такого специалиста в Москве составляет примерно 100 тыс. руб./мес. и выше.

Например, ФОТ для работодателя за три линии поддержки (около 14 человек) ориентировочно составляет 28 млн руб. в год со всеми социальными и пенсионными платежами. А сами такие специалисты напоминают тех самых сусликов, которых не видно, а они есть. Их навыки и квалификация редкие, исключительные, а клонировать таких сотрудников пока, к сожалению, не научились.

Не стоит также забывать, что при этом рынок постоянно «пылесосят» вендоры и другие компании, страждущие построить что-то свое. Поверьте, таких немало. То есть вы будете вкладывать средства в свой SOC, развивать сотрудников, которых потом будут переманивать, не только парализуя этим работу SOC, но и обесценивая уже сделанные инвестиции в людей. И все будет идти по кругу.

Пофантазируем далее. Вы набрали ВСЕХ(!) специалистов, и тут проявляется человеческий фактор. Ваши «штучные» редкие специалисты оказываются халатными, любят поболеть, а если им начальник не нравится, то будут работать спустя рукава. В итоге у вас в самом лучшем случае получатся 1,5 линии поддержки с графиком 8/5.

Вы уже поняли, к чему я вас агитирую: облачная модель ISOC!

Почему именно облачная модель ISOC?

Потому что этот сервис обеспечивает быстрое подключение, большое разнообразие настроек и моделей обслуживания, к тому же по затратам он даже близко не сопоставим с созданием собственного SOC. Схема позволяет произвести быстрый облачный старт, обкатать разные пропорции услуг и моделей работы. Если вы рассматриваете облачную модель ISOC в качестве промежуточного шага на пути к построению своего собственного SOC, то с нашей помощью вы сможете спокойно обосновать бюджеты на следующие годы, произвести спокойный самостоятельный найм персонала, подготовить инфраструктуру и осуществить ПЛАНОВЫЙ переход к своему SOC.

На текущий момент команда нашего ISOC, как уже говорилось, насчитывает 50 человек. Наш сервис обслуживают более сотни серверов. Ежемесячно это более 10 тыс. заявок и несколько десятков типов инцидентов, список которых постоянно увеличивается. Количество логов событий, которое нам присылают, более 2TB за сутки. И SLA, разумеется, везде выполняется на самом высоком уровне.

Иногда специалистам нашего SOC приходится выполнять не вполне обычные задачи. Например, у одного из заказчиков проходил внешний аудит по PCI DSS, во время которого мы должны были выявить действия пентестеров в рамках своих контролей и показать, что клиенты не зря купили SOC. Наши аналитики справились с этой непростой задачей и выявили всех пентестеров.

А бывают и такие клиенты, у которых есть свои внутренние команды пентестеров. Когда эти команды замечают, что SOC справляется и снижается поток событий, они начинают нас атаковать всевозможными средствами, а потом нашим специалистам прилетают кейсы со словами: «За 2-3 дня найдите нашего пентестера». И мы их находим – куда деваться, хотя обнаружить пентестера за два дня – это серьезная задача. Например, они ломают хост внутри сети, где 20 тыс. ПК. При этом задача обнаружить тест на проникновение может ставиться уже тогда, когда проникновение началось и специалистам нужно увидеть, где именно оно произошло.

По статистике обнаружение целенаправленной атаки (APT) нарушителя и его действий может занимать до 293 дней, а мы делаем это всего за два дня.

Другое выигрышное преимущество нашего ISOC – реагирование на инциденты. На рынке мало компаний гарантируют реагирование на инциденты под ключ. Зачастую они останавливаются просто на выявлении событий, и это вносит некоторый диссонанс в общий процесс мониторинга безопасности. Практически все умеют подключать события в SIEM, настраивать корреляции и другие механизмы выявления угроз. Делают неплохое оповещение по почте, но, к сожалению, у заказчиков не хватает компетенций для того, чтобы самостоятельно выстроить процесс дальнейших действий после выявления угрозы.

В случае необходимости мы готовы взять на себя функцию по сбору доказательной базы и предоставить ее для дальнейшего юридического разбирательства.

SOC как услуга – это интересно, а можно ли посмотреть на него в действии?

Надеюсь, вы уже захотели посмотреть на облачный SOC в действии. Сделать это несложно: вам нужно предоставить нам площадку с тестовой инфраструктурой либо возможность подключить свой сервер. Далее мы настроим комплекс и средства защиты, произведем забор логов. После этого покажем вам те результаты и те инциденты, которые нашли. Если клиент не будет против, мы можем параллельно, в режиме 24/7 осуществлять реагирование на тот объем событий и инцидентов, который оговорен. Это позволит понять, как работает наша служба реагирования, какие отчеты в боевом режиме вы будете получать.

Пилотный проект не только возможен, но еще и бесплатен.

Однако, если я вас не отговорил, и вы все равно хотите свой SOC под ключ, то мы сможем выполнить и такую задачу, хотя это будет дорого и долго. Ориентировочную стоимость и сроки я уже указывал ранее.

Каковы планы и перспективы?

Совершенству нет предела. Сейчас мы работаем над улучшением отчетности, которая будет доступна клиенту; повышением качества предоставляемых материалов, автоматизации, внутренней работы по инфраструктуре; совершенствованием правил для инцидентов, которые обрабатываем; повышением качества процессов, а также тех тестов, которые мы проводим для улучшения предоставляемых нами сервисов.

Есть мысли в будущем реализовать и дополнить наш ISOC услугой «Live Forensic as a Service». В рамках данной услуги планируется извлечение образа машины, которая подверглась атаке, проведение расследования и формирование полной оценки произошедшего. Такой своеобразный офлайн-менеджмент и компьютерная криминалистика. Мы провели несколько пробных кейсов, отработали их по тем инцидентам, которые приходили от заказчиков. Результат обнадеживающий.

Благодаря интеграции в ISOC данной услуги мы сможем оперативно получать информацию о компрометации станции по определенным метрикам. ISOC выдает уведомление, а дальше наши специалисты проводят расследование и получают результат. Эта услуга важна и будет востребована в крупных организациях с территориально распределенной сетью. Когда, например, что-то происходит на географически удаленном хосте, и проще не ехать туда, а снять образ диска и передать его в ISOC.

Улучшения коснутся и нашей SIEM-системы (система обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений). В планах стоит разработка отдельного модуля формирования оповещений. Многим клиентам, как оказалось, необходима не работа SOC по инцидентам, а получение оповещений для своих нужд. Поэтому в будущем мы создадим отдельный модуль, формирующий отчеты по выявляемым системой уведомлениям, которые могут отправляться непосредственно заказчику.

Вопросы создания SOC и выбора оптимальной стратегии обширны и непросты. Я постарался рассказать о том, как мы можем помочь вам сберечь человеко-часы сотрудников и снизить расход средств с помощью сервиса SOC «Инфосекьюрити». Приступить к живому знакомству с ISOC вы можете в любое время.

Михаил Апостолов

Руководитель продуктового направления отдела SOC Softline

 

Новости, истории и события
Смотреть все
Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck

29.08.2025

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности
Новости

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности

29.08.2025

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами
Новости

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами

28.08.2025

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции
Новости

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции

27.08.2025

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля
Новости

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля

27.08.2025

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта
Новости

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта

27.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях

26.08.2025

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8
Новости

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard

22.08.2025

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве
Новости

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве

21.08.2025

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД
Новости

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД

21.08.2025

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства
Новости

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства

20.08.2025

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений
Новости

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений

20.08.2025

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза
Новости

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза

19.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»

19.08.2025

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой
Новости

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой

18.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»

18.08.2025

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году
Блог

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году

25.08.2025

Российские операционные системы. Топ отечественных ОС 2025
Блог

Российские операционные системы. Топ отечественных ОС 2025

21.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025