Андрей Дугин, МТС RED: К концу года рынок SOC может вырасти до 70%
По данным компании МТС RED, в 1 квартале 2023 года количество DDoS-атак на российские организации выросло в 10 раз по сравнению с аналогичным периодом 2022-го. К известным киберугрозам добавились проблемы с оборудованием и ПО ушедших из России зарубежных поставщиков, а также с иностранными облачными сервисами. Все это вынуждает компании-заказчиков все чаще прибегать к услугам MSSP (Managed Security Service Provider). О ситуации на российском рынке коммерческих SOC (Security Operation Center), перспективах развития и драйверах роста читайте в интервью Андрея Дугина, руководителя центра сервисов кибербезопасности компании МТС RED.
Андрей, какие новые тренды на рынке аутсорсинга услуг центра мониторинга кибербезопасности проявились в 2022-2023 годах?
Андрей Дугин: Рынок SOC растет, и к концу года мы ожидаем динамику до 70%. Если еще лет пять назад заказчики не понимали, что дает бизнесу центр мониторинга и реагирования на инциденты информационной безопасности, и считали, что без него можно обойтись, то за последние год-два их позиция резко изменилась.
С первой половины 2022 года, после того, как начался рост количества DDoS-атак и их мощности, у бизнеса появился спрос на сервисы защиты от таких угроз, а также от взлома внешнего периметра. Позднее, когда этот всплеск спал, многие клиенты задумались, не успели ли злоумышленники пробраться в их ИТ-инфраструктуру. И постепенно начали всё больше убеждаться я в том, что центр мониторинга и реагирования на инциденты ИБ — это необходимость в современных реалиях.
Создать собственный SOC по силам только крупным компаниям?
Андрей Дугин: Всем, кто хочет построить свой собственный центр мониторинга, нужно быть сразу готовым потратить около ста миллионов, и это не считая затрат на базовые программно-аппаратные средства защиты информации — системы, которые SOC должен оркестрировать. Денежные средства необходимы для покупки системы SIEM, основного инструмента центра мониторинга и реагирования на инциденты ИБ, а также на привлечение и оплату труда сотрудников, которые ее развернут, подключат источники событий информационной безопасности, напишут правила и алгоритмы детектирования и реагирования на киберугрозы. По нашему опыту, создание собственного SOC может занять года два, и это, повторюсь, при условии, что в компании уже внедрены базовые средства защиты.
Без каких СЗИ невозможно использовать центр мониторинга и реагирования на кибератаки, собственный или аутсорсинговый?
Андрей Дугин: Во-первых, это межсетевой экран (firewall), который устанавливается на границе интернета и корпоративной сети и фильтрует трафик по протоколам, по портам, и по IP-адресам, ограничивая доступ к ней извне в соответствии с правилами.
Во-вторых, заказчик должен использовать сегментацию информационной сети, а в-третьих, на его серверах и рабочих станциях должно вестись логирование. С таким набором средств клиент уже может подключать центр мониторинга и реагирования на инциденты ИБ как услугу.Метавселенная ВДНХ
Любой сервис-провайдер, и мы в том числе, соберет для него логи из всех этих источников воедино, сопоставит их и покажет, что можно считать инцидентом. И если таковой произойдет, то выдаст четкий план действий по его устранению.
Аутсорсинг Центра мониторинга и реагирования на инциденты безопасности стал больше интересовать заказчиков за последние год-полтора?
Андрей Дугин: Да, потому что использование сервисов кибербезопасности вместо того, чтобы тратить деньги и время на построение собственного центра мониторинга кибербезопасности — это очень понятное бизнесу решение, оно проще с точки зрения обоснования бюджетов. А поскольку у провайдера услуг аутсорсинга информационной безопасности уже есть своя SIEM-система, то ему достаточно установить на площадке клиента выделенный сервер, который будет собирать логи и передавать их в ядро SOС, а также адаптировать уже принятые правила детектирования и реагирования на события ИБ к особенностям информационной инфраструктуры клиента.
По нашему опыту, подключение аутсорсингового SOC на относительно средний сегмент инфраструктуры может занять недели две. У нас есть клиент, которого мы подключили к нашему центру мониторинга и реагирования на кибератаки буквально за выходные.
Насколько заказчики сегодня готовы допускать провайдера услуг аутсорсинга SOC в свою информационную инфраструктуру?
Андрей Дугин: Для отражения кибератаки необходим доступ в некоторые корпоративные ИТ-системы и, зачастую, уровня администратора. Также заказчик и SOC должны сформировать регламент, определяющий, как осуществляется блокирование действий злоумышленника, что и с кем согласовывается, где регистрируются действия защитников. Обычно заказчик на уровне бизнеса выступает за реагирование силами специалистов внешнего SOC, а ИТ-служба — против.
Чаще всего клиент, который хочет получить сервис реагирования на кибератаки, соглашается предоставить нам доступы в том случае, если мы поддерживаем у него еще и средства защиты, подразумевающие блокировку — к примеру, Web Application Firewall (WAF), который не пропускает атаки на веб-сайт клиента.
В будущем наверняка все придет к тому, что клиенты будут постепенно отдавать поставщику сервисов кибербезопасности доступ и права администратора корпоративных систем в обмен на услугу реагирования на инциденты ИБ. Возможно, это будет предусматривать дополнительные меры контроля подрядчика, но в итоге рынок придет к этому.
А сколько компаний пользуются услугами МТС SOC? Есть ли у вас ключевые клиенты?
Андрей Дугин: Сегодня к МТС SOC подключено более 30 компаний. С моей точки зрения, ранжировать клиентов на ключевых и не ключевых в зависимости от того, какую сумму денег они нам приносят, не совсем правильно. Мы любим всех и защищаем всех одинаково.
Как изменилась база клиентов MTC SOC за 2022 год и первую половину 2023-го?
Андрей Дугин: Заказчиков у нас за это время стало больше примерно на 60%. Новые клиенты приходят из разных отраслей, так что явной зависимости от сектора экономики я не выделить не могу. В большинстве своем это компании среднего размера.
Те заказчики, с которыми мы работаем уже долгое время, тоже развивают сотрудничество: подключают новые источники событий, расширяют объем инфраструктуры под контролем SOC.
Чем МТС SOC ответил на рост спроса? Какие новые сервисы начал предлагать в этом году?
Андрей Дугин: Как и МТС в целом, мы стремимся к созданию экосистемы технологий кибербезопасности. С начала 2023 года мы вывели на рынок несколько новых сервисов нашего круглосуточного центра мониторинга, чтобы предлагать заказчикам полный цикл защиты от киберугроз.
Прежде всего, это анализ защищенности. Пентест можно заказать в дополнение к сервисам SOC, а можно отдельно, чтобы убедиться в защищенности компании. Наши специалисты проверят защиту на прочность и покажут возможные точки проникновения. Это поможет клиенту понять, какие участки внутренней сети требуют повышенного внимания. Затем консалтинг — он поможет выстроить эффективную стратегию управления информационной безопасностью с фокусом на наиболее критичные для бизнеса процессы и сегменты инфраструктуры.
Для обеспечения постоянной доступности онлайн-сервисов клиентов мы предлагаем сервис защиты от DDoS-атак любого уровня, для соответствия регуляторным требованиям — сервис для защиты каналов связи по сертифицированным ФСБ России криптографическим алгоритмам. Есть в нашем продуктовом портфеле и сервис Security Awareness, с помощью которого компании могут проверить реакцию своих сотрудников на фишинговые письма. Постепенно список сервисов будет расширяться, чтобы в итоге заказчик мог получить все необходимые технологии «из одного окна».
Когда у заказчика внедрено достаточно средств защиты и реализована функция мониторинга и реагирования на кибератаки, «белые хакеры» могут проверить ее эффективность методом Purple Teaming. По его итогам компания-заказчик получает отчет с информацией о том, насколько полную картину происходящего в инфраструктуре видит SOC, и получает рекомендации по реагированию на киберугрозы.
И, конечно, форензика. В случае, если произошел инцидент, мы подключаемся и расследуем причины и ход атаки. Часто наше сотрудничество с заказчиками начинается с этого этапа.
Мы готовы подключиться к защите заказчика на любом этапе построения комплексной системы «обороны» и предоставить тот объем сервисов, который необходим ему в данный момент. Среди прочего, гибкость — это то, что отличает нас от других игроков рынка.
Какое место отводится личному кабинету клиента МТС SOC?
Андрей Дугин: Личный кабинет — это наша система самообслуживания, которой охвачены все клиенты центра мониторинга и реагирования на инциденты ИБ. Заказчик всегда может зайти в личный кабинет и узнать, как обеспечивается его кибербезопасность: сколько и каких событий произошло, какова их динамика и распределение по статусам и уровням критичности, а также в наглядной форме в режиме онлайн получить статистику работы SOC и аналитику в разных срезах. Это делает работу и оценку эффективности центра мониторинга максимально прозрачной как для ИБ-директора, так и для владельцев бизнеса.
Впервые мы представляли нашу систему самообслуживания клиентов на SOC-Форуме в ноябре прошлого года, и коллегам по рынку она настолько понравилась, что многие из них начали делать что-то подобное.
Каковы, на ваш взгляд, драйверы рынка SOC?
Андрей Дугин: Развитие рынка на ближайшие год-два определяет один важный документ — это Указ Президента РФ № 250. Он обязывает многие российские корпорации и компании с 1 января 2025 года использовать российское программное обеспечение и российские программно-аппаратные комплексы в сфере информационной безопасности.
Благодаря этому нормативному документу российский рынок весь последний год всерьез работает над импортозамещением, чтобы успеть в срок изменить план защиты от киберугроз, задействовав в нем аппаратные и программные средства, произведенные, как минимум, дружественными государствами.
В этих условиях некоторые отечественные вендоры могут не стесняться, устанавливая цены, тем более, что зарубежных поставщиков на российском рынке больше нет. В этих условиях компании оказались перед выбором: либо самим строить SOC на отечественных программных продуктах, либо сделать ставку на сервисную модель. Таким образом, первый драйвер — это импортозамещение.
Второй драйвер — это рост рынка, появление новых групп потенциальных клиентов SOC. Одну из таких групп составляют «осиротевшие» российские «дочки» крупных международных компаний, ушедших с российского рынка. До недавних пор все средства информационной безопасности они получали из-за рубежа и никогда раньше глубоко в эти вопросы не погружались. Лишившись поддержки материнских компаний, они поняли, что теперь в отношении защиты от кибератак все зависит только от их собственных усилий. Для таких компаний модель «информационная безопасность как услуга» — просто находка. Во многом потому, что у поставщиков сервисов кибербезопасности есть квалифицированные специалисты, которых на рынке очень мало.
К другой группе новых клиентов я бы отнес российские компании, потреблявшие иностранные облачные сервисы информационной безопасности. Они поняли, что для минимизации кибер- и ряда других рисков нужно переходить на отечественные облака, где и заниматься вопросами безопасности. Эти заказчики обращают внимание на аутсорсинг SOC как наиболее эффективное и экономичное решение своих задач.
Вторую группу составляют, в основном, клиенты МТС Cloud? Я правильно понимаю?
Андрей Дугин: Да, верно. Среди прочего, мы активно ведем проекты по защите заказчиков, которые являются клиентами МТС Cloud. Преимущество МТС — это экосистемность: компании могут получить все функции, технологии и решения, которые им необходимы — и облачные сервисы, и связь, и кибербезопасность, и многое другое.
А как компания MTC RED решила для себя задачу импортозамещения?
Андрей Дугин: Мы заменили американскую SIEM-систему российской, поскольку на определенном этапе поняли, что придется отказываться от зарубежных решений и начали тестировать разработки разнообразных отечественных вендоров. И в процессе обнаружили, что российские SIEM-системы практически не уступают западным. Да, у них есть некоторые недостатки, но работать с ними можно. И в итоге перевели технологическую основу нашего МТС SOC на SIEM-систему «Лаборатории Касперского».
Какие сценарии развития рынка коммерческих SOC в России вы видите?
Андрей Дугин: При пессимистичном сценарии рынок будет, как говорят на биржах, «идти в боковике». Если все компании подумают, что они достигли требуемого уровня импортозамещения в области ИБ, то в результате, те, кто уже подключился к SOC, продолжат его использовать, а те, кто этого не сделал, так и не подключатся. В этом случае рынок будет пребывать в стагнации. Но все-таки учитывая то, что сейчас весь мир идет по пути цифровизации, чтобы оптимизировать бизнес-процессы и даже производственные процессы на промышленных предприятиях, этот сценарий маловероятен. Наоборот, требования к безопасности и к защите информации при переводе бизнеса в киберпространство станут еще строже. Если даже эта задача будет решаться каждой компанией самостоятельно, повысится спрос на консалтинг в области построения SOC. А если бизнес поймет, что с помощью аутсорсингового партнера можно оперативно внедрить системы защиты, выстроить процессы, полностью настроить правила выявления кибератак, нанять людей, обучить их, и дальше уже работать своими силами, это будет уже начало оптимистичного сценария.
Но у него тоже есть ограничение — кадровый голод. Для того, чтобы построить свой SOC, нужно нанять высококвалифицированных ИБ-специалистов. И потом их нужно занять интересной работой — если такой человек придет на высокую зарплату и маленький объем работы, он довольно скоро будет демотивирован, заскучает и начнет искать или дополнительную подработку, или более интересное место работы.
Поэтому я считаю, что Россия пойдет по оптимистичному сценарию: будет расти и рынок сервисов мониторинга и реагирования на кибератаки, и смежные услуги — анализ защищенности, консалтинг, расследование инцидентов. Это вызовет изменения и в подходах игроков рынка — они станут предлагать более широкий спектр услуг и сервисов кибербезопасности, станут более гибкими в ходе ведения проектов. Рынок станет более зрелым и доступным для большего числа заказчиков.