Дмитрий Овчинников, «Газинформсервис»: «Наши преимущества – экспертность и R&D»

Дмитрий Овчинников, «Газинформсервис»: «Наши преимущества – экспертность и R&D»
Слайд из трансляции GIS DAYS 2024
Развитию центров мониторинга и реагирования на киберугрозы (SOC) была посвящена одна из секций Ежегодного форума по информационной безопасности GIS DAYS 2024. Выступая на ней, руководитель Лаборатории стратегического развития продуктов кибербезопасности «Газинформсервиса» Дмитрий Овчинников представил запущенный в мае этого года коммерческий SOC компании. Корреспондент ICT-Online.ru поинтересовался у эксперта подробностями рынка SOC.

– Дмитрий, собственный коммерческий SOC – относительно новое направление бизнеса компании «Газинформсервис». Почему именно сегодня возникла потребность в его создании, и какие этапы вы прошли от идеи до запуска?

– До пандемии большинство наших заказчиков не одобряли передачу компонентов своей системы информационной безопасности на аутсорсинг. Однако за прошедшие годы тенденция изменилась: многие уже стали положительно относиться к тому, чтобы делегировать часть функционала ИБ внешним специалистам, которые хорошо в этом разбираются. Тем самым компании экономят деньги, потому что организовать собственный SOC под силу не каждому: это дорогое удовольствие с точки зрения затрат на лицензии и серверное оборудование, найма узкоквалифицированных специалистов. Поэтому мы приняли решение о том, что сейчас самое время выходить на рынок с коммерческим SOC.

Естественно, это решение не было спонтанным. «Газинформсервис» на рынке ИБ уже более 20 лет, мы хорошо разбираемся в SIEM-системах, поскольку еще с конца 2000-х занимаемся их развертыванием у заказчиков. Мы понимали, что создание SOC – дело трудоемкое, со своей спецификой: необходимо заставить двигаться и технологии, и людей, и процессы в едином направлении. Еще около пяти лет назад мы сформировали собственную команду Blue Team, которая участвовала в киберсоревнованиях, исследовала, как в реальности происходят атаки.

Второй предпосылкой для появления у нас SOC стала собственная SIEM-система, а главное – готовый штат экспертов, которые разрабатывают контент для SIEM. Сама по себе эта категория софта достаточно простая, наиболее важный и сложный ее компонент – это правила корреляции, которые позволяют детектировать инциденты, а также наборы коннекторов, посредством которых происходит подключение источников, отправляющих события информационной безопасности для обработки. Этим мы тоже умеем заниматься очень хорошо.

Последней предпосылкой стал запуск команды Red Team, которая тоже начала принимать участие в соревнованиях. После этого мы были полностью готовы вывести на рынок собственный SOC с уверенностью, что это мероприятие действительно станет успешным.

Объявление об открытии SOC «Газинформсервиса» мы сделали в мае 2024 года, но к подготовке старта приступили примерно полтора года назад. В основном это были различные организационно-технические моменты: приобретение лицензий, найм специалистов. Так как в нашей компании работает более 1,5 тыс человек, конечно же, основной костяк мы собирали из своих инженеров, но пришлось всё равно дополнительно привлекать людей с открытого рынка.

 

Выступление руководителя Лаборатории стратегического развития продуктов кибербезопасности «Газинформсервиса» Дмитрия Овчинникова на GIS DAYS

Выступление руководителя Лаборатории стратегического развития
продуктов кибербезопасности «Газинформсервиса» Дмитрия Овчинникова на GIS DAYS.

Слайд из трансляции GIS DAYS 2024

 

– Много ли вам приходится вкладываться в покупку лицензий на стороннее ПО?

– SOC – это комплекс, состоящий из аппаратных средств, и развертнутом на них программном стеке средств защиты информации: SIEM-систем, EDR для детектирования атак на конечных точках, песочниц (Sandbox), анализаторов сетевого трафика, модулей поведенческой аналитики и других инструментов. Часть из этих продуктов наши собственные, но на остальные, безусловно, необходимо покупать лицензии. Кроме того, даже если мы используем собственные лицензии, все равно их надо, во-первых, выпустить, а во-вторых – учитывать, чтобы понимать, в какую реальную стоимость нам обходится создание, поддержка и эксплуатация SOC. Ведь не зная, сколько мы потратили, мы не можем совершенствовать SOC и все происходящие в нем процессы, оптимально использовать имеющееся программное обеспечение.

– Какие есть варианты подключения заказчиков к вашему SOC?

– Вариантов подключения очень много. Например, часть средств защиты можно разместить у заказчика, с них будет происходить пересылка данных на некий сервер, который тоже расположен On Premise в выделенной зоне, а уже с него данные будут стекаться в наш центр. Можно организовать и прямое подключение. В целом все сценарии сугубо индивидуальные, их выбор зависит во многом от того, какие бизнес-процессы происходят у заказчика, к чему он готов.

– Какие запросы заказчиков к SOC сегодня наиболее популярны?

– Основными задачами SOC по-прежнему являются детектирование угроз и эффективный ответ на них. Если говорить о направлениях развития SOC, – как на Западе, так и в России популярна тенденция на повышение экспертности специалистов этих центров, на проведение разведки в области угроз, Threat Intelligence. Нам необходимо определять угрозы, которые только начинают появляться и эксплуатироваться, а также понимать, какие угрозы появятся в ближайшем будущем. Это поможет нам заранее успеть соотнести их с теми средствами защиты, которые установлены у заказчиков, уметь их детектировать здесь и сейчас.

– На рынке коммерческих SOC уже достаточно много крупных игроков. Какие преимущества центра «Газинформсервиса» вы могли бы выделить?

– При создании SOC мы ориентировались как на положительный, так и на негативный опыт коллег и конкурентов, понимали, к чему мы идем. И самое главное, у нас не было никаких ограничивающих факторов в виде старых систем, к которым мы привыкли или которые дорого заменять. В этом плане нам было, конечно, проще.

Мы определили для себя два главных преимущества своего SOC. Первое – отличная экспертиза, основанная на 20-летнем опыте компании. Многие мои коллеги, которые сейчас работают в SOC, имеют более, чем 10-летний стаж только в «Газинформсервисе», а в целом в области информационной безопасности – более, чем 20-летний. Все топ-менеджеры компании работают в ней более 15 лет.

Второе наше главное преимущество – собственная команда R&D, которая занимается разработкой контента для SIEM-систем. Причем они создают контент не только для нашей SIEM, но и для других систем, которые установлены у наших заказчиков.

 

Преимущества SOC «Газинформсервиса»

Преимущества SOC «Газинформсервиса».
Слайд из трансляции GIS DAYS 2024

 

– Какие цели обозначены в стратегии развития вашего SOC?

– При развитии SOC мы ориентируемся на несколько целей. Первое – повышение скорости выявления и реакции на инциденты. Второе – прозрачная стоимость услуг SOC, причем не только для заказчиков, но и для нас самих. Третье – возможность круглосуточной защиты активов заказчика. Четвертое – визуализация угроз, что очень важно и для бизнеса заказчиков, и для аналитиков SOC. Наконец, особое внимание мы уделяем компетенциям нашей команды SOC.

– Какие еще тенденции на российском рынке SOC вы могли бы отметить?

– Сегодня практически все крупные компании либо создали собственные SOC, либо обращаются за аутсорсинговыми услугами к коммерческим. Происходит популяризация такого рода услуг.

Со времен пандемии все занялись цифровизацией и постепенно стали понимать, что киберугрозы реальны, начали более позитивно относиться к самой идее использования средств информационной безопасности у себя. Эта тенденция характерна и для предприятий сегмента SMB. Неважно, какого масштаба твой бизнес. Сканирование на взлом очень часто происходит в автоматическом режиме, поэтому как только какие-то адреса засветились в интернете, стоит ожидать, что они начнут подвергаться анализу и взлому.

Что касается самих коммерческих SOC, – заметно их стремление увеличивать свою доступность.

– С каким ландшафтом киберугроз сегодня сталкиваются ваши заказчики? DDoS-атаки, утечки данных, что-то еще?

– Наиболее серьезной из существующих угроз по-прежнему остается фишинг: во многих случаях он является точкой входа в инфраструктуру заказчика для дальнейшего получения доступа к другим системам. DDoS атаки тоже активно проводятся, но в основном они успешно пересекаются на уровне работы с провайдером. Что касается утечек, – шансы того, что данные будут утекать, есть всегда, но они нивелируются наличием DLP-систем и выстраиванием грамотной работы с персоналом, с режимом коммерческой тайны.

В целом, если говорить про угрозы в области ИБ, за последний год особых изменений в их ландшафте не произошло. Однако если брать последние пять лет, – в связи с тем, что началась активная цифровизация бизнеса, во-первых, стали увеличиваться активности злоумышленников, связанные с хактивизмом.

И во-вторых, деятельность по взлому инфраструктуры компаний стала настоящим бизнесом. Если раньше этим занимались в основном одиночки или небольшие команды, то сейчас мы стали на шаг ближе к киберпанку – когда профессиональные преступные группировки зарабатывают деньги благодаря взломам: нанимаются компаниями для атак на конкурентов, распространяют вирусы шифровальщики для получения выкупа.

– Помимо появления SOC, какие еще яркие события в жизни компании «Газинформсервис», произошедшие в 2024 году, можно отметить?

– Я бы отметил скорее не конкретные яркие события, а огромную планомерную работу команды «Газинформсервиса». Мы очень активно развиваемся в части разработки программного обеспечения для рынка информационной безопасности. Каждые полгода происходит масштабное обновление нашего флагманского продукта – комплекса по защите ИТ-инфраструктуры Efros Defence Operations. Постоянно расширяется функционал системы мониторинга Ankey SIEM NG, дописывание различных коннекторов для нее. Большая работа ведется также по расширению функционала СУБД Jatoba для того, чтобы она могла конкурировать не только классической для СУБД области, но и в дополнительных нишах.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, DLP, Газинформсервис