Андрей Дугин, МТС RED: К концу года рынок SOC может вырасти до 70%

Андрей Дугин: Рынок SOC растет, и к концу года мы ожидаем динамику до 70%. Если еще лет пять назад заказчики не понимали, что дает бизнесу центр мониторинга и реагирования на инциденты информационной безопасности, и считали, что без него можно обойтись, то за последние год-два их позиция резко изменилась.

С первой половины 2022 года, после того, как начался рост количества DDoS-атак и их мощности, у бизнеса появился спрос на сервисы защиты от таких угроз, а также от взлома внешнего периметра. Позднее, когда этот всплеск спал, многие клиенты задумались, не успели ли злоумышленники пробраться в их ИТ-инфраструктуру. И постепенно начали всё больше убеждаться я в том, что центр мониторинга и реагирования на инциденты ИБ — это необходимость в современных реалиях.

Андрей Дугин: Всем, кто хочет построить свой собственный центр мониторинга, нужно быть сразу готовым потратить около ста миллионов, и это не считая затрат на базовые программно-аппаратные средства защиты информации — системы, которые SOC должен оркестрировать. Денежные средства необходимы для покупки системы SIEM, основного инструмента центра мониторинга и реагирования на инциденты ИБ, а также на привлечение и оплату труда сотрудников, которые ее развернут, подключат источники событий информационной безопасности, напишут правила и алгоритмы детектирования и реагирования на киберугрозы. По нашему опыту, создание собственного SOC может занять года два, и это, повторюсь, при условии, что в компании уже внедрены базовые средства защиты.

Андрей Дугин: Во-первых, это межсетевой экран (firewall), который устанавливается на границе интернета и корпоративной сети и фильтрует трафик по протоколам, по портам, и по IP-адресам, ограничивая доступ к ней извне в соответствии с правилами.

Во-вторых, заказчик должен использовать сегментацию информационной сети, а в-третьих, на его серверах и рабочих станциях должно вестись логирование. С таким набором средств клиент уже может подключать центр мониторинга и реагирования на инциденты ИБ как услугу.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 2.4 т

Любой сервис-провайдер, и мы в том числе, соберет для него логи из всех этих источников воедино, сопоставит их и покажет, что можно считать инцидентом. И если таковой произойдет, то выдаст четкий план действий по его устранению.

Андрей Дугин: Да, потому что использование сервисов кибербезопасности вместо того, чтобы тратить деньги и время на построение собственного центра мониторинга кибербезопасности — это очень понятное бизнесу решение, оно проще с точки зрения обоснования бюджетов. А поскольку у провайдера услуг аутсорсинга информационной безопасности уже есть своя SIEM-система, то ему достаточно установить на площадке клиента выделенный сервер, который будет собирать логи и передавать их в ядро SOС, а также адаптировать уже принятые правила детектирования и реагирования на события ИБ к особенностям информационной инфраструктуры клиента.

По нашему опыту, подключение аутсорсингового SOC на относительно средний сегмент инфраструктуры может занять недели две. У нас есть клиент, которого мы подключили к нашему центру мониторинга и реагирования на кибератаки буквально за выходные.

Андрей Дугин: Для отражения кибератаки необходим доступ в некоторые корпоративные ИТ-системы и, зачастую, уровня администратора. Также заказчик и SOC должны сформировать регламент, определяющий, как осуществляется блокирование действий злоумышленника, что и с кем согласовывается, где регистрируются действия защитников. Обычно заказчик на уровне бизнеса выступает за реагирование силами специалистов внешнего SOC, а ИТ-служба — против.

Чаще всего клиент, который хочет получить сервис реагирования на кибератаки, соглашается предоставить нам доступы в том случае, если мы поддерживаем у него еще и средства защиты, подразумевающие блокировку — к примеру, Web Application Firewall (WAF), который не пропускает атаки на веб-сайт клиента.

В будущем наверняка все придет к тому, что клиенты будут постепенно отдавать поставщику сервисов кибербезопасности доступ и права администратора корпоративных систем в обмен на услугу реагирования на инциденты ИБ. Возможно, это будет предусматривать дополнительные меры контроля подрядчика, но в итоге рынок придет к этому.

Андрей Дугин: Сегодня к МТС SOC подключено более 30 компаний. С моей точки зрения, ранжировать клиентов на ключевых и не ключевых в зависимости от того, какую сумму денег они нам приносят, не совсем правильно. Мы любим всех и защищаем всех одинаково.

Андрей Дугин: Заказчиков у нас за это время стало больше примерно на 60%. Новые клиенты приходят из разных отраслей, так что явной зависимости от сектора экономики я не выделить не могу. В большинстве своем это компании среднего размера.

Те заказчики, с которыми мы работаем уже долгое время, тоже развивают сотрудничество: подключают новые источники событий, расширяют объем инфраструктуры под контролем SOC.

Андрей Дугин: Как и МТС в целом, мы стремимся к созданию экосистемы технологий кибербезопасности. С начала 2023 года мы вывели на рынок несколько новых сервисов нашего круглосуточного центра мониторинга, чтобы предлагать заказчикам полный цикл защиты от киберугроз.

Прежде всего, это анализ защищенности. Пентест можно заказать в дополнение к сервисам SOC, а можно отдельно, чтобы убедиться в защищенности компании. Наши специалисты проверят защиту на прочность и покажут возможные точки проникновения. Это поможет клиенту понять, какие участки внутренней сети требуют повышенного внимания. Затем консалтинг — он поможет выстроить эффективную стратегию управления информационной безопасностью с фокусом на наиболее критичные для бизнеса процессы и сегменты инфраструктуры.

Для обеспечения постоянной доступности онлайн-сервисов клиентов мы предлагаем сервис защиты от DDoS-атак любого уровня, для соответствия регуляторным требованиям — сервис для защиты каналов связи по сертифицированным ФСБ России криптографическим алгоритмам. Есть в нашем продуктовом портфеле и сервис Security Awareness, с помощью которого компании могут проверить реакцию своих сотрудников на фишинговые письма. Постепенно список сервисов будет расширяться, чтобы в итоге заказчик мог получить все необходимые технологии «из одного окна».

Когда у заказчика внедрено достаточно средств защиты и реализована функция мониторинга и реагирования на кибератаки, «белые хакеры» могут проверить ее эффективность методом Purple Teaming. По его итогам компания-заказчик получает отчет с информацией о том, насколько полную картину происходящего в инфраструктуре видит SOC, и получает рекомендации по реагированию на киберугрозы.

И, конечно, форензика. В случае, если произошел инцидент, мы подключаемся и расследуем причины и ход атаки. Часто наше сотрудничество с заказчиками начинается с этого этапа.

Мы готовы подключиться к защите заказчика на любом этапе построения комплексной системы «обороны» и предоставить тот объем сервисов, который необходим ему в данный момент. Среди прочего, гибкость — это то, что отличает нас от других игроков рынка.

Андрей Дугин: Личный кабинет — это наша система самообслуживания, которой охвачены все клиенты центра мониторинга и реагирования на инциденты ИБ. Заказчик всегда может зайти в личный кабинет и узнать, как обеспечивается его кибербезопасность: сколько и каких событий произошло, какова их динамика и распределение по статусам и уровням критичности, а также в наглядной форме в режиме онлайн получить статистику работы SOC и аналитику в разных срезах. Это делает работу и оценку эффективности центра мониторинга максимально прозрачной как для ИБ-директора, так и для владельцев бизнеса.

Впервые мы представляли нашу систему самообслуживания клиентов на SOC-Форуме в ноябре прошлого года, и коллегам по рынку она настолько понравилась, что многие из них начали делать что-то подобное.

Андрей Дугин: Развитие рынка на ближайшие год-два определяет один важный документ — это Указ Президента РФ № 250. Он обязывает многие российские корпорации и компании с 1 января 2025 года использовать российское программное обеспечение и российские программно-аппаратные комплексы в сфере информационной безопасности.

Благодаря этому нормативному документу российский рынок весь последний год всерьез работает над импортозамещением, чтобы успеть в срок изменить план защиты от киберугроз, задействовав в нем аппаратные и программные средства, произведенные, как минимум, дружественными государствами.

В этих условиях некоторые отечественные вендоры могут не стесняться, устанавливая цены, тем более, что зарубежных поставщиков на российском рынке больше нет. В этих условиях компании оказались перед выбором: либо самим строить SOC на отечественных программных продуктах, либо сделать ставку на сервисную модель. Таким образом, первый драйвер — это импортозамещение.

Второй драйвер — это рост рынка, появление новых групп потенциальных клиентов SOC. Одну из таких групп составляют «осиротевшие» российские «дочки» крупных международных компаний, ушедших с российского рынка. До недавних пор все средства информационной безопасности они получали из-за рубежа и никогда раньше глубоко в эти вопросы не погружались. Лишившись поддержки материнских компаний, они поняли, что теперь в отношении защиты от кибератак все зависит только от их собственных усилий. Для таких компаний модель «информационная безопасность как услуга» — просто находка. Во многом потому, что у поставщиков сервисов кибербезопасности есть квалифицированные специалисты, которых на рынке очень мало.

К другой группе новых клиентов я бы отнес российские компании, потреблявшие иностранные облачные сервисы информационной безопасности. Они поняли, что для минимизации кибер- и ряда других рисков нужно переходить на отечественные облака, где и заниматься вопросами безопасности. Эти заказчики обращают внимание на аутсорсинг SOC как наиболее эффективное и экономичное решение своих задач.

Андрей Дугин: Да, верно. Среди прочего, мы активно ведем проекты по защите заказчиков, которые являются клиентами МТС Cloud. Преимущество МТС — это экосистемность: компании могут получить все функции, технологии и решения, которые им необходимы — и облачные сервисы, и связь, и кибербезопасность, и многое другое.

Андрей Дугин: Мы заменили американскую SIEM-систему российской, поскольку на определенном этапе поняли, что придется отказываться от зарубежных решений и начали тестировать разработки разнообразных отечественных вендоров. И в процессе обнаружили, что российские SIEM-системы практически не уступают западным. Да, у них есть некоторые недостатки, но работать с ними можно. И в итоге перевели технологическую основу нашего МТС SOC на SIEM-систему «Лаборатории Касперского».

Андрей Дугин: При пессимистичном сценарии рынок будет, как говорят на биржах, «идти в боковике». Если все компании подумают, что они достигли требуемого уровня импортозамещения в области ИБ, то в результате, те, кто уже подключился к SOC, продолжат его использовать, а те, кто этого не сделал, так и не подключатся. В этом случае рынок будет пребывать в стагнации. Но все-таки учитывая то, что сейчас весь мир идет по пути цифровизации, чтобы оптимизировать бизнес-процессы и даже производственные процессы на промышленных предприятиях, этот сценарий маловероятен. Наоборот, требования к безопасности и к защите информации при переводе бизнеса в киберпространство станут еще строже. Если даже эта задача будет решаться каждой компанией самостоятельно, повысится спрос на консалтинг в области построения SOC. А если бизнес поймет, что с помощью аутсорсингового партнера можно оперативно внедрить системы защиты, выстроить процессы, полностью настроить правила выявления кибератак, нанять людей, обучить их, и дальше уже работать своими силами, это будет уже начало оптимистичного сценария.

Но у него тоже есть ограничение — кадровый голод. Для того, чтобы построить свой SOC, нужно нанять высококвалифицированных ИБ-специалистов. И потом их нужно занять интересной работой — если такой человек придет на высокую зарплату и маленький объем работы, он довольно скоро будет демотивирован, заскучает и начнет искать или дополнительную подработку, или более интересное место работы.

Поэтому я считаю, что Россия пойдет по оптимистичному сценарию: будет расти и рынок сервисов мониторинга и реагирования на кибератаки, и смежные услуги — анализ защищенности, консалтинг, расследование инцидентов. Это вызовет изменения и в подходах игроков рынка — они станут предлагать более широкий спектр услуг и сервисов кибербезопасности, станут более гибкими в ходе ведения проектов. Рынок станет более зрелым и доступным для большего числа заказчиков.