Как подготовиться к внедрению SOC в 2025 году
Сегодня мы живем в эпоху парадоксов: в то время, как цифровизация набирает обороты, бизнес становится все более уязвимым перед кибератаками. Чтобы защитить свои данные, российские компании внедряют SOC1 – подразделения, которые 24/7 отслеживают угрозы, анализируют произошедшие инциденты и реагируют на них. Но построение SOC требует не только технической экспертизы, но и грамотной стратегии его развития и улучшения внутренних процессов. О том, как подойти к внедрению SOC-центра, редакция Global CIO поговорила с ведущим системным архитектором ICL Services Тимуром Аиповым.
– Тимур, расскажите, пожалуйста, что сейчас происходит на российском рынке кибербезопасности? Чего ждать в 2025 году?
– В 2025 году рынок SOC продолжит развиваться. Требования к ИБ ужесточаются, все больше внимания уделяется защите персональных данных, предотвращению утечек информации и обеспечению безопасности инфраструктур. Этот тренд берет начало еще с появления ФЗ, Указов Президента, регламентирующих защиту данных в компаниях, а также проектов Минцифры России призванных обеспечить киберустойчивость информационных систем.
Еще одна заметная тенденция – активный переход компаний на российские решения. Импортозамещение в сфере информационной безопасности набирает обороты, и отечественные ИТ-компании расширяют линейки своих продуктов и услуг. Это открывает новые возможности для поставщиков услуг ИБ-аутсорсинга и SOC, а также повышает конкурентоспособность российских решений.
– И на этом фоне SOC-центры действительно становятся все более популярными в России?
– Да, SOC как услуга становится все более востребованным: уровень ответственности компаний за защиту корпоративных данных постоянно растет. Государственные регуляторы требуют внедрения дополнительных мер информационной безопасности, а также наличия ответственных специалистов внутри компании.
Если раньше бизнес редко задумывался о внедрении центра кибербезопасности, теперь это становится необходимостью. В частности, если компания обрабатывает персональные данные, она обязана соблюдать строгие регламенты по их защите. И именно SOC помогает бизнесу повысить уровень противодействия современным угрозам, снизить риски успешных кибератак за счет постоянного мониторинга и реагирования.
– Насколько нам известно, в ICL Services услуги SOC предоставляются уже давно. Расскажите, как все это зарождалось?
– Наша история SOC берет начало еще в 2007 году, когда мы начали предоставлять аутсорс-услуги по поддержке различных компонентов ИТ-инфраструктуры – серверов, баз данных и других инструментов. Первоначально вся наша работа в этой сфере развивалась в рамках зарубежного направления – мы работали с крупными международными заказчиками в стратегическом партнерстве с компанией Fujitsu. Это дало нам сильный старт – мы получали хороший опыт в выстраивании процессов, организации взаимодействия, применении лучших практик.
Вначале иностранные компании с осторожностью относились к передаче сервисов ИБ в Россию. В глазах многих западных заказчиков сохранялись стереотипы о «русских хакерах» и других предубеждениях, но со временем мы смогли завоевать их доверие, начав с менее значимых направлений.
Сначала мы взяли на себя поддержку сетей, затем расширили экспертизу на управление межсетевыми экранами – это уже часть инфраструктурной безопасности. Далее подключили поддержку серверов, антивирусных решений. Постепенно нам удалось взять под контроль весь спектр сервисов, связанных с кибербезом.
Постепенно мы доказали свою экономическую эффективность, ведь наши клиенты находились на европейском рынке, где стоимость труда значительно выше. В то время как Индия предлагала более дешевые услуги, мы смогли найти баланс между ценой и качеством, что сделало нас конкурентоспособными.
Крупные международные заказчики, имея сеть филиалов по всему миру, начали задумываться о круглосуточной поддержке, и на тот момент SOC уже стал органичной частью наших услуг. Мы ориентировались на мировые ИТ-тренды, вкладывались в сертификацию и обучение специалистов, чтобы соответствовать мировому уровню.
– Для многих провайдеров ИТ-услуг ситуация сильно изменилась после событий 2022 года. Как было в вашем случае?
– Да, в 2022 году российский рынок кибербезопасности изменился кардинально. Многие западные вендоры ушли, что вынудило компании искать альтернативные решения. В этот период мы стали активно сотрудничать с российскими вендорами и выстраивать экосистему SOC на отечественных технологиях, что активно продолжаем делать и сейчас.
Кроме того, повысился спрос на наши услуги со стороны российских заказчиков. Если раньше бизнес мог позволить себе не задумываться о киберугрозах, то теперь регуляторные требования заставляют компании инвестировать в безопасность. Это привело к стремительному росту спроса на SOC-услуги на аутсорсе. И сегодня это не просто тренд – это стратегическая необходимость для бизнеса, который работает с данными и хочет защитить себя от угроз.
– У вас действительно большая экспертиза. Тимур, можете ли рассказать о реализованных проектах?
– В рамках работы с клиентами, если у них появлялась потребность в сервисах информационной безопасности, мы предлагали соответствующие решения. На определенных этапах мы брали на себя полный цикл задач по информационной безопасности для заказчиков, замещая либо дополняя роль CISO или менеджера по ИБ.
Кроме того, мы активно участвовали в проведении аудитов. В ряде отраслей компании обязаны проходить регуляторные проверки. Ранее это выполняли аудиторы из «большой четверки» (KPMG, Deloitte и другие) – в таких случаях мы помогали клиентам приводить их ИБ-инфраструктуру в соответствие с требованиями регуляторов и стандартов.
Работая с разными заказчиками, мы анализировали их потребности, понимали требования аудиторов и адаптировали сервисы под специфические задачи. Например, если аудит выявлял необходимость внедрения новых систем защиты, мы предлагали их не только конкретному заказчику, но и другим клиентам, для которых это могло быть актуально.
– Тимур, а кому вообще нужен аутсорс SOC-центра? Какие компании действительно в нем нуждаются, а какие – нет?
– На самом деле, SOC может быть полезен самым разным компаниям. Если говорить о конкретных сферах, то в первую очередь это государственный и финансовый сектора, включая банки, страховые компании и прочие организации, что подчиняются требованиям регуляторов. Также здравоохранение: здесь необходимо защищать конфиденциальные данные пациентов.
Конечно, сейчас это энергетика и промышленность – крупные предприятия, которые часто становятся объектами кибератак, в условиях современной геополитической обстановки. И, разумеется, ритейл и e-commerce – особенно компании, для которых важна бесперебойная работа в периоды высоких продаж. Помню, у нас был заказчик, занимающийся продажей «люксовых» товаров, и для них критично было обеспечить максимальную доступность инфраструктуры в новогодние распродажи и другие пиковые периоды.
К тому же, маленькой компании он может быть не нужен, но если она приобретает активы с особыми требованиями к безопасности или начинает работать с чувствительной информацией, то потребность в SOC становится очевидной.
– Что нужно учитывать при внедрении SOC?
– Основная проблема в том, что многие воспринимают SOC как нечто абстрактное: «Нам нужен SOC, потому что он есть у всех». Но без четкой стратегии, понимания задач и окупаемости Центр может превратиться в дорогой, но малоэффективный инструмент. SOC – это не просто команда, а культура информационной безопасности, что должна быть встроена в бизнес-процессы.
В первую очередь, необходимо определить риски, оценить уровень их влияния на бизнес и последствия, и если финансовые потери, значительно превышают стоимость владения SOC, то конечно же необходимо его внедрять.
Второй важный аспект – инфраструктура. Нужно понимать, какие источники логов использовать, какие технологии SIEM2 подойдут для анализа событий и важных компонентов инфраструктуры, которые надлежит мониторить и контролировать. Ну нельзя забывать о людях. Без подготовленных аналитиков и инженеров даже самые современные системы не смогут эффективно защищать компанию.
– Тимур, вот мы и подобрались к самому главному: как же внедрить SOC?
Когда вы выбрали провайдера услуг, важно удостовериться, что его команда способна покрыть все ваши потребности. Например, некоторые провайдеры предлагают лишь базовый мониторинг, в то время как другие могут предложить более широкий спектр услуг, включая реагирование и рекомендации по инцидентам, а также постоянное улучшение внутренних процессов и сценариев реагирования – как мы в ICL Services, к примеру.
После выбора поставщика и услуг, необходимо провести пилотное тестирование, чтобы проверить, насколько их решения помогут решить ваши ИБ-задачи. Это также позволит выявить потенциальные пробелы и улучшить интеграцию с существующими системами (например, антивирусами, межсетевыми экранами).
Следующий шаг – это интеграция решения в инфраструктуру. Здесь важно настроить взаимодействие между SOC и существующими системами, серверами и приложениями. Также нужно провести настройку для отслеживания событий и активов, выделяя особенно критические компоненты.
После интеграции необходимо выстроить процесс взаимодействия между заказчиком и подрядчиком, распределив зоны ответственности. Важно, чтобы заказчик понимал, кто и когда будет вовлечен в расследование инцидентов. После этих этапов проводится тестирование всей работы SOC. При необходимости вносятся коррективы, обновляется документация и переходят к эксплуатации.
Ну и главное: SOC должен быть готов к инцидентам, а не работать в «режиме пожаротушения». Поэтому нужно время от времени проводить учения, имитировать атаки, тестировать планы реагирования и быть постоянно в курсе постоянно совершенствующихся методов атак и других киберугроз.
– Спасибо Вам за увлекательную беседу!
Спикер – Тимур Аипов, старший системный архитектор ICL Services.
1 от англ. Security Operations Center – Центр управления кибербезопасностью.
2 от англ. Security Information and Event Management – управление событиями и информацией о безопасности.
