UserGate: SOCaaS по правилам заказчика
Securitymedia.org
UserGate: SOCaaS по правилам заказчика
13.06.2024
Все больше российских ИБ-компаний выходят на рынок с услугами по подключению к внешнему SOC. И это объяснимо, ведь все больше компаний ощущают необходимость в услугах ИБ, но при этом не обладают достаточной экспертизой и ресурсами для построения собственного центра мониторинга и реагирования.
В рамках V конференции UserGate специалисты компании, CISO Дмитрий Кузеванов и SOC Lead Дмитрий Шулинин, рассказали о SOC UserGate: как и кем создавался центр мониторинга, в чем его особенности и конкурентные преимущества, а также о SOCaaS-модели
Информационная безопасность материальна
Дмитрий Кузеванов в своем выступлении раскрыл тему того, что последствия инцидентов информационной безопасности находятся не только в виртуальном мире, но и в физическом. Достаточно посмотреть на уровень цифровизации вокруг нас – у каждого в руках есть смартфон, с помощью которого используются различные сервисы – банковские, такси, заказ еды и так далее. Поэтому любые инциденты в ИТ непосредственно касаются каждого человека.
Дмитрий Кузеванов
CISO UserGate
Противостояние в ИБ – это, без преувеличений, «битва на смерть». С 2016 по 2021 год в результате атак шифровальщиков на медицинские учреждения в США умерло от 42 до 67 пациентов. Буквально на днях, 17 апреля, медицинский центр в французских Каннах (CHC-SV) объявил о хакерской атаке, которая привела к тому, что госпиталю пришлось прекратить проведение многих врачебных операций из-за недоступности медицинских систем.
При этом, рынок труда не поспевает за темпами роста угроз в киберпространстве. Хороших специалистов с опытом крайне мало, а спрос на них велик. Как отметил Дмитрий Кузеванов, большинство специалистов по информационной безопасности предпочитают работать у вендоров ИБ, в том числе и в UserGate.
Как и почему появился SOC UseGate
При построении и развитии центра мониторинга UserGate привлек большую команду специалистов с высоким уровнем компетенций. Эти люди строили SOC, обрабатывающие более 200 тыс EPS, в крупнейших IT-компаниях РФ.
Обладая таким объемом разносторонней экспертизы в сфере мониторинга и реагирования, компания решила поделиться ею в формате коммерческих услуг, которые в совокупности представляют собой полноценный внешний SOC. Он базируется на трех составляющих.
Первая – это профессиональная команда. В UserGate собралась команда специалистов, которые построили высоконагруженный SOC в одной из компаний ИТ-лидеров российского сегмента. Это SOC, который распределен по пяти data-центрам. Включает в себя кластер SIEM более чем из 600 узлов. Он обрабатывает и хранит порядка 8 Пб данных.
Ежесекундно этот SOC получает на вход более 200 тысяч событий информационной безопасности и телеметрии. Аналитики обрабатывают более 500 подозрений на инцидент в сутки. Для примера, инфраструктура средней по объему компании производит около 10 тысяч событий ИБ в секунду.
Вторая составляющая SOC – это техника. UserGate разбили техническую реализацию на три этапа, которые различаются по функционалу:
- на первом этапе предоставляется функционал мониторинга и оповещения;
- на втором этапе добавляется функционал личного кабинета. Это индивидуальное пространство для клиента, где он может посмотреть различную информацию о работе сервиса. начиная с графиков по работе сервиса и заканчивая карточками инцидентов;
- на третьем этапе появляется функционал реагирования. Реализация этого этапа требует гораздо более глубокой интеграции систем SOC UserGate в системы защищаемой инфраструктуры и погружения аналитиков в специфику защищаемого объекта.
Третья составляющая SOC UserGate – процессы. Именно процессы связывают все компоненты SOC между собой, а также описывают взаимодействие с внешними системами. Процессная модель, используемая в SOC UserGate, опирается на лучшие практики и мировые стандарты индустрии, а также обогащена накопленным командой опытом.
SOC as a Service
Дмитрий Шулинин, SOC Lead UserGate, в своем выступлении подробнее рассказал о том, что представляет собой внешний SOC. Это полноценный сервис, который предлагает заказчику весь комплекс услуг, связанных с мониторингом и реагированием, и именно:
- мониторинг событий;
- выявление и оповещение об инцидентах;
- поддержка в процессах реагирования и расследования инцидентов;
- реагирование на инциденты.
Центр мониторинга информационной безопасности (SOC) – это многомерная структура, которая занимается мониторингом и реагированием на инциденты информационной безопасности. SOC включает в себя систему мониторинга и распознавания угроз, аппаратную ИТ-инфраструктуру, и что важнее всего – команду опытных аналитиков, разработчиков и инженеров.
Дмитрий Шулинин
SOC Lead UserGate
Мы создаем сервис для людей, который поможет решить проблемы, а не будет навязывать свои порядки и устои. Именно поэтому мы стараемся сделать его максимально гибким в различных плоскостях. Это различные схемы внедрения коллекторов логов, варианты подключения источников (в том числе и не типовых), разработка правил выявления инцидентов под клиента, различные формы оплаты и отчетности, а также методы оповещения и схемы эскалации.
Важное преимущество UserGate SOC – это внимание не только к технической, но и к экономической стороне вопроса. По словам Дмитрия Шулинина создавая SOC, как коммерческий продукт, в UserGate стремились сделать доступный и, в тоже время, качественный сервис по мониторингу и реагированию на инциденты. Максимально адаптированный под те компании, которые уже осознали и почувствовали необходимость организации этого процесса, но пока не могут построить собственный SOC.
К числу преимуществ SOC UserGate можно отнести:
- уменьшение бюджета по сравнению с In-House SOC;
- команду профессионалов;
- доступ к лучшим практикам информационной безопасности;
- понижение риска негативных последствий инцидентов;
- снижение нагрузки внутренних команд;
- высокую и быструю масштабируемость;
- круглосуточный мониторинг инфраструктуры.
Каналами оповещения могут быть разные источники – мессенджеры, электронная почта, телефон и так далее. В процессе работы заказчик получает еженедельную и ежемесячную отчетность.
В еженедельные отчеты SOC входит перечень обработанных алертов и перечень зафиксированных инцидентов. В ежемесячный отчет, помимо указанных выше метрик, входят количество обработанной телеметрии и статистика по SLA.
«Что под капотом» у UserGate SOC
Выступления спикеров в рамках V конференции UserGate говорят о том, что в ядре UserGate SOC лежат высокий уровень экспертизы и ориентированность на запросы клиентов, готовность учитывать особенности их инфраструктуры и используемого ПО.
Дмитрий Шулинин
SOC Lead UserGate
Мы делали сервис, который разгрузит внутренние команды информационной безопасности, будет гибким и пластичным, чтобы расти и развиваться с защищаемой инфраструктурой. Наш SOC работает 365 дней в году, 24 часа в сутки, чтобы вы могли заниматься развитием своего бизнеса, пока мы защищаем вас.
В рамках реализуемой UserGate концепции SOCaaS (Центр мониторинга и реагирования как услуга) компания предлагает комплекс услуг «под ключ» – то есть полноценный SOC, позволяющий минимизировать количество ИБ-специалистов заказчика.
erid: 2SDnjd1WFXw
* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256
Популярные публикации
Хотите быть в курсе последних новостей?
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться