На сайте anti-malware опубликован анализ российского рынка услуг и продуктов для центров мониторинга и реагирования на инциденты информационной безопасности (SOC – Security Operation Center), который проводился в преддверии важного для отрасли мероприятия – SOC-Форума. Это, пожалуй, первая такая глубокая аналитика коммерческих SOC, которая вобрала в себя сравнение по 179 критериям, характеризующим полноту и качество предоставляемых услуг.
Для удобства все критерии разделены на следующие категории:
- Общие сведения
- Тестовый период
- Личный кабинет
- Мониторинг и управление событиями безопасности
- Управление инцидентами
- Расследование инцидентов
- Управление средствами защиты
- Услуги центра ГосСОПКА
- Дополнительные услуги
- Технологии поставщика SOC
- Персонал SOC
- Возможность двусторонней интеграции с инфраструктурой клиента
- Гарантии качества (SLA)
- Система оповещения и отчетность
- Режим работы и техническая поддержка
- Предоставление актуальных в рамках SOC средств защиты в аренду (MSSP)
- Ценовая политика
Для участия в сравнении было отобрано шесть наиболее известных в России коммерческих SOC: Solar JSOC, BI.ZONE SOC, IZ:SOC, Angara Cyber Resilience Center, JET CSIRT, CyberART (ранее — SOC ICL СТ).
Все перечисленные поставщики сервисов SOC активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении нет итогового ранжирования, потому что в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Можно сделать вывод, что понимание ключевых функций, которые должен выполнять коммерческий центр мониторинга информационной безопасности, сильно разнится. Во многом это по-прежнему объясняется уровнем зрелости рынка SOC в России, который отстает от общемировых тенденций. Однако появление серьезной конкуренции, которой не было еще 2-3 года назад, оказывает благоприятное влияние на общее качество услуги в стране. Так, всеми поставщиками SOC применяется актуальный стек технологий, а компетенции и численность персонала растут.
Удовлетворяя совершенно разноплановые запросы клиентов, сервис-провайдеры оказывают дополнительные услуги, фокусируясь не только на классической для SOC задаче мониторинга и оперативного реагирования на инциденты ИБ, расширяют список сценариев реагирования на инциденты. У всех поставщиков есть возможность оказания технической поддержки 24х7, но конкретная сервисная программа может зависеть от тарифа.
С учетом отечественного законодательства все без исключения рассматриваемые игроки имеют соответствующие лицензии регуляторов, основная из которых — ФСТЭК ТЗКИ с пунктом «в». А вот подтверждений качества со стороны внешних сертификаций по ИБ — немного.
Сроки подключения услуги в среднем 1 месяц, с возможностью предварительного тест-драйва. Личный кабинет специально под сервис разработан еще не всеми, но даже в его отсутствие есть возможность попасть в собственную консоль SIEM или IRP.
Отдельно стоит упомянуть услуги центра ГосСОПКА. В настоящий момент не каждый провайдер готов похвастаться большим количеством клиентов, по факту их — единицы. Кроме того, на момент написания сравнения некоторые SOC еще не успели заключить официальное соглашение с НКЦКИ. Однако инфраструктура, отвечающая требования регулятора, построена у всех рассматриваемых поставщиков услуги.
Ознакомиться со сравнением можно на сайте: https://www.anti-malware.ru/compare/SOC-Security-Operations-Center.