Редакция CISOCLUB поговорила с Анастасией Федоровой, директором по развитию SOC в компании K2 Кибербезопасность, о современных технологиях и подходах в работе Security Operations Center (SOC). В интервью она поделилась результатами опроса ИТ- и ИБ-директоров, проведенного летом, который показал активный рост интереса к SOC на российском рынке. Настоящая причина популярности SOC — усложняющиеся кибератаки и необходимость более комплексного подхода к защите активов компаний.
В ходе интервью Анастасия рассказала о ключевых СЗИ, таких как SIEM и SOAR, которые являются основой для эффективной работы SOC. Она объяснила, как правильно выбирать эти решения, опираясь на специфику бизнеса, и отметила важность автоматизации процессов реагирования. Отдельное внимание было уделено вопросам интеграции данных с разных источников и тому, как решения, такие как EDR и Threat Intelligence (TI), усиливают защиту компаний.
Также эксперт затронула одну из самых актуальных тем — использование машинного обучения и искусственного интеллекта в SOC. Хотя данные технологии еще не достигли полной зрелости для массового применения, их потенциал в анализе инцидентов и поиске аномалий уже приносит ощутимые результаты. Анастасия Федорова поделилась опытом компании в тестировании этих решений и дала советы по оценке эффективности и масштабируемости SOC.
Вы работаете с компаниями разных размеров и отраслей. Расскажите, насколько SOC в целом сейчас популярен на российском рынке?
Летом мы провели опрос 100+ ИТ- и ИБ-директоров среднего и крупного бизнеса. Почти половина (43%) опрошенных организаций заявили, что уже используют или планируют внедрить собственные или коммерческие SOC. Основная причина — атак все больше и они усложняются. Разрозненных СЗИ уже недостаточно. Поэтому компании активно идут в сторону более комплексного подхода к мониторингу и обеспечению кибербезопасности активов — SOC, который включает в себя и технологический стек, и процессы, и ИБ-профессионалов.
При этом SOC бывают разных видов и их можно классифицировать по очень разным критериям. Один из самых популярных видов типизации — с точки зрения распределения ответственности за основные компоненты (технологии, людей и процессы). Так SOC можно разделить на собственный (все полностью на стороне компании), модель MSSP (SOC как услуга — все на стороне провайдера услуги), гибридный (зоны ответственности разделены между заказчиком и провайдером услуги). Такой подход позволяет наглядно оценить, какая модель подойдет конкретно вам, т.к. учитывает самое важное: скорость получения услуги, объем бюджета, необходимые человеческие ресурсы для внедрения и поддержания технологического стека и ИТ-инфраструктуры, трудозатраты на поиск и прокачку сотрудников.
Конечно же, есть классификация и по технологическому стеку — по составу решений, вендорам, архитектуре. Здесь может быть очень много вариантов и универсального не существует. Все зависит от размеров, целей и возможностей бизнеса.
Какие технологии и программные средства являются основой для эффективной работы SOC?
Работа SOC обычно строится на платформе для сбора и хранения информации о событиях кибербезопасности и средств их корреляции. Чаще всего такими системами выступают решения класса SIEM (Security Information and Event Management). Но бывают и различные исключения. Например, решения типа SEM (Security Event Management) или LMS (Log Management System) для сбора, обработки и хранения данных, полученных из любых источников информации, а уже затем с помощью дополнительных скриптов автоматизации для выявления событий.
Следующим этапом подключаются решения для управления выявленными киберинцидентами, которые оркестрируют информацию о них, автоматизируют их обработку, позволяют контролировать таймлайны и установленные метрики результативности, содержащие управленческие дашборды и т.п. В зависимости от зрелости и исторических этапов развития SOC здесь используются решения классов SD, IRP и/или SOAR.
Зрелый и эффективный SOC невозможен без решений для сбора дополнительной информации с источников, проведения автоматического реагирования, выявления и управления уязвимостями, сопоставления событий с известными IoC. Поэтому поэтапно вводятся следующие технологии: EDR, Сканеры уязвимостей, TI-платформа, Песочницы (Sandbox) и т.д.
Если мы говорим о реальной эффективности, то в первую очередь необходимо обратить внимание на соответствие SOC вызовам и задачам бизнеса. Поэтому важным критерием здесь будет баланс между затратами на технологический стек, специалистов, совершенствование процессов SOC и повышение устойчивости бизнеса за счет минимизации числа киберинцидентов и их последствий, сокращения времени незащищенности (AIT) активов Компании.
Какую роль играют SIEM-системы в работе SOC, и какие критерии важны при выборе такого решения?
Для классического стека SOC системы класса SIEM являются основой. Ядром или сердцем. Это мастер-система, вокруг которой выстраивается весь остальной технологический блок. Критерии выбора SIEM зависят целей и типа организации. Для бизнесов разных размеров они будут принципиально разными. Например, небольшой компании без филиалов SIEM нужен просто для повышения собственной защищенности. Но есть те, кто оказывать услуги SOC на коммерческой основе и нужно что-то мощнее.
Три стандартных критерия:

Стабильная работа при высоких нагрузках. Здесь нужно обратить внимание на требования к необходимым мощностям оборудования для поддержки работоспособности самой системы и хранилищ данных.
Удобство в работе для аналитиков, разработчиков контента и администраторов системы.
Наличие функционала работы с событиями, возможность использования фильтров, групп событий, обогащения.

Конечно, большим преимуществом сейчас будет и использование микросервисной архитектуры.
Как инструменты автоматизации, такие как SOAR, помогают повысить эффективность работы SOC?
Решения SOAR и EDR уже зарекомендовали себя как высокоэффективные системы. Однако относиться к ним стоит внимательно, особенно при применении функций реагирования, ведущим к блокировкам и выводам хостов в изолированные сегменты. Вы должны быть уверены в идеальности/безопасности бизнес-процесса, чтобы избежать его прерывания, и понимать стоимость ошибки в случае его несогласованной, автоматической остановки.
SOAR-системы незаменимы как автоматические средства сбора информации с нескольких типов источников инцидентов (SIEM, DLP, Сканер уязвимостей и т.д.). А также для их дальнейшей обработки с помощью встроенной автоматизации с возможностью ретроспективного анализа по отдельным объектам включенным в инцидент (хост, пользователь, система). Кроме них сейчас начинают внедрять системы на основе LLM (Large Language Model), которые способны осуществлять контекстный поиск в базах знаний или исторических данных. Это поможет сильно облегчить работу аналитика.
Как оценить производительность и результативность используемых технологий и ПО в SOC?
Оценить результативность можно как минимум по двум критериям.
Во-первых, это окупаемость внедренной технологии. Ее особенно сложно оценивать для СЗИ, т.к. напрямую на бизнес-процессы внедренные технологии не влияют. Даже наоборот — при внедрении обычно активно следят, чтобы СЗИ не усложняли работу бизнес-пользователей и систем. Поэтому здесь мы оперируем либо минимизацией рисков и аналитикой по ущербу от инцидентов в отрасли/стране/мире, либо минимизацией и/или исключением недопустимых для бизнеса событий. В обоих случаях важно четко понимать, для каких целей мы внедряем то или иное средство, какие задачи оно решит, возможна ли альтернатива. При этом держим в голове, сколько ресурсов необходимо на внедрение, обслуживание, какие требования к мощностям и производительности и т.д. В качестве альтернативных вариантов можно и нужно рассматривать ИБ-сервисы.
Во-вторых, для определения производительности нужен постоянный мониторинг за загрузкой критичных СЗИ (SIEM, IRP, EDR и т.д.). При этом стоит обратить внимание на несколько параметров: загрузка систем в предельных границах и наличие «полок», т.е. одинаковых значений по нагрузке за определенный период. Все это сигнализирует о проблемах с производительностью, увеличивает время реакции систем и нарушает стабильность работы.
Как SOC интегрирует различные источники данных для анализа и корреляции событий безопасности?
Ключевым фактором при интеграции данных с различных источников является качественная проработка нормализаторов, определение набора необходимых полей и строгое соблюдение требований по занесению однотипной информации в определенные поля. В дальнейшем на основе собранной информации можно собирать сложные корреляционные правила, обогащать информацию дополнительными данными и IOC, качественно и быстро находить ее в базе.
Как выбирать инструменты для мониторинга сетевой безопасности и предотвращения вторжений (IDS/IPS) в контексте SOC?
Для SOC очень важным показателем является «общительность» источника. Поэтому необходимо смотреть на перечень событий, которыми могут делиться решения. Например, мы обращаем внимание, если система предоставляет не только свой внутренний ID сработки, но и данные о контексте: источник событий и атаки, пользователях и т.д. Также важна понятность и структура лог-файлов. Если вас устраивают эти показатели и не предвидится проблем с написанием нормализаторов, то лучше сосредоточиться на ключевых функциях IDS/IPS и соответствии решения функциональным и комплаенс требованиям.
Как решения классов EDR и TI интегрируются в работу SOC?
Для продвинутых и зрелых SOC решения EDR и TI — необходимость. Для небольших «домашних» SOC возможно приемлемое функционирование и без таких платформ.
Зрелые EDR-решения собирают и передают информацию (логи) о событиях, происходящих на конечных точках, а затем позволяют собирать (автоматически или в ручном режиме) дополнительную информацию с хостов (файлы, деревья процесса, сокеты и т.п.) и производят действия по реагированию (автоматически или в ручном режиме). Все эти операции позволяют значительно снизить нагрузку на SIEM-систему.
TI-платформы, в зависимости от уровня или типа (тактический, операционный, стратегический) либо хранят, агрегируют и генерируют наборы индикаторов (IOC) и передают их в платформы поиска и обогащения событий (например в SIEM), либо представляют из себя инструмент поиска и тогда в SIEM/IRP-систему передается только оповещение. TI — необходимое решение и для коммерческих SOC и для внутренних SOC крупных и территориально распределенных компаний.
Как технологии машинного обучения и искусственного интеллекта улучшают возможности SOC по обнаружению и реагированию на киберугрозы?
Сейчас тема ML и AI является одной из самых популярных. Многие вендоры заявляют о том, что применяют эти технологии для своих решений. Да и сами крупные SOC не стоят на месте. Но не все наработки достаточно зрелые. Пока им нельзя полностью доверять в настолько критичной сфере. Особенно в области принятия решений и реагирования, где цена ошибки может быть очень высокой.
При этом это вовсе не значит, что уже нельзя извлекать пользу из использования AI и ML. Например, мы тестируем применение ИИ для поиска информации в базах знаний и инцидентов, а также в индикаторах. Это позволяет значительно повысить качество аналитики, ускорить формирование ответов и получать дополнительную информацию о ранее случившихся подобных случаях. Также мы видим, что ИИ может использоваться как средство профилирования. Применение математических моделей может проанализировать и показать отклонения от типичного поведения пользователя или ПО, сформировав для аналитика дополнительные механизмы по выявлению инцидентов. Это очень мощный инструмент, в том числе против APT и 0-day.
Какие метрики и KPI используются для оценки эффективности SOC и его технологической инфраструктуры?
Самые распространенные показатели для контроля SOC: отклонения от SLA (MTTD, MTTT, MTTC), доля эскалации на L2, доля false к реальным инцидентам, время незащищенности (AIT) и т.д.
При этом все очень индивидуально. Мы для себя выделяем следующие критерии для метрик:

Уровень применения/использования метрик. Другими словами, для кого та или иная метрика необходима и кем контролируется. Для руководителя SOC это один набор метрик, а для руководителя L1 — другой
Неизбыточность, необходимость метрики, т.е. соответствует ли установленная метрика целям контроля, для которых создавалась. Позволяет ли она однозначно получать ответ, соответствует ли ожиданиям область контроля. Не собираем ли мы метрику только ради самой метрики.
Актуальность метрики — необходимость регулярного пересмотра критериев эффективности, отказ от избыточных и устаревших, разработка новых.

Как обеспечить масштабируемость технологий SOC для удовлетворения потребностей крупных корпоративных сетей?
В данном случае SOC мало чем отличается от сложных современных ИТ-систем. Поэтому и принципы для масштабируемости применяются аналогичные. В обязательном порядке необходимо деление на функциональные компоненты. Должна закладываться и обеспечиваться поддержка имеющегося множества компонентов, в т. ч. и устаревших и планируемых к замене. Обязательна балансировка между компонентами.
Какие вызовы стоят перед SOC при выборе инструментов для предотвращения киберугроз в условиях гибридных и распределенных IT-инфраструктур?
Чем сложнее инфраструктура, тем сложнее обеспечивать ее надежность и тем большему числу угроз она может быть подвержена. Одна из частых задач для SOC в таких инфраструктурах — проблема сбора событий. Здесь возникают сложности с их неоднородностью, неактуальностью имеющихся описаний (зачастую события им не соответствуют, включая RFC). Очень часто можно столкнуться с «пропажей» событий и «потерянными» источниками, когда ни ИБ- и ИТ-службы, ни администраторы не могут определить ответственных.
Здесь также есть проблема с нахождением баланса между получением максимально возможного числа событий (как с самого источника, так и с их объема) и экономической обоснованностью такого подхода. Конечно, зачастую хочется начать собирать «все, что есть». Но тут мы можем столкнуться со сложностями, как на этапе сбора и передачи событий, так и на этапе их хранения. Например, одно дополнительное событие в 10 секунд на инфраструктуре в 1000 хостов — это дополнительные 100 EPS и 100-400kbs в сети, дополнительные транзакции и порядка 8 Гб хранилища в сутки. При этом мы можем детектировать действие злоумышленника на соседних тактиках и техниках за счет уже полученных событий. Тогда сбор и хранение данного события могут быть избыточными.
Как в SOC может быть организовано тестирование и обновление технологий для поддержания актуальности и устойчивости к новым киберугрозам?
Для любого SOC, даже для недавно построенного, это очень важный вопрос. Об устаревании технологий стоит задуматься, как только вы «перерезали» виртуальную ленточку в честь открытия. Регулярный трендвотчинг, мониторинг профессиональных сообществ и новостей от вендоров и регуляторов — это необходимость для поддержки адекватного уровня развития SOC. При этом важно не только то, что происходит в нашей стране, но и на мировом рынке.
Хорошо помогает развитие TI стратегического уровня. Для тестирования новых технологий, безусловно, необходимо планировать ресурсы — финансовые, технологические и человеческие. Крупные компании организуют отдельные зоны для стендов, учебных полигонов, тестирования новых решений, обновлений, нового контента. Для них тестирование — это непрерывный процесс и включен в планы развития с закрепленными сроками и ответственными.
Не у всех компаний достаточно ресурсов для собственного трендвотчинга и тестовой базы. Им на помощь могут прийти обзоры вендоров, интеграторов, обмен опытом в сообществах и на конференциях. Также надеемся, что скоро можно будет получать дополнительную информацию от отраслевых центров по тестированию решений.