13.11.15

Positive отказался от вывода своего SOCа на рынок!

Знаете ли вы сколько продуктов/решений по ИБ вы используете в своей сети? 5, 10, 20?.. А сколько их существует в России? А в мире? Начнем с последнего вопроса. На последней RSA Conference было представлено около 400 мировых игроков в области информационной безопасности. За последние пять лет свыше 1200 ИБ-стартапов получили инвестиции на свое развитие.

Из презентации Cisco по проблемам ИБ
Если верить статистике InfoSecurity Russia 2015, то на стендах было выставлено 344 продукта по ИБ, а игроков было представлено больше 75. А теперь подумайте над первым вопросом. Сколько разных у вас МСЭ, IDS, NGFW, антивирусов, SIEM, DLP, средств контентной фильтрации, NAC, IdM, шифровалок, СЗИ от НСД, сканеров безопасности, PKI, средств ЭП? Уже с десяток только типов средств защиты. А если они местами дублируют друг друга. А местами они от разных производителей. А еще разные системы стоят в разных местах сети (на периметре, на серверах, на рабочих станциях).

По данным Cisco среднее предприятие в США использует средства 54 разных производителей ИБ. По версии Symantec, среднее предприятие использует 75 (!) разных средств защиты. Идеально было бы завести это все на SIEM/SOC (не буду делать пока разницы между ними, тем более, что и так мало кто это деление делает). И вот тут мы упираемся в ограничения современных SIEM-решений. Они обычно поддерживают только самые распространенные решения по ИБ или используют общие для всех механизмы сбора событий (тот же Syslog), ни фига не понимая сути получаемых сигналов. Учитывая, что в России пока наибольшей популярностью пользуются импортопоканезапрещенные SIEM, то многих привычных в России средств защиты они не понимают.

Можно, конечно, разработать свои коннекторы. Так, например, было сделано в Splunk для решений "Кода безопасности" (SSEP, Континент, vGate, Secret Net) и используется в Многофункциональном миграционном центре г.Москвы. Но это частный случай. Продуктов все равно на рынке больше больше.

Splunk Smart Monitor с подключенными решениями "Коде безопасности"
Что делать? Можно ограничиться только некоторыми, самыми распространенными решениями. Так поступили в  SOCе "Перспективного мониторинга" (дочка Инфотекс). Тоже вариант и достаточно распространенный. Подключение всех нетиповых продуктов решается в каждом случае отдельно.

Центр мониторинга "Перспективного мониторинга"
Есть третий путь. Его озвучил на SOC Forum Алексей Качалин из Positive Technologies. По его словам, в компании проанализировали ситуацию на рынке и поняли, что не смогут подключить к уже созданному SOCу все имеющиеся у заказчиков средства защиты. Половинчатое решение Positive не устроило и они приняли решение... не выводить свой SOC на рынок! Фанфары!!!


Это было фееричное заявление, сорвавшее если не бурю, то маленький тайфунчик аплодисментов. На самом деле, PT решили пойти немного иным путем. Они трансформировали свое видение SOC в ESC (Expert Security Center), который и предлагает свои услуги другим SOCам или MSSP, работающим на российском рынке. По сути речь идет о субподряде, в рамках которого эксперты Positive Technologies берут на себя часть задач, решаемых SOC.

ЗЫ. Вы думали, что утренняя заметка про SOC Forum была последней в череде публикаций на тему SOCов? Нет! Все только начинается. Планы у меня есть еще на несколько заметок.