- Введение
- Основные сервисы вендорского mdr
- Soc –> soc-mdr –> mdr
- Гарантии качества (sla)
- Детектирующие технологии (detect)
- Дополнительные вендорские сервисы
- Интеграция со сторонними решениями
- Личный кабинет (клиентский портал)
- Методология сравнения сервисов managed detection and response
- Общие сведения
- Особенности подключения сервиса вендорского mdr
- Персонал вендорского mdr
- Режим работы и техническая поддержка
- Система оповещения и отчётность (для детектирования, анализа и реагирования)
- Тестовый период
- Технологии расследования (investigation)
- Технологии реагирования (response)
- Ценовая политика
- Выводы
Введение
В третьей части сравнения сервисов, так или иначе связанных с реагированием на угрозы безопасности и расследованием киберинцидентов в России, мы частично отошли в сторону от SOC. Изучению подверглись крупные вендоры, логичным развитием бизнеса для которых стало предоставление сервиса Managed Detection and Response (обнаружение киберугроз и реагирование на них; далее мы будем использовать аббревиатуру MDR).
Отличительной чертой здесь является нативная интеграция с линейкой своих продуктов при необязательности требования подключать сторонние. Такие вендорские сервисы являются реальной альтернативой услугам коммерческих SOC и часто воспринимаются на рынке как конкурентные предложения.
При подготовке материала мы изначально рассчитывали включить в сравнение не только отечественных сервис-провайдеров, но и зарубежных (Cisco, Symantec, Trend Micro). Однако в процессе плотного общения с вендорами оказалось, что иностранцы если и готовы оказывать услуги коммерческого SOC (и тем более — MDR)
в России, то крайне ограниченному кругу заказчиков. Это связано с рядом сложностей. Во-первых, для оказания услуг по мониторингу инцидентов нужна лицензия ФСТЭК России на ТЗКИ (деятельность по технической защите информации), оформленная на российское юридическое лицо.
Во-вторых, центр мониторинга и реагирования должен располагаться на территории Российской Федерации, а также быть аттестованным и иметь в своём составе сертифицированные средства защиты информации. В итоге предоставление услуг SOC или MDR зарубежными компаниями в России выглядит малореалистичным, особенно если учитывать ещё и сложившуюся геополитическую обстановку.
Большинство вендорских сервисов MDR развивалось на базе собственных технологий и решений, благодаря чему достигается естественная синергия. Централизованная система управления (а иногда — и отдельные продукты) выносится в облако поставщика, а клиенту предоставляется интерфейс для мониторинга ситуации или управления.
Как правило, производители в данном случае готовы брать на себя рутину администрирования конкретных средств защиты, предлагая клиенту ориентироваться на контрольные панели (дашборды) или вовсе предоставляя периодические отчёты. Такой подход имеет свои преимущества.
Во-первых, вендор наиболее компетентен в применении собственных решений, поэтому готов отвечать за сервисы на их базе. Во-вторых, это позволяет не распылять усилия и не гнаться за интеграцией всего «зоопарка» продуктов ИБ, чтобы удовлетворить потребности клиентов в подключении «очередной сотни» источников событий.
В-третьих, наличие у разработчика услуг по обеспечению кибербезопасности на базе собственных решений говорит о его зрелости на рынке. В его портфеле обязательно присутствует хотя бы один сложный комплексный продукт (как правило, решение класса anti-APT).
Кроме того, он может себе позволить растить и поддерживать сервисные компетенции, что формирует определённый уровень доверия и к продуктам, и к услугам. Таким образом, основное отличие от SOC здесь состоит в концентрации на глубине и инструментах исследования угрозы, а не на широте работы с большим количеством инцидентов.
Чтобы сфокусировать внимание читателей на сервисах и их содержании, мы предлагаем в данном случае не относить компании-производители исключительно к одной категории: SOC, MSSP, CERT, CSIRT и прочим. С учётом этой оговорки будем использовать выражение «услуги MDR от производителей средств защиты» (или сокращение «вендорский MDR») как наиболее подходящее по смыслу.
Ключевые отличия сервисов Managed Detection and Response:
- как правило, обязательное применение собственных продуктов;
- активное использование проактивного обнаружения угроз (Threat Hunting);
- собственная киберразведка (Threat Intelligence, пополняемая база знаний об угрозах);
- активное реагирование на инциденты безопасности (как правило, с помощью собственных решений);
- использование специфических типов событий для детектирования атак;
- требование анализа телеметрии с сети и конечной точки;
- глубокие и редкие знания специалистов (часто — разработчиков) в весьма нишевых областях.
Основные сервисы вендорского mdr
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Бизнес-отчёты о ситуации в киберпространстве для руководства | Да | Да, продаётся отдельно | Да |
| Аналитические отчёты о целевых (APT) атаках | Да | Да, продаётся отдельно | Да |
| Мониторинг ботнет-угроз | Да | Да | Да |
| Мониторинг фишинговых угроз | Да | Да | Да |
| Мониторинг публичных утечек данных | Да | Да | Да |
| Мониторинг открытых источников, социальных сетей, участие в сообществе | Да | Да | Да |
| Мониторинг теневых площадок и форумов | Да | Да | Да |
| Мониторинг интернета на уровне провайдеров (ISP) | Да | Да | Нет |
| Сбор данных с собственной распределённой по интернету системы ловушек (honeypots) | Да | Да | Да |
| Ретроспективный (индивидуализированный) анализ событий ИБ | Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента | Да, в зависимости от тарифа: MDR Optimum — анализ событий за заданный промежуток времени проводится с использованием артефактов и образцов вендора; MDR Expert — клиент может предоставить свои образцы | Да, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента для выявления возможных пропущенных инцидентов |
| Периодические индивидуализированные отчёты для целевого детектирования потенциальных атак | Да, по согласованию с заказчиком | Только по запросу | Да, по запросу |
| Предоставление потоков данных об угрозах (feeds) | Да | Да | Да |
| Предоставление репутационных данных (reputation feeds) | Да | Да | Да |
| Платформа для самостоятельного исследования индикаторов угроз | Да | Да, продаётся отдельно | Да |
| Специализированный непрерывный сервис обнаружения целевых атак | Да | Да | Да |
| Глубокий анализ атаки снаружи: атрибуция, предметная область, классификация | Да: источник (география, мотивация, атрибуция до преступной группы, целевой объект); цель (география, отрасль, целевая ИС); угроза (инструменты, способы распространения, риски, категория); описание атаки; индикаторы; рекомендации | Да, предоставляется анализ используемых тактик и методов, включая анализ вредоносных программ, эксплойтов, CnC, целей злоумышленников и их атрибуции | Да: атрибуция, классификация, предметная область |
| Глубокий анализ атаки внутри: возникновение и распространение в инфраструктуре, хронология | Да, предоставляется полное описание атаки (насколько это возможно, в зависимости от количества собранных данных) с временными метками событий, полученными по результатам анализа. Тактики и техники атакующих расписываются в соответствии с матрицей MITRE ATT&CK | Да, предоставляется отдельной услугой или в пакете с MDR | Да: хронология инцидента, перечень затронутых активов, экспертная оценка значимости, артефакты. Оценка цели злоумышленника. Долгосрочный и краткосрочный план реагирования |
| Выявление затронутых активов и оценка ущерба | Да | Да | Да |
| Экспертная поддержка при реагировании на атаку: удалённо | Да: 24х7, время реакции от 3 часов | Да, с понедельника по пятницу с 10:00 до 18:30 (GMT 1) | Да, в двух форматах в зависимости от тарифа: 24х7 или 8х5 |
| Экспертная поддержка при реагировании на атаку: выезд | Да: по согласованию с клиентом, время реакции от 3 часов | Да, 24х7 | Да, на следующий рабочий день |
| Рекомендации по оперативному восстановлению после атаки | Да, отчёт с рекомендациями | Да: автоматизированный сценарий (playbook); инструкции в виде набора необходимых действий; сервис Incident Response Retainer | Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента |
| Ретроспективный анализ атаки, разработка плана корректировки механизмов защиты | Да, отчёт с рекомендациями | Да, ретроспективный анализ (зависит от глубины хранения телеметрии, по умолчанию — 3 месяца). Разработка плана корректировки механизмов защиты — отдельный консалтинговый проект | Да, в формате рекомендаций с учётом уровня значимости и классификации инцидента |
Soc –> soc-mdr –> mdr
Намедни вышла очередная статья об очередном анализе рынка услуг операционной безопасности. Хороший обзор, собрано много информации, за что следует поблагодарить автора. Мы давно знакомы с Сашей, можно сказать, приятели, поэтому считаю правильным со своей стороны немного дополнить это исследование, на мой взгляд, важной информацией, которая будет полезна для принимающих решение о выборе того или иного поставщика услуг.
Я не буду заострять внимание на мелких неточностях, вроде того, что SOC занимается только мониторингом (хотя сам дальнейшее повествование построю именно в рамках этого сужения), а перейду к наиболее важным моментам.
В статье автор выделяет три вида SOC:
Создается впечатление, что в статье эти модели разделяются – это некорректно, а поскольку момент принципиальный о нем и поговорим в этой заметкестатье.
Ни для кого не секрет, что безопасность всегда немного позади: сначала придумали холодное оружие, потом – рыцарские доспехи, луки – щиты, огнестрельное оружие – бронежилеты и танки; перехват и подмена сообщений – шифрование трафика и взаимная аутентификация отправителей и получателей, вредоносное ПО – антивирусы, целевые атаки – новые подходы к обнаружению. Причем эти новые подходы, как правило, более комплексные, чем предыдущие, как танк столь же эффективен и против легкого огнестрельного оружия, и против более архаичных – конных лучников или Македонской фаланги, так и реальная NG-защита – это не то, что защищает только от NG-угроз и пропускает неNG-угрозы, но и защищает и от “классических” атак и NG тоже .
Мы все много делали усилий по цифровизации, элекронизации, диджитализации и т.п. и в итоге перенесли большую часть бизнесовых рисков в область ИТ, что позволяет воровать деньги и останавливать предприятия не вставая с места, двигая только пальцами. Производители ИТ тоже проделали огромную работу. и безопасность систем за последние годы радикально выросла – это хорошо. Но, беря во внимание первое предложение этого абзаца, – мотивация атакующих ничуть не ослабла, поэтому в итоге мы получили повышение сложностистоимости атаки – атаки стали целевыми. Получив трансформацию ландшафта угроз, мы вынуждены трансформировать подходы к обеспечению безопасности в наиболее общем смысле этого слова – изменить технологии, изменить процессы, изменить понимание и сознание, ломать стереотипы. При этом, конечно же не надо думать, что раз сейчас все атаки – целевые, и нам нужны только next-gen-ы, а “простых” атак и “вирусов” нет. Конечно же это не так, – атакующий всегда пойдет по наиболее дешевому пути, и, если инфраструктура может быть поломана элементарным способом, он и будет им использоваться, а высокоразвитвый зрелый клиент будет скомпрометирован высокотехнологичной продвинутой атакой .
Но вернемся к обсуждаемой статье на Anti-Malware. Приведенные выше модели – это одни и те же подразделения операционной безопасности, но на разных этапах зрелости. Классический SOC, разгребающий события неправильной аутентификации, алерты сетевых систем обнаружения вторжений – то, что было раньше, и сейчас, очевидно, этого недостаточно, чтобы обнаруживать современные техники проведения атак. Если мы говорим о целевых атаках, когда и применяемые атакующими техники и, тем более инструменты, никогда ранее не были известны производителям используемых систем обнаружения, то здесь нужны возможности по проведению исследований. И эту проблему решает, пользуясь терминологией статьи, как раз модель MDR. С точки зрения сервиса SOC Обнаружение атак – MDR на текущий момент времени наивысшая ступень зрелости, так как его подходы являются наиболее комплексными для противодействия современным атакам, при этом, безусловно, не игнорируя “классические”, так как, как отмечено выше, продвинутый атакующий будет использовать те подходы, которые будут давать результат и при этом являться наиболее дешевыми. Два понятия “Обнаружение атак” и “Исследования” я выделил курсивом потому что их надо пояснить.
Обнаружение и расследование атак – основной сервис операционной безопасности, поскольку его цель совпадает с целью всего направления операционной безопасности (вынесем за скобки вопросы администрирования систем безопасности, выполняющих предотвращение возможных атак, снижающих их поверхность, к тому же, нередко это выполняется подразделениями ИТ). В этом несложно убедиться, если проанализировать другие сервисы SOC:
- Инвентаризация активов – для понимания, что может быть атаковано
- Управление уязвимостями – для понимания есть ли явные возможности для атаки
- Анализ угроз – для понимания, откуда может прийти атака
- Повышение осведомленности – то же, что и управление уязвимостями, так как латать дырки нужно не только в железе и софте, но и в сознании пользователей
- Управление инцидентами – операционная поддержка процесса обнаружения атак
- Реагирование на инциденты – часть Управления инцидентами
- Анализ результатов и совершенствование – часть Управления инцидентами
- …
Т.е. если MDR хорошо решает только задачу обнаружения атак, это не значит, что он делает не все. Вся ИБ в конечном счете про обнаружение атак, а остальные процессы – сопутствующие, в той или иной степени повышающие эффективность основного процесса обнаружения атак.
Про исследования я много где говорил, еще даже до того, как стал работать в компании , в которой бОльшая часть сотрудников занимается исключительно исследованиями. По-моему очевидно, что если мы претендуем на способность обнаружения уникальных атак, мы обязаны иметь зрелую практику проведения уникальных исследований. Потому что Threat hunting – это не что иное как перенос этой практики уникальных исследований в инфраструктура заказчика. Прошло то время, когда любую атаку можно заблаговременно найти в Интернете, выпустить детект и защитить клиентов. Целевую атаку можно найти только в целевой инфраструктуре, а значит те же подходы, применяемые при поиске в Интернете надо повторить в кастомизированном клиентском окружении. Собственные исследования – ключевой момент, дающий возможность заниматься Threat hunting-ом. Все очень просто: если поставщик за всю свою историю не выявил не одной АРТ, на чем основано утверждение, что он обнаружит целевую атаку в инфраструктуре заказчика? Наличие собственной зрелой практики глубоких исследований – наиболее объективное подтверждение компетентности в выполнении активного поиска угроз (Threat hunting). Кроме того, надо понимать, что любая АРТ с момента выявления становится операционной историей, требующей постоянного отслеживания – за АРТ стоят конкретные группы людей, которые изобретают новые техники, инструменты, у них меняется сфера интересов, мотивация … жизнь кипит… – эти изменения должны своевременно отслеживаться и должным образом адресовываться технологически-продуктово и организационно-сервисно. Поэтому упомянутые здесь исследования целевых атак должны быть не ad-hoc – что-то нашел, сделал публичный отчет, получил свой квант славы и забыл, а систематические – постоянное отслеживание известных группировок и их деятельности. Отсюда следует вторая важная характеристика способностей по Threat hunting-у – количество отслеживаемых АРТ-кампаний в настоящее время.
Поговорим об инструментарии. Исследования атак – основа для придумывания логики обнаружения атак, гипотез (если быть точным, то Исследования – один из источников TI, а уже TI – основа для построения гипотез и детектов, это важно, будет время, сделаю про это отдельны пост, но для этой статьи не принципиально). На базе знаний об угрозах мы придумываем как обнаружить и обезвредить. Для этого нам, если сильно упрощенно, нужны: сенсоры (поставщики событий) и инфраструктура, выполняющая обработку этих событий. Очень важно, и совсем несложно это понять, что номенклатура событий сенсора определяет возможности по детекту, которые в свою очередь полностью определяют можем мы обнаружить ту или иную угрозу или нет. Как я отметил ранее, Исследования – первичны, так как они дают полное представление об угрозах, а следовательно исследования определяют требуемую номенклатуру событий – их типы, поля для каждого типа, интенсивность, методы сбора и т.п. Нам не выгодно собирать больше, поскольку это сопряжено с необоснованными инфраструктурными затратами, но нельзя и меньше, так как это не позволит выполнять детектирование эффективно или вообще что-либо обнаруживать. Поскольку атаки мутируют, это требует изменений в номенклатуре событий, поэтому чтобы оперативно и эффективно адресовать самые современные атаки, нужно уметь оперативно вносить изменения в сенсоры. Аналогичная ситуация с инфраструктурой обработки событий сенсоров. Принципиальный момент, который надо вынести: Исследования определяют какие сенсоры нам нужны, какие события с какими полями они должны генерить, какая обработка для этих событий требуется, и как ее оптимально перераспределить между самим сенсором, облаком и аналитиком. В итоге получается многоэтапный эшелонированный подход . Теперь, я думаю, понятно почему MDR обычно стремится использовать собственные инструментальные средства. Использование других конечно же возможно, но это может иметь негативные последствия на качество сервиса. Принцип Алана Кэя , который лично я услышал от не менее выдающегося Стива Джобса, работает и здесь: если вы хотите искать уникальные атаки (== делать Threat hunting), вам нужны собственные уникальные исследования, которые вы трансформируете в уникальные инструменты, которые в сочетании с квалифицированной командой позволят вам это делать эффективно и результативно. Из сборной солянки, когда исследования от одних поставщиков, тулсет – от других, команда – от третьих тоже можно составить предложение MDR, но оно, по моему мнению. не сможет работать столь же эффективно, как от провайдера с собственными исследованиями, инструментарием и экспертизой.
Выше я выделил курсивом “команда”, поговорим немного об этом тоже. Для иллюстрации приведу свое мнение о минимальном количестве людей в SOC-е, без учета объема, чтобы только закрыть функционал обнаружения и расследования атак. 
Из картинки важно запомнить очень простую вещь: любой функционально полный MDR должен иметь минимум 14 выделенных сотрудников, не беря во внимание внешние по отношению к SOC подразделения разработки и исследований – программистов сенсорных и инфраструктурных компонентов, исследователей угроз и целевых атак, администраторов и автоматизаторов инфраструктур исследователей угроз и пр.
Но вернемся к первоначально обсуждаемому исследованию и коснемся модели SOC-MDR.
Внимательный читатель уже догадался (я не напрасно набил много букв, пытаясь пояснить в общем-то непростые вещи максимально просто с бытовыми аналогиями), но я все-таки напишу это: SOC-MDR – это SOC, который уже поднялся на более высокую модель зрелости, по сравнению с “классическим SOC”, но еще не достиг уровня модели MDR. Проще говоря – это переходный этап между SOC и MDR. Они по-прежнему работают в режиме классического SOC, собирая все подряд логи и реагируя на все возможные алерты, но уже пытаются находить продвинутые атаки с помощью доступного на рынке и в Интернете инструментария , на базе публичных исследований и методологических фреймворков . Расширив свой исследовательский потенциал, обязательный для Threat hunting-а, и выбрав эффективный инструментарий (в общем-то не обязательно свой, – Android-телефоном, в общем-то, тоже можно пользоваться, как и Apple 🙂 ), SOC-MDR рано или поздно поднимется на следующую ступень модели зрелости и станет MDR в части сервиса Обнаружения атак, собственно, для чего и делается процесс Мониторнг.
В завершении хочу отметить важность ограничения скоупа работ подразделения операционной безопасности в объеме данной статьи – мониторингом, обнаружением и расследованием атак, потому что SOC – это не только про мониторинг, и поэтому MDR не покроет всех задач SOC, как, например, согласование и контроль доступа, анализ проектной документации на предмет реализации требований безопасности при проектировании ИТ-систем, или поиск мошеннических операций по логам системы автоматизации розничной торговли…, но задача эффективного обнаружения инфраструктурных атак любой сложности – прямая цель MDR – решается им в полном соответствии с современным ландшафтом угроз.
.
Гарантии качества (sla)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Максимальное гарантируемое число обработки событий в секунду (EPS) от одного клиента, исходя из реальной практики | Неприменимо, в технологическом стеке отсутствует SIEM | EPS — динамическая характеристика, изменяющаяся в зависимости от объёма клиентской базы. На данный момент в мониторинге — 200 000 EPP, до конца года — до 500 000, соответственно возрастёт и EPS | Не замерялось |
| Уровень гарантируемого времени обнаружения и реакции на атаку (detection-to-mitigation) | 99% | Не замерялось | Не замерялось |
| Выявление атак, периодичность | 24х7 | 24х7 | По договорённости |
| Время выдачи рекомендаций (отчёта) по следам атаки | От 1 часа | От 2 часов до 1 дня | От 4 часов (немедленные рекомендации) до 24 часов (полный разбор) |
| Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им) | Не раскрывается | Не замерялось | 0% |
Детектирующие технологии (detect)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Мониторинг сети (сенсоры) | TDS Sensor, Network Research & Protection | Kaspersky Anti Targeted Attack | PT Network Attack Discovery, PT Industrial Security Incident Manager |
| Мониторинг рабочих мест (EPP / EDR) | TDS Huntpoint, Behaviour Inspection & Host Forensics | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | Нет, отдельные элементы на базе MaxPatrol SIEM и Sysmon |
| Мониторинг почтового трафика | TDS Sensor, Network Research & Protection | KATA (в сети), KES (на конечной точке) | MultiScanner |
| Мониторинг веб-трафика | TDS Sensor, Network Research & Protection | KATA (в сети), KES (на конечной точке) | PT Application Firewall |
| Выявление артефактов потенциального инцидента | IP-адреса и домены командных центров атакующих; контрольные суммы вредоносных файлов в форматах MD5, SHA1, SHA256; маркеры поведенческого анализа вредоносных объектов; рекомендации по реагированию на выявленные угрозы | Полный отчёт об атаке или об исследовании | Все возможные артефакты |
| Сигнатурный анализ: файлы | TDS Polygon, Malware Detonation & Research | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | MultiScanner |
| Сигнатурный анализ: сетевой трафик | TDS Sensor, Network Research & Protection | Kaspersky Anti Targeted Attack | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Поиск по шаблонам вредоносных программ | TDS Polygon, Malware Detonation & Research | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response, Kaspersky Anti Targeted Attack | MultiScanner |
| Песочница (Sandbox) | TDS Polygon, Malware Detonation & Research | Kaspersky Research Sandbox, Kaspersky Anti Targeted Attack | PT Sandbox |
| Потоки данных (feeds) Threat Intelligence | Group-IB Threat Intelligence | Kaspersky Threat Data Feeds | PT Knowledge Base |
| Поиск аномалий в легитимном поведении | TDS Huntbox | Adaptive Anomaly Control, встроенный в Kaspersky Endpoint Security, и на базе собственной разработки | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Threat Intelligence Platform (TIP) | Собственная разработка | Kaspersky CyberTrace | PT Cybersecurity Intelligence |
| Threat Hunting Platform (THP) | TDS Huntbox | Собственная разработка | PT Network Attack Discovery |
| NTA / NFR (Network Traffic Analysis / Network Forensics) | TDS Sensor | Kaspersky Anti Targeted Attack | PT Network Attack Discovery |
| UEBA (User and Entity Behavior Analysis) | Нет | Нет | Нет |
| Корреляция событий, полученных из средств детектирования | TDS Huntbox | Собственная разработка | MaxPatrol SIEM |
| Технологии, доступные локально | TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint | KES и KATA | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, PT Sandbox, MultiScanner |
Дополнительные вендорские сервисы
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Управление уязвимостями | Нет | Нет | Да |
| Внутренние технические аудиты ИБ | Да | Отдельный сервис | Да |
| Compliance-проверки (по контрольным спискам) | Да | Нет | Да |
| Тесты на проникновение (pentest, Red Teaming) | Да, полный набор | Да, полный набор | Да, полный набор |
| Управление уровнем защищённости | Нет | Да | Да |
| Выявление и полное расследование мошенничества и атак (форензика) | Да | Да | Да |
| Криминалистический анализ, фиксация, документальное оформление | Да | Да | Да |
| Юридическое сопровождение расследования | Да | Нет | Нет |
| Защита бренда | Да | Другая услуга | Нет |
| Киберразведка, OSINT (с отчётами) | Да | Да, продаётся отдельно | Да |
| Threat Hunting | Да: Endpoint, Network | Да: Endpoint, Network | Да: Endpoint, Network |
| Разработка и адаптация индивидуальных сценариев (playbook) по реагированию | Да | Да, на тарифном плане MDR Expert | Да |
| Анализ защищённости мобильных приложений | Да | Отдельная услуга | Да |
| Анализ безопасности кода приложений | Да | Да | Да |
| Аудит безопасности аппаратных решений | Да | Отдельная услуга | Да |
| Анализ защищённости банкоматов и POS-терминалов | Да | Отдельная услуга | Да |
| Анализ защищённости промышленных технологий (АСУ ТП) | Да | Отдельная услуга | Да |
| Анализ защищённости телеком-систем | Да | Да | Да |
| Защита блокчейн-проектов и ICO | Да | Да | Да |
Интеграция со сторонними решениями
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Интеграция с Threat Intelligence, возможность импорта и экспорта IoC | Да: STIX, TAXII, API | Да, в рамках сервиса команда может использовать любые данные MRTI | Да |
| FW / NGFW (Firewall / Next Generation Firewall) | Да, выгрузка IOC на сторонние FW и NGFW с применением RestAPI | Нет | Нет |
| IDS / IPS (Intrusion Detection System / Intrusion Prevention System) | Нет | Нет | Нет |
| Endpoint (антивирус, HIDS, EDR) | Нет | Нет | Нет |
| DLP (Data Leak Prevention) | Нет | Нет | Нет |
| WAF (Web Application Firewall) | Нет | Нет | Нет |
| SIEM / LM (Security Information and Event Management / Log Management) | Да | Нет | Да, события в SIEM |
| IRP / SOAR (Incident Response Platform / Security Orchestration and Reaction) | Да | Нет | Нет |
| DBF / DAM (Database Firewall / Activity Monitor) | Нет | Нет | Нет |
| TIP (Threat Intelligence Platform) | Да | Нет | Нет |
| VM / VA (Vulnerability Management / Assessment) | Нет | Нет | Нет |
| Песочница (SandBox) | Нет | Нет | Нет |
| NTA (Network Traffic Analysis) | Да: извлечение и пересылка файлов в Polygon, отправление расшифрованного трафика с TDS Decryptor в NTA | Нет | Нет |
| Интеграция с защитными решениями для облаков | Да, интеграция с облачными файловыми и почтовыми серверами | Нет | Нет |
| Интеграция с защитными решениями для мобильных устройств | Нет Запланировано на 2020 г. | Нет | Нет |
| Интеграция с популярными системами запросов (Service Desk) | Да | Нет | Да |
| Предоставление API для интеграции со сторонними системами | Да | Нет | Да |
Личный кабинет (клиентский портал)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Личный кабинет для самостоятельного мониторинга обстановки | Да, бесплатно | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Предоставление доступа к личному кабинету | Да, бесплатно | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Возможность самостоятельного управления базовыми параметрами услуги в личном кабинете | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельное заведение новых источников, официально поддерживаемых поставщиком | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Самостоятельное создание контрольных панелей (дашбордов) | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельная регистрация инцидентов | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Конструктор и выгрузка отчётов | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Возможность тонкой настройки | Да, предоставляется возможность настройки дополнительных сигнатур, аналитических дашбордов с персонализированными срезами под конкретного клиента, а также поисковых запросов | Нет, будет доступен 1 июля 2020 г. | Нет |
| Ролевая модель доступа | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Возможность доменной авторизации (домен клиента) | Да | Нет, будет доступен 1 июля 2020 г. | Нет |
| Самостоятельный поиск по инцидентам | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
| Наличие REST API | Да | Нет, будет доступен 1 июля 2020 г. | Нет, только в рамках UI развёрнутых продуктов |
Методология сравнения сервисов managed detection and response
При разработке методологии сравнения мы исходили из реальной практики оказания услуг вендорского MDR отечественными поставщиками. Относительно предыдущих сравнений услуг коммерческих SOC (часть 1 и часть 2) набор критериев был существенно переработан.
Это позволило учесть специфику и сфокусироваться на отличительных особенностях вендорских сервисов. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые сервисы могут серьёзно различаться даже на этом уровне.
Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Тестовый период
- Личный кабинет (клиентский портал)
- Основные сервисы
- Дополнительные сервисы
- Детектирующие технологии
- Технологии реагирования
- Технологии расследования
- Интеграция со сторонними решениями
- Особенности подключения
- Программы обучения специалистов заказчика
- Персонал
- Гарантии качества (SLA)
- Система оповещения и отчётности
- Режим работы и техническая поддержка
- Ценовая политика
Для участия в сравнении мы отобрали три наиболее известных в России сервиса MDR, предоставляемых российскими разработчиками средств защиты:
- Group-IB Managed Detection and Response Services;
- Kaspersky Managed Detection and Response;
- Positive Technologies Expert Security Center.
Опасения относительно зарубежных вендоров были отражены во введении. Некоторые из иностранных провайдеров, увы, сразу же отказались от участия в сравнении, другие — высказали свои сомнения по поводу его целесообразности.
Все перечисленные выше поставщики активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведённом сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей.
Общие сведения
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Компания-вендор | ООО «ГРУППА АЙБИ СЕРВИС» | АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» | АО «ПОЗИТИВ ТЕКНОЛОДЖИЗ» |
| Целевой сегмент | Средний, крупный бизнес, государственный сектор | Средние и крупные организации (более 500 рабочих мест) | Крупный бизнес, государственный сектор |
| Штаб-квартира | Сингапур, Сингапур | Россия, Москва | Россия, Москва |
| Офисы присутствия команд специалистов | Москва, Сингапур, Лондон, Бахрейн | Москва | Москва, Санкт-Петербург, Самара, Томск, Нижний Новгород |
| Физическое расположение ЦОДов | Санкт-Петербург, Сингапур, Бахрейн | Москва, Дублин, Берн | Москва |
| Охват часовых поясов | GMT 2 — GMT 12 | 24×7 | GMT 2 — GMT 12 |
| Количество клиентов (по данным поставщика) | Более 200 | Более 300 | Более 30 |
| География активных клиентов | Более 60 стран мира, включая Россию, СНГ, Европу, Ближний Восток, Азию, Африку, Латинскую Америку | Россия, Италия, Франция, Германия, Чехия, Индия, ОАЭ, США | Россия |
| Крупнейшие публичные клиенты | Не раскрывается | РТИ Donau Chemie CyberGuard (OGL) | FIFA Олимпиада в Сочи |
| Веб-сайт | group-ib.com | kaspersky.com | ptsecurity.com |
| Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в») | Да | Нет | Да |
| Сертификаты на услугу | SOC включён в область оценки по ГОСТ/ISO 9001 «Система менеджмента качества» (в процессе получения, ожидаемая дата — 2020 год) | Нет | Нет |
| Наличие сертификатов на внутренние процессы и безопасность самого провайдера | SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» (в процессе получения, ожидаемая дата — 2020 год) | Service and Organization Controls 2 (SOC 2); SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» | Нет |
| Сроки подключения услуги | 1 день | 1 день | 1 день |
| Языки интерфейса клиентского портала | Русский, английский | Русский, английский | Русский, английский |
| Возможность клиентского визита к поставщику | Да | Нет | Да |
| Срок существования услуги на рынке | 5 лет | 4 года | 5 лет |
| Оказание услуги в сегментах АСУ ТП | Да | Да | Да |
| Наличие соглашений об информационном обмене с другими провайдерами: MDR, SOC, CERT, CSIRT | Более 10 прямых соглашений (например, с Интерполом, Европолом, FIRST, Trusted Introducer, OIC-CERT) и около 40 CERT, с которыми идёт обмен данными об угрозах | ФинЦЕРТ ЦБ РФ; весь список участников GReAT; весь список участников AMR | 5 соглашений, в том числе — с НКЦКИ, ФинЦЕРТ |
| Результаты независимого тестирования сервисов | Нет | Тест MITRE | Нет |
| Сертификаты ФСТЭК, ФСБ на собственные продукты, задействованные в процессе оказания услуги | Group-IB TDS — ФСТЭК, ИТ.СОВ.С4.ПЗ; OAЦ при Президенте Республики Беларусь, №BY/112 02 01 | Kaspersky Anti Targeted Attack — ФСТЭК, РД НДВ4, ЗБ; Kaspersky Endpoint Security — ФСТЭК, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗ | MaxPatrol 8 — ФСТЭК, НДВ4; MaxPatrol SIEM — ФСТЭК, НДВ4; PT Application Firewall — ФСТЭК, профиль защиты МЭ типа «Г» 4 класса; PT Network Attack Discovery — ФСТЭК, требования к СОВ уровня сети 4 класса защиты, ИТ.СОВ.С4.П3; PT Industrial Security Incident Manager — ФСТЭК, НДВ4 |
Особенности подключения сервиса вендорского mdr
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Способы подключения площадок клиента | На площадке клиента, облачный, гибридный | На площадке клиента | На площадке клиента |
| Возможность разворачивания необходимых решений в виртуальной среде | Да, все популярные среды | Нет | Да: виртуализация VMware, Kernel-based Virtual Machine |
| Подключение нестандартных (сторонних) источников | Нет | Нет | Да, от 1 недели |
| Разработка правил корреляции и правил реагирования для клиента | Создание правила корреляции — от 1 суток; создание правила реагирования — по запросу | Создание правила корреляции — не более 1 дня; создание правил реагирования и фильтров — в постоянном режиме для клиента | Создание правила корреляции или правила реагирования — от 1 дня |
| Возможность выбора сценариев мониторинга | Нет | 24х7 или 8х5 | Да |
| Предоставление клиенту оборудования для разворачивания необходимых решений | Да, платно | Нет | Да, входит в стоимость услуги |
| Возможность локального хранения и обработки клиентских данных | Да | Да, в рамках Kaspersky EDR Optimum и Expert | Да |
| Минимальные требования к инфраструктуре клиента: наличие оборудования и ПО | Не предъявляются | Требуется установка Kaspersky Endpoint Security for Business | Не предъявляются |
| Минимальная ширина канала | 10 Мбит/с | С одного хоста — не больше 5 МБ телеметрии в день | Требования отсутствуют |
| Необходимость приобретения решений | TDS Sensor | Kaspersky Endpoint Security for Business и / или Kaspersky Endpoint Detection and Response и / или Kaspersky Anti Targeted Attack | Нет |
| Обеспечение конфиденциальности клиентских данных, передаваемых поставщику | Да, шифрование SSL/TLS | Да: физическая безопасность, логический контроль доступа, шифрование каналов при передаче, взаимная аутентификация, регулярный анализ защищённости | Да: шифрование, ограничение доступа, локальное хранение данных у клиента |
Персонал вендорского mdr
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Подтверждённый опыт команды аналитиков | Сертификаты SSCP, CISSP, CISA, OSCP, CEH, CWSP, GCFA, GIAC Reverse Engineering Malware, GIAC Cyber Threat Intelligence — GCTI и др. | Сертификаты Offensive Security, EC-Council, SANS, ISACA, ISC2 у аналитиков и руководства SOC, у группы реагирования на инциденты | Сертификаты SANS, ISACA, ISC2, Offensive Security и др. |
| Численность персонала, суммарно и по каждой линии (L1, L2, L3) | Суммарно: 100 чел. L1 — 26 L2 — 24 L3 — 28 L4 — 22 | 27 чел. Динамически масштабируемая команда SOC. На текущем уровне развития в среднем — 20 000 EPP на одного аналитика, в перспективе — до 100 000 EPP на одного аналитика (достигается автоматизацией работы и применением машинного обучения) | Суммарно: 39 чел. L1 — 7 L2 — 10 L3 — 22 |
| Экспертиза и задачи L1 (1-й линии) | Базовая обработка и анализ инцидентов, фильтрация ложных срабатываний, обработка входящих запросов, подготовка отчёта по инциденту, эскалация на L2 | Автоматика (обогащение, разметка, автоаналитика — машинное обучение) | Экспертная валидация и классификация запроса, решение 95% типовых инцидентов |
| Процедура предварительного обследования и анализа рисков клиентов | Да, в соответствии с собственной методикой | Да: при подключении клиента тратится 2-4 недели на период адаптации. В это время отлаживаются клиентские фильтры, вместе с клиентом на основе выявленных инцидентов определяется, что легитимно, а что — нет | Да |
| Выделение технического куратора услуги для заказчика (аналитика) | Да | Да, два ответственных аналитика | Да |
| Выделение организационного куратора услуги для заказчика (сервис-менеджера) | Да | Да | Да |
| Кадровая динамика за последние три года | Ежегодный рост численности специалистов на 50 % | Март 2021 г. — 2 человека, март 2020 г. — 27 человек. Есть политика динамического увеличения операционной части SOC в зависимости от объёма клиентской базы | С 2021 года — пятикратный рост |
| Кадровая политика | Непрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества (Курс кибербойца СЕRТ-GIB) для новых специалистов и стажёров | Со стороны SOC есть стандартный процесс включения в работу (on-boarding), требования к квалификации. Соответствующего по квалификации кандидата можно подготовить в среднем за 2-4 месяца | Работа с ключевыми вузами, обучение, стажировки |
Режим работы и техническая поддержка
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Возможность выбора режимов работы | Всегда 24х7 | Всегда 24х7 | Да, можно установить любой режим по договорённости |
| Дежурная смена мониторинга и реагирования на инциденты 24х7 | Да | Да | Да |
| Техническая поддержка 24х7 по телефону | Да | Нет | Да |
| Чат технической поддержки (онлайн-помощник) | Нет | Да, на тарифном плане MDR Expert | Да |
| Техническая поддержка в мессенджерах (Skype, Telegram и др.) | Да: Telegram, WhatsApp, Skype | Да, Telegram | Да, любые необходимые по согласованию с заказчиком |
| Возможность выезда на площадку заказчика | Да | Да, в случае если клиент запрашивает реагирование на инцидент силами «Лаборатории Касперского». Услуга опциональна и тарифицируется отдельно | Да, по запросу клиента |
Система оповещения и отчётность (для детектирования, анализа и реагирования)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Отправка отчётов на почту | Да, периодичность обсуждается с заказчиком | Да: карточка инцидента, еженедельная отчётность | Да, по согласованию с клиентом |
| Телефонный звонок при инцидентах | Да, по согласованию с клиентом | Да, по договорённости с заказчиком | Да, по договорённости |
| Оповещение по SMS и в мессенджерах | Да | Да | Да |
| Возможность получения «отчётов для руководства», написанных вручную | Да, периодичность обсуждается с заказчиком | Только в рамках отдельного сервиса | Да |
Тестовый период
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Тестовый период | От 2 недель | От 1 до 3 месяцев | Нет |
| Ограничения по функциональности и набору поставляемых решений | Без ограничений | Ограничений по функциональности на тестовый период нет | Нет тестового периода |
| Количество дней (средний пилот) | До 6 недель | От 1 до 3 месяцев | Нет тестового периода |
| Возможность получить примеры отчётов до покупки | Да | Да | Нет тестового периода |
Технологии расследования (investigation)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Инструменты расследования в режиме реального времени, доступные клиенту | Графовый анализ процессов заражения рабочей станции (TDS Huntpoint), графовый анализ инфраструктуры атакующего (TDS Huntbox), события ИБ с полным контекстом атаки | Kaspersky EDR Optimum и Expert, портал Kaspersky MDR | MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner |
| Визуализация распространения атаки: графы, карты | Да | Да | Да |
| Инструменты для ретроспективного расследования по всей собранной ранее базе артефактов | Да | Да | Да |
| Прослеживаемый путь движения инцидента в системе (workflow) | Да | Да | Да |
| Возможность менять значимость со стороны клиента | Да | Нет | Да |
| Возможность помечать ложные срабатывания (false positive) | Да | Да | Да |
| Сохранение мгновенного состояния расследования в «сыром» виде (snapshot) | Да | Да | Да |
| Доступ к базе знаний (для использования клиентами) | Да | Да | Да |
| Формальное документирование процесса анализа (casebook) | Да | Нет | Да |
| Накопление и анализ статистики по атакам, изменение на её основе параметров услуги | Да | Да | Да |
| Категорирование атак согласно матрице MITRE ATT&CK | Да | Да | Да |
| Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагирования | Да | Да | Да |
| Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагирования | Да | Нет | Да |
| Технологии, доступные локально | TDS Huntbox, TDS Polygon, TDS Sensor, TDS Huntpoint | В рамках сервиса Incident Response Retainer | MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner |
Технологии реагирования (response)
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Активная защита рабочих мест (EPP / EDR) | TDS Huntpoint | Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response | Нет |
| Блокировка угроз в почтовом трафике | TDS Sensor TDS Polygon | Есть, KES и KATA | MultiScanner |
| Блокировка угроз в веб-трафике | Нет | Есть, KES и KATA | PT Application Firewall |
| Сетевые блокировки (FW / NGFW) | Нет | Нет | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Блокировка вторжений (IPS) | Нет | Нет | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall |
| Генерация правил реагирования в стандартизированных форматах | YARA-правила или пользовательские сигнатуры | Нет | Нет |
| Возможность самостоятельного написания правил реагирования | Нет | Kaspersky EDR Optimum и Expert | Нет |
| SIEM-система | Нет | Собственная разработка | MaxPatrol SIEM |
| Реакция на атаку: немедленное уведомление по всем согласованным каналам | Да | Да | Да |
| Реакция на атаку (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласования | Да, по предварительному согласованию охвата (scope) | Да, только на заранее согласованные с заказчиком типы инцидентов | Да, по предварительному согласованию охвата (scope) |
| Реакция на атаку: немедленное принятие мер на стороне клиента (если применимо) | Да | Да | Да |
| Разработка сквозных сценариев реагирования между поставщиком и клиентом | Да | Да | Да |
| Удалённое реагирование (воздействие на инфраструктуру заказчика) силами поставщика | Да | Да | Да |
| Технологии, доступные локально | TDS Polygon, TDS Sensor, TDS Huntpoint | KES и KATA | PT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, MultiScanner |
Ценовая политика
| Критерий сравнения | Group-IB Managed Detection and Response Services | Kaspersky Managed Detection and Response | Positive Technologies Expert Security Center |
| Описание политики формирования стоимости, исследования | Не раскрывается | Стоимость зависит от количества узлов в мониторинге, а также от уровня сервиса — MDR Optimum или MDR Expert. В рамках MDR Expert клиент получает доступ к SOC-аналитику «Лаборатории Касперского», возможность хранить «сырые» данные в течение большего количества времени, возможность формировать индивидуализированные сценарии (playbooks), API для выгрузки данных, а также доступ к выделенным функциям Kaspersky Threat Intelligence Portal. Сложные случаи могут потребовать непосредственного вовлечения команды по реагированию. Если клиент хочет привлечь команду «Лаборатории Касперского», то её работа тарифицируется исходя из количества потребовавшихся на реагирование рабочих часов. | Исходя из набора услуг и коэффициента сложности клиента определяется количество требуемых человекочасов для оказания запрошенных услуг |
| Описание политики формирования стоимости, детектирование и реагирование | Не раскрывается | ||
| Описание политики формирования стоимости, восстановление | Не раскрывается | ||
| Тарифные планы | Не раскрывается | MDR Optimum и MDR Expert | Не раскрывается |
| Минимальная стоимость оказания услуг вендорского MDR | Не раскрывается | Не раскрывается | Формируется исходя из набора услуг и требуемых человекочасов |
| Схема продаж услуги | Смешанная | Партнёрская | Прямая, партнёрская, смешанная |
| Заявка на подключение | group-ib.ru | kaspersky.com | ptsecurity.com |
Выводы
Услуги мониторинга, реагирования на угрозы и расследования киберинцидентов в России набирают популярность. Этот факт подтверждается ростом количества клиентов не только коммерческих сервисов SOC, но и услуг Managed Detection and Response от производителей средств защиты, что порождает всё больше публичных историй успеха, в том числе — и с зарубежными заказчиками.
Кроме того, заявленное время подключения услуги у всех поставщиков составляет считаные дни (у SOC, как правило, соответствующая операция осуществляется в течение месяца), что является не только поводом для гордости, но и индикатором серьёзного уровня зрелости отечественных вендоров.
Однако далеко не все из них готовы предоставлять тестовый период или приглашать на клиентский визит. В отличие от SOC, где личный кабинет и определённая самостоятельность клиента являются ключевыми «фишками», не все вендорские MDR имеют общую консоль сервиса, отдавая управление конкретным средствам защиты.
Одно из самых «вкусных» преимуществ сервисов MDR от производителей средств защиты кроется в наборе сервисов. Всесторонний мониторинг киберпространства, максимальное количество знаний об угрозах и вредоносных объектах, техниках и тактиках атакующих, хакерских группировках — всё это имеется в различных вариациях в арсенале каждого участника сравнения.
Полезным является также предоставление клиенту кратких и подробных отчётов, в том числе — бизнес-сводок для высшего руководства. Накопленные вендорами компетенции позволяют помимо классических пентестов и аудитов предлагать также нетривиальные услуги, такие как анализ надёжности кода приложений, аудит безопасности аппаратных решений, проверка защищённости банкоматов и POS-терминалов, промышленных технологий (АСУ ТП) и телеком-систем, защита блокчейн-проектов и ICO.
Отдельные поставщики помогают и с задачами смежного профиля, вроде юридического сопровождения расследований, защиты бренда или управления уязвимостями у клиента. Кроме того, уникальными могут оказаться специализированные обучающие курсы по редким и важным темам: цифровая криминалистика, анализ вредоносных программ и обратная разработка (Reverse Engineering), реагирование на инциденты, написание комплексных правил, анализ инцидентов, проактивный поиск угроз (Threat Hunting), аналитика SOC и другие. Все представленные вендоры имеют собственные тренировочные центры.
В силу специфики того или иного поставщика в его портфеле могут отсутствовать некоторые классы решений, такие как EPP, UEBA, WAF, FW, IDS. Однако собственных технологий вендорского MDR, как правило, хватает для качественного детектирования угроз и реагирования на атаки, а «родная» интеграция позволяет максимально эффективно выполнять поставленные клиентом задачи.
Отдельно стоит упомянуть SIEM-системы, которые в ряде случаев не представлены самостоятельными продуктами, но всё равно так или иначе являются неотъемлемой частью всех услуг вендорского MDR, пусть и в качестве собственных внутренних разработок. Технологии расследования инцидентов широко и качественно представлены всеми поставщиками.
Они позволяют клиенту собрать все необходимые факты и наглядно представить их в отчётах согласно лучшим методикам, фреймворкам и практикам, в том числе — с визуализацией. Ожидаемо, что интеграция со сторонними решениями со стороны вендоров не является всеобъемлющей.
Подключение сервиса MDR и развёртывание необходимых для него продуктов на площадке заказчика все вендоры осуществляют оперативно, способны за считаные дни индивидуализировать сценарии работы и правила корреляции, а также согласны хранить все важные клиентские данные локально, без передачи в облако.
Анализ особенностей персонала и технической поддержки MDR не выявил особенных отличий в сравнении с поставщиками SOC: такой же активный прогресс и наращивание компетенций — кроме, пожалуй, одного факта. Реализация довольно интересной и широко обсуждаемой сегодня концепции «центр мониторинга и реагирования без первой линии» (полностью заменяется применением автоматизации, технологиями машинного обучения) встретилась лишь у одного вендора.
Как и в случае с SOC, поставщики услуг MDR крайне неохотно раскрывают собственную ценовую политику и особенности лицензирования. Отдельная благодарность от редакции звучит в адрес «Лаборатории Касперского» за то, что коллеги согласились хотя бы подробно описать особенности формирования стоимости услуги (увы, без конкретных цен) и назвать тарифные планы. Бюджет, необходимый для выделения, клиенты смогут оценить исключительно по запросу.
