SOC –> SOC-MDR –> MDR

SOC --> SOC-MDR --> MDR Сертификаты

Введение

В третьей части сравнения сервисов, так или иначе связанных с реагированием на угрозы безопасности и расследованием киберинцидентов в России, мы частично отошли в сторону от SOC. Изучению подверглись крупные вендоры, логичным развитием бизнеса для которых стало предоставление сервиса Managed Detection and Response (обнаружение киберугроз и реагирование на них; далее мы будем использовать аббревиатуру MDR).

Отличительной чертой здесь является нативная интеграция с линейкой своих продуктов при необязательности требования подключать сторонние. Такие вендорские сервисы являются реальной альтернативой услугам коммерческих SOC и часто воспринимаются на рынке как конкурентные предложения.

При подготовке материала мы изначально рассчитывали включить в сравнение не только отечественных сервис-провайдеров, но и зарубежных (Cisco, Symantec, Trend Micro). Однако в процессе плотного общения с вендорами оказалось, что иностранцы если и готовы оказывать услуги коммерческого SOC (и тем более — MDR)

в России, то крайне ограниченному кругу заказчиков. Это связано с рядом сложностей. Во-первых, для оказания услуг по мониторингу инцидентов нужна лицензия ФСТЭК России на ТЗКИ (деятельность по технической защите информации), оформленная на российское юридическое лицо.

Во-вторых, центр мониторинга и реагирования должен располагаться на территории Российской Федерации, а также быть аттестованным и иметь в своём составе сертифицированные средства защиты информации. В итоге предоставление услуг SOC или MDR зарубежными компаниями в России выглядит малореалистичным, особенно если учитывать ещё и сложившуюся геополитическую обстановку.

Большинство вендорских сервисов MDR развивалось на базе собственных технологий и решений, благодаря чему достигается естественная синергия. Централизованная система управления (а иногда — и отдельные продукты) выносится в облако поставщика, а клиенту предоставляется интерфейс для мониторинга ситуации или управления.

Как правило, производители в данном случае готовы брать на себя рутину администрирования конкретных средств защиты, предлагая клиенту ориентироваться на контрольные панели (дашборды) или вовсе предоставляя периодические отчёты. Такой подход имеет свои преимущества.

Во-первых, вендор наиболее компетентен в применении собственных решений, поэтому готов отвечать за сервисы на их базе. Во-вторых, это позволяет не распылять усилия и не гнаться за интеграцией всего «зоопарка» продуктов ИБ, чтобы удовлетворить потребности клиентов в подключении «очередной сотни» источников событий.

В-третьих, наличие у разработчика услуг по обеспечению кибербезопасности на базе собственных решений говорит о его зрелости на рынке. В его портфеле обязательно присутствует хотя бы один сложный комплексный продукт (как правило, решение класса anti-APT).

Кроме того, он может себе позволить растить и поддерживать сервисные компетенции, что формирует определённый уровень доверия и к продуктам, и к услугам. Таким образом, основное отличие от SOC здесь состоит в концентрации на глубине и инструментах исследования угрозы, а не на широте работы с большим количеством инцидентов.

Чтобы сфокусировать внимание читателей на сервисах и их содержании, мы предлагаем в данном случае не относить компании-производители исключительно к одной категории: SOC, MSSP, CERT, CSIRT и прочим. С учётом этой оговорки будем использовать выражение «услуги MDR от производителей средств защиты» (или сокращение «вендорский MDR») как наиболее подходящее по смыслу.

Ключевые отличия сервисов Managed Detection and Response:

  • как правило, обязательное применение собственных продуктов;
  • активное использование проактивного обнаружения угроз (Threat Hunting);
  • собственная киберразведка (Threat Intelligence, пополняемая база знаний об угрозах);
  • активное реагирование на инциденты безопасности (как правило, с помощью собственных решений);
  • использование специфических типов событий для детектирования атак;
  • требование анализа телеметрии с сети и конечной точки;
  • глубокие и редкие знания специалистов (часто — разработчиков) в весьма нишевых областях.

Основные сервисы вендорского mdr

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Бизнес-отчёты о ситуации в киберпространстве для руководстваДаДа, продаётся отдельноДа
Аналитические отчёты о целевых (APT) атакахДаДа, продаётся отдельноДа
Мониторинг ботнет-угрозДаДаДа
Мониторинг фишинговых угрозДаДаДа
Мониторинг публичных утечек данныхДаДаДа
Мониторинг открытых источников, социальных сетей, участие в сообществеДаДаДа
Мониторинг теневых площадок и форумовДаДаДа
Мониторинг интернета на уровне провайдеров (ISP)ДаДаНет
Сбор данных с собственной распределённой по интернету системы ловушек (honeypots)ДаДаДа
Ретроспективный (индивидуализированный) анализ событий ИБДа, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиентаДа, в зависимости от тарифа: MDR Optimum — анализ событий за заданный промежуток времени проводится с использованием артефактов и образцов вендора; MDR Expert — клиент может предоставить свои образцыДа, анализ событий ИБ за заданный промежуток времени и с использованием образцов, артефактов клиента для выявления возможных пропущенных инцидентов
Периодические индивидуализированные отчёты для целевого детектирования потенциальных атакДа, по согласованию с заказчикомТолько по запросуДа, по запросу
Предоставление потоков данных об угрозах (feeds)ДаДаДа
Предоставление репутационных данных (reputation feeds)ДаДаДа
Платформа для самостоятельного исследования индикаторов угрозДаДа, продаётся отдельноДа
Специализированный непрерывный сервис обнаружения целевых атакДаДаДа
Глубокий анализ атаки снаружи: атрибуция, предметная область, классификацияДа: источник (география, мотивация, атрибуция до преступной группы, целевой объект); цель (география, отрасль, целевая ИС); угроза (инструменты, способы распространения, риски, категория); описание атаки; индикаторы; рекомендацииДа, предоставляется анализ используемых тактик и методов, включая анализ вредоносных программ, эксплойтов, CnC, целей злоумышленников и их атрибуцииДа: атрибуция, классификация, предметная область
Глубокий анализ атаки внутри: возникновение и распространение в инфраструктуре, хронологияДа, предоставляется полное описание атаки (насколько это возможно, в зависимости от количества собранных данных) с временными метками событий, полученными по результатам анализа. Тактики и техники атакующих расписываются в соответствии с матрицей MITRE ATT&CKДа, предоставляется отдельной услугой или в пакете с MDRДа: хронология инцидента, перечень затронутых активов, экспертная оценка значимости, артефакты. Оценка цели злоумышленника. Долгосрочный и краткосрочный план реагирования
Выявление затронутых активов и оценка ущербаДаДаДа
Экспертная поддержка при реагировании на атаку: удалённоДа: 24х7, время реакции от 3 часовДа, с понедельника по пятницу с 10:00 до 18:30 (GMT 1)Да, в двух форматах в зависимости от тарифа: 24х7 или 8х5
Экспертная поддержка при реагировании на атаку: выездДа: по согласованию с клиентом, время реакции от 3 часовДа, 24х7Да, на следующий рабочий день
Рекомендации по оперативному восстановлению после атакиДа, отчёт с рекомендациямиДа: автоматизированный сценарий (playbook); инструкции в виде набора необходимых действий; сервис Incident Response RetainerДа, в формате рекомендаций с учётом уровня значимости и классификации инцидента
Ретроспективный анализ атаки, разработка плана корректировки механизмов защитыДа, отчёт с рекомендациямиДа, ретроспективный анализ (зависит от глубины хранения телеметрии, по умолчанию — 3 месяца). Разработка плана корректировки механизмов защиты — отдельный консалтинговый проектДа, в формате рекомендаций с учётом уровня значимости и классификации инцидента

Soc –> soc-mdr –> mdr

Намедни вышла очередная статья об очередном анализе рынка услуг операционной безопасности. Хороший обзор, собрано много информации, за что следует поблагодарить автора. Мы давно знакомы с Сашей, можно сказать, приятели, поэтому считаю правильным со своей стороны немного дополнить это исследование, на мой взгляд, важной информацией, которая будет полезна для принимающих решение о выборе того или иного поставщика услуг.

Я не буду заострять внимание на мелких неточностях, вроде того, что SOC занимается только мониторингом (хотя сам дальнейшее повествование построю именно в рамках этого сужения), а перейду к наиболее важным моментам.

В статье автор выделяет три вида SOC:

Создается впечатление, что в статье эти модели разделяются – это некорректно, а поскольку момент принципиальный о нем и поговорим в этой заметкестатье.

Ни для кого не секрет, что безопасность всегда немного позади: сначала придумали холодное оружие, потом – рыцарские доспехи, луки – щиты, огнестрельное оружие – бронежилеты и танки; перехват и подмена сообщений – шифрование трафика и взаимная аутентификация отправителей и получателей, вредоносное ПО – антивирусы, целевые атаки – новые подходы к обнаружению. Причем эти новые подходы, как правило, более комплексные, чем предыдущие, как танк столь же эффективен и против легкого огнестрельного оружия, и против более архаичных – конных лучников или Македонской фаланги, так и реальная NG-защита – это не то, что защищает только от NG-угроз и пропускает неNG-угрозы, но и защищает и  от “классических” атак и NG тоже

Мы все много делали усилий по цифровизации, элекронизации, диджитализации и т.п. и в итоге перенесли большую часть бизнесовых рисков в область ИТ, что позволяет воровать деньги и останавливать предприятия не вставая с места, двигая только пальцами. Производители ИТ тоже проделали огромную работу. и безопасность систем за последние годы радикально выросла – это хорошо. Но, беря во внимание первое предложение этого абзаца, – мотивация атакующих ничуть не ослабла, поэтому в итоге мы получили повышение сложностистоимости атаки – атаки стали целевыми. Получив трансформацию ландшафта угроз, мы вынуждены трансформировать подходы к обеспечению безопасности в наиболее общем смысле этого слова – изменить технологии, изменить процессы, изменить понимание и сознание, ломать стереотипы. При этом, конечно же не надо думать, что раз сейчас все атаки – целевые, и нам нужны только next-gen-ы, а “простых” атак и “вирусов” нет. Конечно же это не так, – атакующий всегда пойдет по наиболее дешевому пути, и, если инфраструктура может быть поломана элементарным способом, он и будет им использоваться, а высокоразвитвый  зрелый клиент будет скомпрометирован высокотехнологичной продвинутой атакой .

Но вернемся к обсуждаемой статье на Anti-Malware. Приведенные выше модели – это одни и те же подразделения операционной безопасности, но на разных этапах зрелости. Классический SOC, разгребающий события неправильной аутентификации, алерты сетевых систем обнаружения вторжений – то, что было раньше, и сейчас, очевидно, этого недостаточно, чтобы обнаруживать современные техники проведения атак. Если мы говорим о целевых атаках, когда и применяемые атакующими  техники  и, тем более инструменты, никогда ранее не были известны производителям используемых систем обнаружения, то здесь нужны возможности по проведению исследований. И эту проблему решает, пользуясь терминологией статьи, как раз модель MDR. С точки зрения сервиса SOC Обнаружение атак – MDR на текущий момент времени наивысшая ступень зрелости, так как его подходы являются наиболее комплексными для противодействия современным атакам, при этом, безусловно, не игнорируя “классические”, так как, как отмечено выше, продвинутый атакующий будет использовать те подходы, которые будут давать результат и при этом являться наиболее дешевыми. Два понятия “Обнаружение атак” и “Исследования” я выделил курсивом потому что их надо пояснить.

Обнаружение и расследование атак – основной сервис операционной безопасности, поскольку его цель совпадает с целью всего направления операционной безопасности (вынесем за скобки вопросы администрирования систем безопасности, выполняющих предотвращение возможных атак, снижающих их поверхность, к тому же, нередко это выполняется подразделениями ИТ). В этом несложно убедиться, если проанализировать другие сервисы SOC:

  • Инвентаризация активов – для понимания, что может быть атаковано
  • Управление уязвимостями – для понимания есть ли явные возможности для атаки
  • Анализ угроз – для понимания, откуда может прийти атака
  • Повышение осведомленности – то же, что и управление уязвимостями, так как латать дырки нужно не только в железе и софте, но и в сознании пользователей
  • Управление инцидентами – операционная поддержка процесса обнаружения атак
  • Реагирование на инциденты – часть Управления инцидентами
  • Анализ результатов и совершенствование – часть Управления инцидентами
Про сертификаты:  Сертификат соответствия ТР ЕАЭС (ТР ТС) - Евракон

Т.е. если MDR хорошо решает только задачу обнаружения атак, это не значит, что он делает не все. Вся ИБ в конечном счете про обнаружение атак, а остальные процессы – сопутствующие, в той или иной степени повышающие эффективность основного процесса обнаружения атак.

Про исследования я много где говорил, еще даже  до того, как стал работать в компании , в которой бОльшая часть сотрудников занимается исключительно исследованиями. По-моему очевидно, что если мы претендуем на способность обнаружения уникальных атак, мы обязаны иметь зрелую практику проведения уникальных исследований. Потому что Threat hunting – это не что иное как перенос этой практики уникальных исследований в инфраструктура заказчика. Прошло то время, когда любую атаку можно заблаговременно найти в Интернете, выпустить детект и защитить клиентов. Целевую атаку можно найти только в целевой инфраструктуре, а значит те же подходы, применяемые при поиске в Интернете надо повторить в кастомизированном клиентском окружении. Собственные исследования – ключевой момент, дающий возможность заниматься Threat hunting-ом. Все очень просто: если поставщик за всю свою историю не выявил не одной АРТ, на чем основано утверждение, что он обнаружит целевую атаку в инфраструктуре заказчика? Наличие  собственной зрелой практики глубоких исследований  – наиболее объективное подтверждение компетентности в выполнении активного поиска угроз (Threat hunting). Кроме того, надо понимать, что любая АРТ с момента выявления становится операционной историей, требующей постоянного отслеживания – за АРТ стоят конкретные группы людей, которые изобретают новые техники, инструменты, у них меняется сфера интересов, мотивация … жизнь кипит… – эти изменения должны своевременно отслеживаться и должным образом адресовываться технологически-продуктово и организационно-сервисно. Поэтому упомянутые здесь исследования целевых атак должны быть не ad-hoc – что-то нашел, сделал публичный отчет, получил свой квант славы и забыл, а систематические – постоянное отслеживание известных группировок и их деятельности. Отсюда следует вторая важная характеристика способностей по Threat hunting-у – количество отслеживаемых АРТ-кампаний в настоящее время. 

Поговорим об инструментарии. Исследования атак – основа для придумывания логики обнаружения атак, гипотез (если быть точным, то Исследования – один из источников  TI, а уже TI  – основа для построения гипотез и детектов, это важно, будет время, сделаю про это отдельны пост, но для этой статьи не принципиально). На базе знаний об угрозах мы придумываем как обнаружить и обезвредить. Для этого нам, если сильно упрощенно, нужны: сенсоры (поставщики событий) и инфраструктура, выполняющая обработку этих событий. Очень важно, и совсем несложно это понять, что номенклатура событий сенсора определяет возможности по детекту, которые в свою очередь полностью определяют можем мы обнаружить ту или иную угрозу или нет. Как я отметил ранее, Исследования – первичны, так как они дают полное представление об угрозах, а следовательно исследования определяют требуемую номенклатуру событий – их типы, поля для каждого типа, интенсивность, методы сбора и т.п. Нам не выгодно собирать больше, поскольку это сопряжено с необоснованными инфраструктурными затратами, но нельзя и меньше, так как это не позволит выполнять детектирование эффективно или вообще что-либо обнаруживать. Поскольку атаки мутируют, это требует изменений в номенклатуре событий, поэтому чтобы оперативно и эффективно адресовать самые современные атаки, нужно уметь оперативно вносить изменения в сенсоры. Аналогичная ситуация с инфраструктурой обработки событий сенсоров. Принципиальный момент, который надо вынести: Исследования определяют какие сенсоры нам нужны, какие события с какими полями они должны генерить, какая обработка для этих событий требуется, и как ее оптимально перераспределить между самим сенсором, облаком и аналитиком. В итоге получается многоэтапный  эшелонированный подход . Теперь, я думаю, понятно почему MDR обычно стремится использовать собственные инструментальные средства. Использование других конечно же возможно, но это может иметь негативные последствия на качество сервиса.  Принцип Алана Кэя , который лично я услышал от не менее выдающегося Стива Джобса, работает и здесь:  если вы хотите искать уникальные атаки (== делать Threat hunting), вам нужны собственные уникальные исследования, которые вы трансформируете в уникальные инструменты, которые в сочетании с квалифицированной командой позволят вам это делать эффективно и результативно. Из сборной солянки, когда исследования от одних поставщиков, тулсет – от других, команда – от третьих тоже можно составить предложение MDR, но оно, по моему мнению. не сможет работать столь же эффективно, как от провайдера с собственными исследованиями, инструментарием и экспертизой.

Выше я выделил курсивом “команда”, поговорим немного об этом тоже. Для иллюстрации приведу свое мнение о минимальном количестве людей в SOC-е, без учета объема, чтобы только закрыть функционал обнаружения и расследования атак. 
SOC --> SOC-MDR --> MDR

Из картинки важно запомнить очень простую вещь: любой функционально полный MDR должен иметь минимум 14 выделенных сотрудников, не беря во внимание внешние по отношению к SOC подразделения разработки и исследований – программистов сенсорных и инфраструктурных компонентов, исследователей угроз и целевых атак, администраторов и автоматизаторов инфраструктур исследователей угроз и пр.

Но вернемся к первоначально обсуждаемому исследованию и коснемся модели SOC-MDR.
Внимательный читатель уже догадался (я не напрасно набил много букв, пытаясь пояснить в общем-то непростые вещи максимально просто с бытовыми аналогиями), но я все-таки напишу это: SOC-MDR – это SOC, который уже поднялся на более высокую модель зрелости, по сравнению с “классическим SOC”, но еще не достиг уровня модели MDR. Проще говоря – это переходный этап между SOC и MDR. Они по-прежнему работают в режиме классического SOC, собирая все подряд логи и реагируя на все возможные алерты, но уже пытаются находить продвинутые атаки с помощью доступного на рынке и  в Интернете инструментария , на базе  публичных исследований  и методологических  фреймворков . Расширив свой исследовательский потенциал, обязательный для Threat hunting-а, и выбрав эффективный инструментарий (в общем-то не обязательно свой, –  Android-телефоном, в общем-то, тоже можно пользоваться, как и Apple  🙂 ), SOC-MDR рано или поздно поднимется на следующую ступень модели зрелости и станет MDR в части сервиса Обнаружения атак, собственно, для чего и делается процесс Мониторнг. 

В завершении хочу отметить важность ограничения скоупа работ подразделения операционной безопасности в объеме данной статьи – мониторингом, обнаружением и расследованием атак, потому что  SOC  – это не только про мониторинг, и поэтому MDR не покроет всех задач SOC, как, например, согласование и контроль доступа, анализ проектной документации на предмет реализации требований безопасности при проектировании ИТ-систем, или поиск мошеннических операций по логам системы автоматизации розничной торговли…, но задача эффективного обнаружения инфраструктурных атак любой сложности – прямая цель MDR – решается им в полном соответствии с современным ландшафтом угроз.

.

Гарантии качества (sla)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Максимальное гарантируемое число обработки событий в секунду (EPS) от одного клиента, исходя из реальной практикиНеприменимо, в технологическом стеке отсутствует SIEMEPS — динамическая характеристика, изменяющаяся в зависимости от объёма клиентской базы. На данный момент в мониторинге — 200 000 EPP, до конца года — до 500 000, соответственно возрастёт и EPSНе замерялось
Уровень гарантируемого времени обнаружения и реакции на атаку (detection-to-mitigation)99%Не замерялосьНе замерялось
Выявление атак, периодичность24х724х7По договорённости
Время выдачи рекомендаций (отчёта) по следам атакиОт 1 часаОт 2 часов до 1 дняОт 4 часов (немедленные рекомендации) до 24 часов (полный разбор)
Максимальный заявленный уровень ложных срабатываний (отправленных клиенту, но опровергнутых им)Не раскрываетсяНе замерялось0%

Детектирующие технологии (detect)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Мониторинг сети (сенсоры)TDS Sensor, Network Research & ProtectionKaspersky Anti Targeted AttackPT Network Attack Discovery, PT Industrial Security Incident Manager
Мониторинг рабочих мест (EPP / EDR)TDS Huntpoint, Behaviour Inspection & Host ForensicsKaspersky Endpoint Security, Kaspersky Endpoint Detection and ResponseНет, отдельные элементы на базе MaxPatrol SIEM и Sysmon
Мониторинг почтового трафикаTDS Sensor, Network Research & ProtectionKATA (в сети), KES (на конечной точке)MultiScanner
Мониторинг веб-трафикаTDS Sensor, Network Research & ProtectionKATA (в сети), KES (на конечной точке)PT Application Firewall
Выявление артефактов потенциального инцидентаIP-адреса и домены командных центров атакующих; контрольные суммы вредоносных файлов в форматах MD5, SHA1, SHA256; маркеры поведенческого анализа вредоносных объектов; рекомендации по реагированию на выявленные угрозыПолный отчёт об атаке или об исследованииВсе возможные артефакты
Сигнатурный анализ: файлыTDS Polygon, Malware Detonation & ResearchKaspersky Endpoint Security, Kaspersky Endpoint Detection and ResponseMultiScanner
Сигнатурный анализ: сетевой трафикTDS Sensor, Network Research & ProtectionKaspersky Anti Targeted AttackPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Поиск по шаблонам вредоносных программTDS Polygon, Malware Detonation & ResearchKaspersky Endpoint Security, Kaspersky Endpoint Detection and Response, Kaspersky Anti Targeted AttackMultiScanner
Песочница (Sandbox)TDS Polygon, Malware Detonation & ResearchKaspersky Research Sandbox, Kaspersky Anti Targeted AttackPT Sandbox
Потоки данных (feeds) Threat IntelligenceGroup-IB Threat IntelligenceKaspersky Threat Data FeedsPT Knowledge Base
Поиск аномалий в легитимном поведенииTDS HuntboxAdaptive Anomaly Control, встроенный в Kaspersky Endpoint Security, и на базе собственной разработкиPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Threat Intelligence Platform (TIP)Собственная разработкаKaspersky CyberTracePT Cybersecurity Intelligence
Threat Hunting Platform (THP)TDS HuntboxСобственная разработкаPT Network Attack Discovery
NTA / NFR (Network Traffic Analysis / Network Forensics)TDS SensorKaspersky Anti Targeted AttackPT Network Attack Discovery
UEBA (User and Entity Behavior Analysis)НетНетНет
Корреляция событий, полученных из средств детектированияTDS HuntboxСобственная разработкаMaxPatrol SIEM
Технологии, доступные локальноTDS Huntbox, TDS Polygon, TDS Sensor, TDS HuntpointKES и KATAPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, PT Sandbox, MultiScanner

Дополнительные вендорские сервисы

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Управление уязвимостямиНетНетДа
Внутренние технические аудиты ИБДаОтдельный сервисДа
Compliance-проверки (по контрольным спискам)ДаНетДа
Тесты на проникновение (pentest, Red Teaming)Да, полный наборДа, полный наборДа, полный набор
Управление уровнем защищённостиНетДаДа
Выявление и полное расследование мошенничества и атак (форензика)ДаДаДа
Криминалистический анализ, фиксация, документальное оформлениеДаДаДа
Юридическое сопровождение расследованияДаНетНет
Защита брендаДаДругая услугаНет
Киберразведка, OSINT (с отчётами)ДаДа, продаётся отдельноДа
Threat HuntingДа: Endpoint, NetworkДа: Endpoint, NetworkДа: Endpoint, Network
Разработка и адаптация индивидуальных сценариев (playbook) по реагированиюДаДа, на тарифном плане MDR ExpertДа
Анализ защищённости мобильных приложенийДаОтдельная услугаДа
Анализ безопасности кода приложенийДаДаДа
Аудит безопасности аппаратных решенийДаОтдельная услугаДа
Анализ защищённости банкоматов и POS-терминаловДаОтдельная услугаДа
Анализ защищённости промышленных технологий (АСУ ТП)ДаОтдельная услугаДа
Анализ защищённости телеком-системДаДаДа
Защита блокчейн-проектов и ICOДаДаДа
Про сертификаты:  Шуточные сертификаты. Шаблоны и примеры.

Интеграция со сторонними решениями

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Интеграция с Threat Intelligence, возможность импорта и экспорта IoCДа: STIX, TAXII, APIДа, в рамках сервиса команда может использовать любые данные MRTIДа
FW / NGFW (Firewall / Next Generation Firewall)Да, выгрузка IOC на сторонние FW и NGFW с применением RestAPIНетНет
IDS / IPS (Intrusion Detection System / Intrusion Prevention System)НетНетНет
Endpoint (антивирус, HIDS, EDR)НетНетНет
DLP (Data Leak Prevention)НетНетНет
WAF (Web Application Firewall)НетНетНет
SIEM / LM (Security Information and Event Management / Log Management)ДаНетДа, события в SIEM
IRP / SOAR (Incident Response Platform / Security Orchestration and Reaction)ДаНетНет
DBF / DAM (Database Firewall / Activity Monitor)НетНетНет
TIP (Threat Intelligence Platform)ДаНетНет
VM / VA (Vulnerability Management / Assessment)НетНетНет
Песочница (SandBox)НетНетНет
NTA (Network Traffic Analysis)Да: извлечение и пересылка файлов в Polygon, отправление расшифрованного трафика с TDS Decryptor в NTAНетНет
Интеграция с защитными решениями для облаковДа, интеграция с облачными файловыми и почтовыми серверамиНетНет
Интеграция с защитными решениями для мобильных устройствНет
Запланировано на 2020 г.
НетНет
Интеграция с популярными системами запросов (Service Desk)ДаНетДа
Предоставление API для интеграции со сторонними системамиДаНетДа

Личный кабинет (клиентский портал)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Личный кабинет для самостоятельного мониторинга обстановкиДа, бесплатноНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Предоставление доступа к личному кабинетуДа, бесплатноНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Возможность самостоятельного управления базовыми параметрами услуги в личном кабинетеДаНет, будет доступен 1 июля 2020 г.Нет
Самостоятельное заведение новых источников, официально поддерживаемых поставщикомДаНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Самостоятельное создание контрольных панелей (дашбордов)ДаНет, будет доступен 1 июля 2020 г.Нет
Самостоятельная регистрация инцидентовДаНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Конструктор и выгрузка отчётовДаНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Возможность тонкой настройкиДа, предоставляется возможность настройки дополнительных сигнатур, аналитических дашбордов с персонализированными срезами под конкретного клиента, а также поисковых запросовНет, будет доступен 1 июля 2020 г.Нет
Ролевая модель доступаДаНет, будет доступен 1 июля 2020 г.Нет
Возможность доменной авторизации (домен клиента)ДаНет, будет доступен 1 июля 2020 г.Нет
Самостоятельный поиск по инцидентамДаНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов
Наличие REST APIДаНет, будет доступен 1 июля 2020 г.Нет, только в рамках UI развёрнутых продуктов

Методология сравнения сервисов managed detection and response

При разработке методологии сравнения мы исходили из реальной практики оказания услуг вендорского MDR отечественными поставщиками. Относительно предыдущих сравнений услуг коммерческих SOC (часть 1 и часть 2) набор критериев был существенно переработан.

Это позволило учесть специфику и сфокусироваться на отличительных особенностях вендорских сервисов. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые сервисы могут серьёзно различаться даже на этом уровне.

Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Тестовый период
  3. Личный кабинет (клиентский портал)
  4. Основные сервисы
  5. Дополнительные сервисы
  6. Детектирующие технологии
  7. Технологии реагирования
  8. Технологии расследования
  9. Интеграция со сторонними решениями
  10. Особенности подключения
  11. Программы обучения специалистов заказчика
  12. Персонал
  13. Гарантии качества (SLA)
  14. Система оповещения и отчётности
  15. Режим работы и техническая поддержка
  16. Ценовая политика

Для участия в сравнении мы отобрали три наиболее известных в России сервиса MDR, предоставляемых российскими разработчиками средств защиты:

  • Group-IB Managed Detection and Response Services;
  • Kaspersky Managed Detection and Response;
  • Positive Technologies Expert Security Center.

Опасения относительно зарубежных вендоров были отражены во введении. Некоторые из иностранных провайдеров, увы, сразу же отказались от участия в сравнении, другие — высказали свои сомнения по поводу его целесообразности.

Все перечисленные выше поставщики активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведённом сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей.

Общие сведения

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Компания-вендорООО «ГРУППА АЙБИ СЕРВИС»АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО»АО «ПОЗИТИВ ТЕКНОЛОДЖИЗ»
Целевой сегментСредний, крупный бизнес, государственный секторСредние и крупные организации (более 500 рабочих мест)Крупный бизнес, государственный сектор
Штаб-квартираСингапур, СингапурРоссия, МоскваРоссия, Москва
Офисы присутствия команд специалистовМосква, Сингапур, Лондон, БахрейнМоскваМосква, Санкт-Петербург, Самара, Томск, Нижний Новгород
Физическое расположение ЦОДовСанкт-Петербург, Сингапур, БахрейнМосква, Дублин, БернМосква
Охват часовых поясовGMT 2 — GMT 1224×7GMT 2 — GMT 12
Количество клиентов (по данным поставщика)Более 200Более 300Более 30
География активных клиентовБолее 60 стран мира, включая Россию, СНГ, Европу, Ближний Восток, Азию, Африку, Латинскую АмерикуРоссия, Италия, Франция, Германия, Чехия, Индия, ОАЭ, СШАРоссия
Крупнейшие публичные клиентыНе раскрываетсяРТИ
Donau Chemie 
CyberGuard (OGL)
FIFA
Олимпиада в Сочи
Веб-сайтgroup-ib.comkaspersky.comptsecurity.com
Лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности (пункт «в»)ДаНетДа
Сертификаты на услугуSOC включён в область оценки по ГОСТ/ISO 9001 «Система менеджмента качества» (в процессе получения, ожидаемая дата — 2020 год)НетНет
Наличие сертификатов на внутренние процессы и безопасность самого провайдераSOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности» (в процессе получения, ожидаемая дата — 2020 год)Service and Organization Controls 2 (SOC 2); SOC включён в область оценки по ГОСТ/ISO 27001 «Система менеджмента информационной безопасности»Нет
Сроки подключения услуги1 день1 день1 день
Языки интерфейса клиентского порталаРусский, английскийРусский, английскийРусский, английский
Возможность клиентского визита к поставщикуДаНетДа
Срок существования услуги на рынке5 лет4 года5 лет
Оказание услуги в сегментах АСУ ТПДаДаДа
Наличие соглашений об информационном обмене с другими провайдерами: MDR, SOC, CERT, CSIRTБолее 10 прямых соглашений (например, с Интерполом, Европолом, FIRST, Trusted Introducer, OIC-CERT) и около 40 CERT, с которыми идёт обмен данными об угрозахФинЦЕРТ ЦБ РФ; весь список участников GReAT; весь список участников AMR5 соглашений, в том числе — с НКЦКИ, ФинЦЕРТ
Результаты независимого тестирования сервисовНетТест MITREНет
Сертификаты ФСТЭК, ФСБ на собственные продукты, задействованные в процессе оказания услугиGroup-IB TDS — ФСТЭК, ИТ.СОВ.С4.ПЗ; OAЦ при Президенте Республики Беларусь, №BY/112 02 01Kaspersky Anti Targeted Attack — ФСТЭК, РД НДВ4, ЗБ; Kaspersky Endpoint Security — ФСТЭК, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗMaxPatrol 8 — ФСТЭК, НДВ4; MaxPatrol SIEM — ФСТЭК, НДВ4; PT Application Firewall — ФСТЭК, профиль защиты МЭ типа «Г» 4 класса; PT Network Attack Discovery — ФСТЭК, требования к СОВ уровня сети 4 класса защиты, ИТ.СОВ.С4.П3; PT Industrial Security Incident Manager — ФСТЭК, НДВ4

Особенности подключения сервиса вендорского mdr

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Способы подключения площадок клиентаНа площадке клиента, облачный, гибридныйНа площадке клиентаНа площадке клиента
Возможность разворачивания необходимых решений в виртуальной средеДа, все популярные средыНетДа: виртуализация VMware, Kernel-based Virtual Machine
Подключение нестандартных (сторонних) источниковНетНетДа, от 1 недели
Разработка правил корреляции и правил реагирования для клиентаСоздание правила корреляции — от 1 суток; создание правила реагирования — по запросуСоздание правила корреляции — не более 1 дня; создание правил реагирования и фильтров — в постоянном режиме для клиентаСоздание правила корреляции или правила реагирования — от 1 дня
Возможность выбора сценариев мониторингаНет24х7 или 8х5Да
Предоставление клиенту оборудования для разворачивания необходимых решенийДа, платноНетДа, входит в стоимость услуги
Возможность локального хранения и обработки клиентских данныхДаДа, в рамках Kaspersky EDR Optimum и ExpertДа
Минимальные требования к инфраструктуре клиента: наличие оборудования и ПОНе предъявляютсяТребуется установка Kaspersky Endpoint Security for BusinessНе предъявляются
Минимальная ширина канала10 Мбит/сС одного хоста — не больше 5 МБ телеметрии в деньТребования отсутствуют
Необходимость приобретения решенийTDS SensorKaspersky Endpoint Security for Business и / или Kaspersky Endpoint Detection and Response и / или Kaspersky Anti Targeted AttackНет
Обеспечение конфиденциальности клиентских данных, передаваемых поставщикуДа, шифрование SSL/TLS Да: физическая безопасность, логический контроль доступа, шифрование каналов при передаче, взаимная аутентификация, регулярный анализ защищённостиДа: шифрование, ограничение доступа, локальное хранение данных у клиента

Персонал вендорского mdr

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Подтверждённый опыт команды аналитиковСертификаты SSCP, CISSP, CISA, OSCP, CEH, CWSP, GCFA, GIAC Reverse Engineering Malware, GIAC Cyber Threat Intelligence — GCTI и др.Сертификаты Offensive Security, EC-Council, SANS, ISACA, ISC2 у аналитиков и руководства SOC, у группы реагирования на инцидентыСертификаты SANS, ISACA, ISC2, Offensive Security и др.
Численность персонала, суммарно и по каждой линии (L1, L2, L3)Суммарно: 100 чел.
L1 — 26
L2 — 24
L3 — 28
L4 — 22
27 чел.
Динамически масштабируемая команда SOC. На текущем уровне развития в среднем — 20 000 EPP на одного аналитика, в перспективе — до 100 000 EPP на одного аналитика (достигается автоматизацией работы и применением машинного обучения)
Суммарно: 39 чел.
L1 — 7
L2 — 10
L3 — 22
Экспертиза и задачи L1 (1-й линии)Базовая обработка и анализ инцидентов, фильтрация ложных срабатываний, обработка входящих запросов, подготовка отчёта по инциденту, эскалация на L2Автоматика (обогащение, разметка, автоаналитика — машинное обучение)Экспертная валидация и классификация запроса, решение 95% типовых инцидентов
Процедура предварительного обследования и анализа рисков клиентовДа, в соответствии с собственной методикойДа: при подключении клиента тратится 2-4 недели на период адаптации. В это время отлаживаются клиентские фильтры, вместе с клиентом на основе выявленных инцидентов определяется, что легитимно, а что — нетДа
Выделение технического куратора услуги для заказчика (аналитика)ДаДа, два ответственных аналитикаДа
Выделение организационного куратора услуги для заказчика (сервис-менеджера)ДаДаДа
Кадровая динамика за последние три годаЕжегодный рост численности специалистов на 50 %Март 2021 г. — 2 человека, март 2020 г. — 27 человек. Есть политика динамического увеличения операционной части SOC в зависимости от объёма клиентской базыС 2021 года — пятикратный рост
Кадровая политикаНепрерывное обучение, повышение квалификации и уровня экспертизы, обмен знаниями между специалистами, сотрудничество с профильными вузами, наличие программы наставничества (Курс кибербойца СЕRТ-GIB) для новых специалистов и стажёровСо стороны SOC есть стандартный процесс включения в работу (on-boarding), требования к квалификации. Соответствующего по квалификации кандидата можно подготовить в среднем за 2-4 месяцаРабота с ключевыми вузами, обучение, стажировки
Про сертификаты:  Департамент здравоохранения Москвы - Аккредитация специалистов с высшим образованием

Режим работы и техническая поддержка

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Возможность выбора режимов работыВсегда 24х7Всегда 24х7Да, можно установить любой режим по договорённости
Дежурная смена мониторинга и реагирования на инциденты 24х7ДаДаДа
Техническая поддержка 24х7 по телефонуДаНетДа
Чат технической поддержки (онлайн-помощник)НетДа, на тарифном плане MDR ExpertДа
Техническая поддержка в мессенджерах (Skype, Telegram и др.)Да: Telegram, WhatsApp, SkypeДа, TelegramДа, любые необходимые по согласованию с заказчиком
Возможность выезда на площадку заказчикаДаДа, в случае если клиент запрашивает реагирование на инцидент силами «Лаборатории Касперского». Услуга опциональна и тарифицируется отдельноДа, по запросу клиента

Система оповещения и отчётность (для детектирования, анализа и реагирования)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Отправка отчётов на почтуДа, периодичность обсуждается с заказчикомДа: карточка инцидента, еженедельная отчётностьДа, по согласованию с клиентом
Телефонный звонок при инцидентахДа, по согласованию с клиентомДа, по договорённости с заказчикомДа, по договорённости
Оповещение по SMS и в мессенджерахДаДаДа
Возможность получения «отчётов для руководства», написанных вручнуюДа, периодичность обсуждается с заказчикомТолько в рамках отдельного сервисаДа

Тестовый период

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Тестовый периодОт 2 недельОт 1 до 3 месяцевНет
Ограничения по функциональности и набору поставляемых решенийБез ограниченийОграничений по функциональности на тестовый период нетНет тестового периода
Количество дней (средний пилот)До 6 недельОт 1 до 3 месяцевНет тестового периода
Возможность получить примеры отчётов до покупкиДаДаНет тестового периода

Технологии расследования (investigation)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Инструменты расследования в режиме реального времени, доступные клиентуГрафовый анализ процессов заражения рабочей станции (TDS Huntpoint), графовый анализ инфраструктуры атакующего (TDS Huntbox), события ИБ с полным контекстом атакиKaspersky EDR Optimum и Expert, портал Kaspersky MDRMaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner
Визуализация распространения атаки: графы, картыДаДаДа
Инструменты для ретроспективного расследования по всей собранной ранее базе артефактовДаДаДа
Прослеживаемый путь движения инцидента в системе (workflow)ДаДаДа
Возможность менять значимость со стороны клиентаДаНетДа
Возможность помечать ложные срабатывания (false positive)ДаДаДа
Сохранение мгновенного состояния расследования в «сыром» виде (snapshot)ДаДаДа
Доступ к базе знаний (для использования клиентами)ДаДаДа
Формальное документирование процесса анализа (casebook)ДаНетДа
Накопление и анализ статистики по атакам, изменение на её основе параметров услугиДаДаДа
Категорирование атак согласно матрице MITRE ATT&CKДаДаДа
Анализ TTP (Tactics, Techniques and Procedures) для дальнейшей корректировки параметров реагированияДаДаДа
Анализ внутренних процедур, стандартов для дальнейшей корректировки параметров реагированияДаНетДа
Технологии, доступные локальноTDS Huntbox, TDS Polygon, TDS Sensor, TDS HuntpointВ рамках сервиса Incident Response RetainerMaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, MultiScanner

Технологии реагирования (response)

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Активная защита рабочих мест (EPP / EDR)TDS HuntpointKaspersky Endpoint Security, Kaspersky Endpoint Detection and ResponseНет
Блокировка угроз в почтовом трафикеTDS Sensor TDS PolygonЕсть, KES и KATAMultiScanner
Блокировка угроз в веб-трафикеНетЕсть, KES и KATAPT Application Firewall
Сетевые блокировки (FW / NGFW)НетНетPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Блокировка вторжений (IPS)НетНетPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall
Генерация правил реагирования в стандартизированных форматахYARA-правила или пользовательские сигнатурыНетНет
Возможность самостоятельного написания правил реагированияНетKaspersky EDR Optimum и ExpertНет
SIEM-системаНетСобственная разработкаMaxPatrol SIEM
Реакция на атаку: немедленное уведомление по всем согласованным каналамДаДаДа
Реакция на атаку (кроме уведомления): немедленное принятие мер на стороне поставщика, без дополнительного согласованияДа, по предварительному согласованию охвата (scope)Да, только на заранее согласованные с заказчиком типы инцидентовДа, по предварительному согласованию охвата (scope)
Реакция на атаку: немедленное принятие мер на стороне клиента (если применимо)ДаДаДа
Разработка сквозных сценариев реагирования между поставщиком и клиентомДаДаДа
Удалённое реагирование (воздействие на инфраструктуру заказчика) силами поставщикаДаДаДа
Технологии, доступные локальноTDS Polygon, TDS Sensor, TDS HuntpointKES и KATAPT Network Attack Discovery, PT Industrial Security Incident Manager, PT Application Firewall, MaxPatrol SIEM, MultiScanner

Ценовая политика

Критерий сравненияGroup-IB Managed Detection and Response ServicesKaspersky Managed Detection and ResponsePositive Technologies Expert Security Center
Описание политики формирования стоимости, исследованияНе раскрываетсяСтоимость зависит от количества узлов в мониторинге, а также от уровня сервиса — MDR Optimum или MDR Expert. В рамках MDR Expert клиент получает доступ к SOC-аналитику «Лаборатории Касперского», возможность хранить «сырые» данные в течение большего количества времени, возможность формировать индивидуализированные сценарии (playbooks), API для выгрузки данных, а также доступ к выделенным функциям Kaspersky Threat Intelligence Portal. Сложные случаи могут потребовать непосредственного вовлечения команды по реагированию. Если клиент хочет привлечь команду «Лаборатории Касперского», то её работа тарифицируется исходя из количества потребовавшихся на реагирование рабочих часов.Исходя из набора услуг и коэффициента сложности клиента определяется количество требуемых человекочасов для оказания запрошенных услуг
Описание политики формирования стоимости, детектирование и реагированиеНе раскрывается
Описание политики формирования стоимости, восстановлениеНе раскрывается
Тарифные планыНе раскрываетсяMDR Optimum и MDR ExpertНе раскрывается
Минимальная стоимость оказания услуг вендорского MDRНе раскрываетсяНе раскрываетсяФормируется исходя из набора услуг и требуемых человекочасов
Схема продаж услугиСмешаннаяПартнёрскаяПрямая, партнёрская, смешанная
Заявка на подключениеgroup-ib.rukaspersky.comptsecurity.com

Выводы

Услуги мониторинга, реагирования на угрозы и расследования киберинцидентов в России набирают популярность. Этот факт подтверждается ростом количества клиентов не только коммерческих сервисов SOC, но и услуг Managed Detection and Response от производителей средств защиты, что порождает всё больше публичных историй успеха, в том числе — и с зарубежными заказчиками.

Кроме того, заявленное время подключения услуги у всех поставщиков составляет считаные дни (у SOC, как правило, соответствующая операция осуществляется в течение месяца), что является не только поводом для гордости, но и индикатором серьёзного уровня зрелости отечественных вендоров.

Однако далеко не все из них готовы предоставлять тестовый период или приглашать на клиентский визит. В отличие от SOC, где личный кабинет и определённая самостоятельность клиента являются ключевыми «фишками», не все вендорские MDR имеют общую консоль сервиса, отдавая управление конкретным средствам защиты.

Одно из самых «вкусных» преимуществ сервисов MDR от производителей средств защиты кроется в наборе сервисов. Всесторонний мониторинг киберпространства, максимальное количество знаний об угрозах и вредоносных объектах, техниках и тактиках атакующих, хакерских группировках — всё это имеется в различных вариациях в арсенале каждого участника сравнения.

Полезным является также предоставление клиенту кратких и подробных отчётов, в том числе — бизнес-сводок для высшего руководства. Накопленные вендорами компетенции позволяют помимо классических пентестов и аудитов предлагать также нетривиальные услуги, такие как анализ надёжности кода приложений, аудит безопасности аппаратных решений, проверка защищённости банкоматов и POS-терминалов, промышленных технологий (АСУ ТП) и телеком-систем, защита блокчейн-проектов и ICO.

Отдельные поставщики помогают и с задачами смежного профиля, вроде юридического сопровождения расследований, защиты бренда или управления уязвимостями у клиента. Кроме того, уникальными могут оказаться специализированные обучающие курсы по редким и важным темам: цифровая криминалистика, анализ вредоносных программ и обратная разработка (Reverse Engineering), реагирование на инциденты, написание комплексных правил, анализ инцидентов, проактивный поиск угроз (Threat Hunting), аналитика SOC и другие. Все представленные вендоры имеют собственные тренировочные центры.

В силу специфики того или иного поставщика в его портфеле могут отсутствовать некоторые классы решений, такие как EPP, UEBA, WAF, FW, IDS. Однако собственных технологий вендорского MDR, как правило, хватает для качественного детектирования угроз и реагирования на атаки, а «родная» интеграция позволяет максимально эффективно выполнять поставленные клиентом задачи.

Отдельно стоит упомянуть SIEM-системы, которые в ряде случаев не представлены самостоятельными продуктами, но всё равно так или иначе являются неотъемлемой частью всех услуг вендорского MDR, пусть и в качестве собственных внутренних разработок. Технологии расследования инцидентов широко и качественно представлены всеми поставщиками.

Они позволяют клиенту собрать все необходимые факты и наглядно представить их в отчётах согласно лучшим методикам, фреймворкам и практикам, в том числе — с визуализацией. Ожидаемо, что интеграция со сторонними решениями со стороны вендоров не является всеобъемлющей.

Подключение сервиса MDR и развёртывание необходимых для него продуктов на площадке заказчика все вендоры осуществляют оперативно, способны за считаные дни индивидуализировать сценарии работы и правила корреляции, а также согласны хранить все важные клиентские данные локально, без передачи в облако.

Анализ особенностей персонала и технической поддержки MDR не выявил особенных отличий в сравнении с поставщиками SOC: такой же активный прогресс и наращивание компетенций — кроме, пожалуй, одного факта. Реализация довольно интересной и широко обсуждаемой сегодня концепции «центр мониторинга и реагирования без первой линии» (полностью заменяется применением автоматизации, технологиями машинного обучения) встретилась лишь у одного вендора.

Как и в случае с SOC, поставщики услуг MDR крайне неохотно раскрывают собственную ценовую политику и особенности лицензирования. Отдельная благодарность от редакции звучит в адрес «Лаборатории Касперского» за то, что коллеги согласились хотя бы подробно описать особенности формирования стоимости услуги (увы, без конкретных цен) и назвать тарифные планы. Бюджет, необходимый для выделения, клиенты смогут оценить исключительно по запросу.

Оцените статью
Мой сертификат
Добавить комментарий