Yandex Cloud Detection and Response (YCDR)

Основная статья: Security Information and Event Management (SIEM)

2025: «Яндекс.Облако» выходит на рынок ситуационных центров управления ИБ

«Яндекс.Облако» 9 апреля продемонстрировала работу разрабатываемого компанией сервиса облачного выявления инцидентов и реагирования на них под названием Yandex Cloud Detection & Response (YCDR). Он позволяет компаниям арендовать в облаке ситуационный центр управления информационной безопасностью (Security Operation Center – SOC). Впрочем, пока компания только принимает заявки на тестирование, а полноценный запуск намечен на конец второго квартала, когда компания займется реализацией пилотов.

Сервис SOC из облака (SOCaaS) предназначен для того, чтобы позволять компаниям контролировать защищенность облачной и корпоративной инфраструктуры и реагировать на происходящие события. Однако на первом этапе YCDR будет работать только с ресурсами, которые расположены на мощностях «Яндекс.Облако», уточнили в компании. Через некоторое время появится возможность собирать информацию и из корпоративной инфраструктуры заказчика. Дальше в планах компании – реализовать возможность получения событий и из других облаков, что позволит YCDR работать в мультиоблачной конфигурации.

𝓲

Фото: Яндекс.Облако

Ядром YCDR является Security Data Lake – «озеро данных» о событиях безопасности, куда собирается вся информация, связанная с защитой облачной и корпоративной инфраструктуры. Анализом этого «озера» занимается система управления событиям информационной безопасности (SIEM), которая разработана с нуля сотрудниками «Яндекс». Она была создана для собственного SOC компании, а при подключении услуг YCDR станет доступна и для клиентов. Причём для анализа большого объема данных «озера» разработаны специальные технологии искусственного интеллекта.X5 пересобирает ИТ-блок и расширяет применение роботов. Интервью с Александром Костиным, управляющим директором X5 Tech 10.1 т

Результатом работы YCDR являются предупреждения о возможных инцидентах безопасности, а также различные отчеты о состоянии защищенности корпоративных ресурсов компании и их облачной части. Получение услуги SOCaaS поможет компании быстро обеспечить мониторинг событий информационной безопасности, что не исключает построения со временем собственного центра реагирования на инциденты.

Компания также заявила и об обновлении двух других сервисов: Yandex Security Deck и Cloud Desktop, которые получили дополнительный функционал безопасности благодаря интеграции с YCDR. В частности, аналитика и отчетность YCDR станет доступна на платформе обеспечения безопасности облачных услуг Security Deck.

𝓲

Фото: Яндекс.Облако

Одними из первых в области SOCaaS в России была компания Softline, которая в 2020 году запустила сервис на базе продукта Microsoft Azure Sentinel, однако сейчас воспользоваться им затруднительно. В России же услуги SOCaaS сейчас оказывает компания Usergate в виде сервиса Security Operations Center. Также сервисы аналогичного класса можно получить от компании 1cloud под общим названием «Центр мониторинга информационной безопасности». Еще одним примером сервисов SOCaaS является Smart SOC, который можно получить от компании Step Logic.

Российский рынок можно назвать достаточно зрелым, существуют игроки для разных сегментов клиентов, — считает Евгения Хамракулова, руководитель направления по развитию бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар». — Есть компании с многолетним опытом предоставления сервиса SOC с уже выстроенными процессами, а есть новые SOCaaS, которые пока в начале пути. Фактически SOCaaS обслуживает ИБ-подразделения компаний. С одной стороны, одной из проблем остается нехватка ресурсов для построения собственного SOC. А с другой, финансовые возможности служб ИБ могут увеличиваться или уменьшаться в соответствии с развитием бизнеса.

Хотя предлагаемые «Яндекс.Облако» решения и являются новыми для рынка, фактически они уже отработаны во время защиты инфраструктуры самой компании, услугами которой пользуется большое число клиентов. То есть как участник рынка «Яндекс.Облако» является новым игроком, но как технологическая компания она может считаться зрелой.

Российский рынок облачных SOC активно развивается, особенно в последние годы, — поделился своими данными с TAdviser Александр Боярский, директор по развитию SOC в «К2 Кибербезопасность». — Это связано с усложнением и ростом числа кибератак, необходимостью соответствовать требованиям регуляторов. Согласно нашему совместному с «Лабораторией Касперского» исследованию, 44% компаний, использующих SOC, выбирают сервисную модель. 41% компаний из числа тех, кто планирует внедрить SOC в 2025 году, также выбирают SOCaaS. Все это подтверждает высокий спрос на подобные решения. Основные драйверы: доступность высококвалифицированных специалистов, передовые технологии и возможность быстрого развертывания.

А если учесть, что в процессе импортозамещения достаточно много информационных систем было переведено в российские облака, то их защита и реагирование на инциденты безопасности в них являются очень востребованными услугами. Если сами операторы облаков начинают предоставлять услуги по защите своих облаков и корпоративной инфраструктуры, то такой набор услуг может оказаться очень востребованным в текущих рыночных условиях.

Основными пользователями услуг облачного SOC зачастую являются организации, в которых наблюдается нехватка специалистов или же установлены ограничения по бюджету, — прокомментировал ситуацию на рынке SOCaaS Антон Александров, директор по развитию бизнеса Cloud Networks. — Распространены эти услуги и у тех заказчиков, которые предпочитают работать на базе OPEX. Насколько мы можем судить по динамике последних нескольких лет, в ближайшем будущем SOCaaS продолжит своё развитие в рамках российского рынка и останется одной из самых востребованных услуг. Тем не менее, по вышеуказанным причинам, спрос на классический вариант SOC может снизиться из-за появления новых сервисов.

Действительно, перенос значительной части ресурсов компаний в облака может привести к изменениям и на рынке SOC, которые эту инфраструктуру защищают. Классическим SOC, возможно, не хватит компетенций на должном уровне защищать облачные ресурсы компаний. Поэтому специалисты SOCaaS, которые имеют больше компетенций в защите облачных ресурсов, могут найти свою нишу на рынке услуг коммерческих SOC.

𝓲

Фото: Freepik

Пользователями услуг SOC являются в основном крупные компании с развитой ИТ-инфраструктурой и цифровыми сервисами, но не обладающие достаточными ресурсами, временем или экспертизой для эффективного противодействия актуальным киберугрозам, — заявил TAdviser Владимир Дмитриев, заместитель директора экспертного центра безопасности компании Positive Technologies. — Такие компании обычно обращаются к облачным SOC для мониторинга событий безопасности (сбор и хранение логов), их анализа (выявление аномалий и атак) и реагирования на подтверждённые инциденты для нейтрализации действий злоумышленников и предотвращения ущерба. Также востребованы услуги защиты веб-приложений и каналов связи от DDoS-атак, атак на приложения, а также защиты от угроз в сетевом трафике.

Сейчас YCDR имеет ограниченный набор функций, однако у него есть хорошие перспективы развития и возможности для реализации наиболее востребованных услуг.

К наиболее востребованным услугам SOC относятся мониторинг, реагирование и управление инцидентами ИБ, — поделился с TAdviser своими наблюдениями Алексей Кубарев, директор по информационной безопасности «Т1 Облако» и «Т1 Интеграция». — В SOC-платформах активнее будут применяться инструменты ИИ и ML. В основном услугами SOC пользуются компании из сферы финансов, энергетики, телекоммуникаций, ритейл, ТЭК, а также ИТ-интеграторы и провайдеры облачных решений, включающие SOC в часть системы комплексной безопасности. Заказчики из сегмента СМБ, у которых нет возможности построить собственный SOC, но есть потребность в мониторинге и реагировании на инциденты ИБ, все больше интересуются облачным SOC.