Co-managed SOC, czyli hybryda

W świecie IT dużą popularnością cieszą się rozwiązania hybrydowe, a podobna tendencja widoczna jest w centrach operacji bezpieczeństwa. Model ten nosi nazwę Co-managed SOC i coraz częściej sięgają po niego nawet duże organizacje dysponujące własnymi zespołami.

– Łączenie własnego SOC z usługami zewnętrznymi jest w pełni możliwe i coraz powszechniej stosowane w praktyce. Model hybrydowy pozwala połączyć wewnętrzne zasoby, zespół analityków wyższego szczebla, narzędzia klasy SIEM i EDR/XDR oraz wypracowane procesy z zewnętrznym wsparciem obejmującym całodobowy monitoring, wstępną selekcję alertów i polowanie na zagrożenia – tłumaczy Artur Bicki.

Szczególnie cennym elementem jest dostęp do rzadkich kompetencji i wsparcia eksperckiego. Zewnętrzny partner może jednocześnie przejąć najprostsze czynności: segregację alertów i filtrowanie fałszywych alarmów. Wdrożenie modelu Co-managed SOC niesie jednak pewne trudności. Specjaliści wskazują w tym przypadku na brak ujednoliconych standardów, niejasny podział odpowiedzialności oraz kwestie kosztowe, które koniecznie trzeba uwzględnić już na etapie projektowania architektury oraz zakresu współpracy.

Biznes dla integratora

Rynek zmierza w kierunku modeli zarządzanych i hybrydowych. Dla kanału partnerskiego oznacza to zarówno szansę, jak i konieczność transformacji oferty: od jednorazowych projektów w kierunku trwałych usług ciągłych. Integratorzy, którzy już teraz zbudują powtarzalne modele świadczenia SOC-as-a-Service lub Co-managed SOC, zajmą najlepsze pozycje w segmencie, który w Polsce dopiero się kształtuje.

– W Polsce nie widać jeszcze dużego zainteresowania świadczeniem takich usług. Pozornie ofert na rynku jest dużo, ale znaczna ich cześć stanowi jedynie opis na stronie integratora i nie są w tym kierunku czynione inwestycje. Dla porównania, w Azji integratorzy w zasadzie nie sprzedają licencji i klasycznych wdrożeń systemu bezpieczeństwa, lecz rozmawiają z klientami o obsłudze serwisowej – zauważa Artur Bicki.

Warto dodać, że o ile duzi integratorzy już świadczą usługi SOC-as-a-Service i posiadają w tym zakresie wysokie kompetencje, o tyle mniejszych przytłacza złożoność systemów SIEM oraz wkład pracy przy integracji źródeł, budowanie reguł detekcyjnych i utrzymywanie środowiska.

Zdaniem specjalisty

Maciej Iwanicki, Business Development Manager, Fortinet Maciej Iwanicki, Business Development Manager, Fortinet  

Koszty wdrożenia i utrzymania SOC zmieniają się wraz ze skalą przedsiębiorstwa, ale nie wprost proporcjonalnie do liczby pracowników. Różnice między środowiskiem obsługującym około 100 a 1000 użytkowników wynikają przede wszystkim z przyjętego modelu operacyjnego, zakresu automatyzacji oraz stopnia dojrzałości procesów bezpieczeństwa. W przypadku organizacji zatrudniających około 100 pracowników główne nakłady finansowe obejmują licencje na podstawowe technologie, takie jak SIEM, EDR/NDR czy SOAR, a także integrację źródeł logów i zapewnienie minimalnej widoczności środowiska. Niezbędne jest również utrzymanie niewielkiego zespołu operacyjnego, który odpowiada za bieżący monitoring i reagowanie na incydenty. Przy tej skali szczególnie trudne jest pogodzenie kosztów stałych z potrzebą zapewnienia ciągłości nadzoru, zwłaszcza w trybie 24/7. W większych organizacjach, liczących około 1000 pracowników, całkowite koszty są wyższe, ale pojawia się efekt skali. Centra SOC tej wielkości częściej wykorzystują zaawansowaną automatyzację, mechanizmy threat intelligence oraz wyraźny podział ról na zespoły pierwszej, drugiej i trzeciej linii wsparcia.

  
Chester Wisniewski, dyrektor ds. technologii, Sophos Chester Wisniewski, dyrektor ds. technologii, Sophos  

Mniejsze firmy czasem próbują prowadzić SOC tylko w godzinach pracy, ale nasze dane pokazują, że niemal 90 procent incydentów ma miejsce poza standardowymi godzinami. Prawdopodobnie jest to celowe działanie cyberprzestępców, którzy wiedzą, że wtedy czujność jest mniejsza. Część firm wybiera więc model, w którym korzysta z usług MDR, a wewnętrznie utrzymuje mniejszy zespół SOC, który lepiej zna biznes i wspiera działania dostawcy. Dzięki temu nie trzeba obsadzać pełnego SOC tak, jak w dużych przedsiębiorstwach, a jednocześnie można zachować ochronę 24/7. To też o tyle ważne, że największym kosztem w SOC są zazwyczaj wynagrodzenia dla specjalistów. Warto dodać, że choć wiele firm usługowych wchodzi na rynek MDR/SOC as a Service, to poziom skuteczności tych usług bywa bardzo zróżnicowany. Z mojego doświadczenia wynika, że najlepiej radzą sobie ci dostawcy, którzy koncentrują się na konkretnych branżach, ponieważ są w stanie dostarczyć usługę lepiej dopasowaną i uwzględniającą realne potrzeby danego sektora.

  
Monika Bakura, Country Manager, GreyCortex Monika Bakura, Country Manager, GreyCortex  

Tempo uruchamiania SOC w Polsce wyraźnie przyspieszyło w ostatnich kilkunastu miesiącach. Największe zainteresowanie obserwuję wśród dużych organizacji sektora przemysłowego i energetycznego, ale także wśród integratorów IT. Ci ostatni, świadcząc usługi w modelu SOC-as-a-Service, pokrywają potrzeby mniejszych podmiotów w tym zakresie, jak też potrzeby modelu hybrydowego. O wyborze SOC-as-a-Service decydują głównie: koszty, brak dostępnych specjalistów oraz potrzeba wdrożenia monitoringu 24/7. Dla wielu organizacji to najszybszy i najbardziej efektywny sposób spełnienia wymagań regulacyjnych oraz podniesienia poziomu cyberbezpieczeństwa bez konieczności budowy własnych struktur.