В мире ИБ существуют подходы, когда SOC строится на open source компонентах, но к нему у специалистов есть множество вопросов. Директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков предлагает в связи с этим рассмотреть два момента — от злоумышленников какого уровня компания защищается на самом деле и каков размер самой компании.

«Одним из самых важных технологических параметров SOC является его производительность — какие потоки событий и данных система вообще в состоянии «переваривать». Если речь идет о крупной компании, то любые работы с инструментами open sourсe всегда вызывают вопросы. Крайне редко получается добиться требуемой производительности и соответствующего качества правил корреляции. Поэтому для больших компаний, на мой взгляд, open source не может быть правильным решением — им подойдут только корпоративные инструменты», — отметил эксперт в интервью BIS Journal.

Второй вопрос, по его словам, связан с возможностями детектирования, которые дают утилиты open source. В качестве примера Владимир Дрюков привел Sysmon — так называемый open source EDR, который развивается как часть разработки Microsoft. «Sysmon дает очень неплохой уровень покрытия конечной станции и позволяет увидеть очень большое количество атак, в том числе сложных. Тем не менее его функционал ограничен по сравнению с коммерческими EDR», – отметил он.

И именно ограниченный функционал open source решений, по словам спикера, позволяет злоумышленникам, понимающим, что компанию защищают при помощи open source, использовать те утилиты и техники, которые помогут обойти такую защиту. Например, киберпреступники могут работать с исключениями, использовать вектора атак, которые не покрываются возможностями мониторинга того же Sysmon, и так далее. «И это, конечно, очень серьезный вызов для компаний, выбирающих open source, потому что по большому счету они зависят не от коммерческого вендора, а от того, насколько сами смогут доработать утилиту и заложенные в ней ограничения», — сказал Владимир Дрюков.

И здесь, по мнению эксперта, заключен еще один вызов — формирование команды. Как он отметил, когда специалисты должны быть одновременно разработчиками, аналитиками, настройщиками SIEM и сетевыми инженерами — это всегда сложно. А обучать таких «универсальных бойцов» тяжело, они очень привлекательны для рынка, и в этом случае зависимость компании от специалиста становится критической.

«Если сотрудника, знающего SIEM, найти все-таки можно (а также можно разобрать и восстановить написанный таким сотрудником контент), то в случае изучения чужого кода это гораздо более сложная задача. И в целом собственная разработка на open sourсe подразумевает, что коллектив не разбежится или что написанный им контент можно будет восстановить силами новых сотрудников», — заключил Владимир Дрюков.

Больше углубиться в технологии построения SOC, узнать о новых трендах и тенденциях из первых рук, а также поделиться опытом вы сможете на предстоящем крупнейшем ИБ-мероприятии года — SOC-Форум 2021, который пройдет 7-8 декабря в Москве.

От себя компания «Ростелеком-Солар» обещает богатую программу на Форуме, в том числе для технических специалистов. «В этом году мы подробнее поговорим про структуру даркнета и действия злоумышленников. Помимо методологических знаний для защищающих команд, мы дадим и более углубленный контент для «хардкорных» специалистов, заинтересованных в технических деталях, – для этого будет организовано несколько технических треков. Безусловно, будем развивать кадровый и бизнесовый треки», — отметил Владимир Дрюков.

Не пропустите SOC-Форум 2021, следите за новостями на сайте мероприятия — проект программы уже опубликован, также отрыта регистрация для участия. А для тех, кто не сможет посетить мероприятие лично, есть возможность зарегистрироваться на онлайн-трансляцию.

15 ноября, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.02.2024
Крупнейшие российские провайдеры ЦОДов вошли в SDN-лист
26.02.2024
«И вот опять». РКН — об утечке ПДн в полмиллиона строк
26.02.2024
Дипфейки отметились в более чем двух тысячах атак на россиян в этом январе
26.02.2024
Кто ещё попал в прицел Минфина США в этом месяце
26.02.2024
В России готовятся защитить транспортные средства от кибертатак
26.02.2024
Минцифры импортозамещает Digital Markets Act?
26.02.2024
Закон о самозапрете на выдачу кредитов подписан
26.02.2024
В ВТБ рассказали о мошенниках из «налоговой»
26.02.2024
«На Форуме нас ждёт конструктивная дискуссия по самым актуальным вопросам кибербезопасности России»
22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных