В мире ИБ существуют подходы, когда SOC строится на open source компонентах, но к нему у специалистов есть множество вопросов. Директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков предлагает в связи с этим рассмотреть два момента — от злоумышленников какого уровня компания защищается на самом деле и каков размер самой компании.
«Одним из самых важных технологических параметров SOC является его производительность — какие потоки событий и данных система вообще в состоянии «переваривать». Если речь идет о крупной компании, то любые работы с инструментами open sourсe всегда вызывают вопросы. Крайне редко получается добиться требуемой производительности и соответствующего качества правил корреляции. Поэтому для больших компаний, на мой взгляд, open source не может быть правильным решением — им подойдут только корпоративные инструменты», — отметил эксперт в интервью BIS Journal.
Второй вопрос, по его словам, связан с возможностями детектирования, которые дают утилиты open source. В качестве примера Владимир Дрюков привел Sysmon — так называемый open source EDR, который развивается как часть разработки Microsoft. «Sysmon дает очень неплохой уровень покрытия конечной станции и позволяет увидеть очень большое количество атак, в том числе сложных. Тем не менее его функционал ограничен по сравнению с коммерческими EDR», – отметил он.
И именно ограниченный функционал open source решений, по словам спикера, позволяет злоумышленникам, понимающим, что компанию защищают при помощи open source, использовать те утилиты и техники, которые помогут обойти такую защиту. Например, киберпреступники могут работать с исключениями, использовать вектора атак, которые не покрываются возможностями мониторинга того же Sysmon, и так далее. «И это, конечно, очень серьезный вызов для компаний, выбирающих open source, потому что по большому счету они зависят не от коммерческого вендора, а от того, насколько сами смогут доработать утилиту и заложенные в ней ограничения», — сказал Владимир Дрюков.
И здесь, по мнению эксперта, заключен еще один вызов — формирование команды. Как он отметил, когда специалисты должны быть одновременно разработчиками, аналитиками, настройщиками SIEM и сетевыми инженерами — это всегда сложно. А обучать таких «универсальных бойцов» тяжело, они очень привлекательны для рынка, и в этом случае зависимость компании от специалиста становится критической.
«Если сотрудника, знающего SIEM, найти все-таки можно (а также можно разобрать и восстановить написанный таким сотрудником контент), то в случае изучения чужого кода это гораздо более сложная задача. И в целом собственная разработка на open sourсe подразумевает, что коллектив не разбежится или что написанный им контент можно будет восстановить силами новых сотрудников», — заключил Владимир Дрюков.
Больше углубиться в технологии построения SOC, узнать о новых трендах и тенденциях из первых рук, а также поделиться опытом вы сможете на предстоящем крупнейшем ИБ-мероприятии года — SOC-Форум 2021, который пройдет 7-8 декабря в Москве.
От себя компания «Ростелеком-Солар» обещает богатую программу на Форуме, в том числе для технических специалистов. «В этом году мы подробнее поговорим про структуру даркнета и действия злоумышленников. Помимо методологических знаний для защищающих команд, мы дадим и более углубленный контент для «хардкорных» специалистов, заинтересованных в технических деталях, – для этого будет организовано несколько технических треков. Безусловно, будем развивать кадровый и бизнесовый треки», — отметил Владимир Дрюков.
Не пропустите SOC-Форум 2021, следите за новостями на сайте мероприятия — проект программы уже опубликован, также отрыта регистрация для участия. А для тех, кто не сможет посетить мероприятие лично, есть возможность зарегистрироваться на онлайн-трансляцию.
