«АнтиПленарка» на SOC-Форум 2019: SOC’ам быть?!
Наименование организаторов форума, как и тема пленарного заседания мероприятия, не допускали сомнений в отношении регуляторов к оценке значимости центров мониторинга угроз информационной безопасности в общей системе государственной безопасности. Оценка высокая, SOC’ам быть!
Плюрализм мнений наблюдается лишь в том, как лучше строить эти самые SOC’и.
В роли коллегии адвокатов дьявола по этому вопросу на SO-Форуме выступили Дмитрий Гадарь (Тинькофф Банк), Владимир Дрюков (Ростелеком-Солар), Алексей Лукацкий (Cisco) и Муслим Меджлумов (BI.ZONE).
Шабаш модерировал Алексей Качалин (Сбербанк), назывался шабаш «АнтиПленарка» и организован шабаш был в начале второго дня форума, после того, как первый день «взрыхлил» проблематику в ходе работы двух секций (о технологиях и об опыте выполнения требований 187-ФЗ благодаря работе SOC’ов), воркшопов и питч-сессии «Опыт ошибок SOC: срывая покровы», на которой в качестве «стриптизёров» выступили представители Ростелеком-Солар, МТС и Газпромбанка. Уместно заметить, что последнее мероприятие прошло довольно невинно и скорее напоминало сеанс практики студентов-медиков в анатомическом театре.
Используя возможности современных ИТ, организаторы «АнтиПленарки» вовлекли в дискуссию весь зал или, по крайней мере, ту наиболее отвязанную часть зала, что не только пользуется смартфонами, но и нашла в себе мужество войти в информационное пространство публичного форума.
Модератор задавал адвокатам вопросы, на которые, образно говоря, «хомо сапиенс ибэшный» должен был бы ответить, «нет», от адвокатов требовалось найти аргументы для ответа «да», и сразу же после этого на экран выводилась инфографика мнений зала, собранная в ходе и под аккомпанемент адвокатской дискуссии.
Об уровне провокаций модератора можно судить хотя бы по тому, что представителям Ростелеком-Солар и BI.ZONE на равных основаниях с другими участниками дискуссии было предложено покритиковать использование сторонних SOC-услуг.
На «Антипленарке» был оперативно обсуждён широкий круг вопросов, от принципов организации работы первой линии SOC и нужна ли SIEM в SOC’е, и до того, кто будет оплачивать и каким образом будет оплачивать просчёты в работе SOC’а, как услуги.
Зал склонился к тому, что хорошо бы компенсировать такие просчёты, отсутствие единодушия зала по этому вопросу возможно объяснить тем, что в составе аудитории было много тех, кто эти услуги намерен оказывать, эксперты же на сцене нейтрально поделились зарубежным опытом.
Интересным показалось обсуждение возможности построения технологической базы SOC на основе Open Source, мнение зала и официального экспертного пула разошлись, если говорить о некоторых усреднённых оценках. Уместно заметить, что, ИМХО, дискуссия продемонстрировала наличие упрощенчества в анализе явления Open Source, что может притормаживать использование этого плодотворного подхода в процессах унификации и стандартизации решений ИБ.
Организаторам «Антипленарки» удалось собрать на сцене компактный, но разноплановый состав участников, общим для которых было наличие собственного опыта построения SOC и участия в его работе. Вкупе с глубоким общим «ибэшным бэкграундом» экспертов это позволило, полагаю, вывести на новый уровень размышления на тему «SOC делать с кого».
.gif)
