SOC-Форум Live 2020. Целесообразность против неопределённости в эпоху цифровой обороны

BIS Journal №1(40)/2021

30 марта, 2021

SOC-Форум Live 2020. Целесообразность против неопределённости в эпоху цифровой обороны

SOC-Форум Live 2020 оставил послевкусие 20-летнего портвейна – крепкий вкусный напиток, приятно опьянивший и зарядивший азартом. После него возникло ощущение движения, расширения мира и новое, по сути, желание не стоять на месте, обновлять энотеку. Впрочем, в трезвом состоянии мы все пока держим цифровую оборону против последствий биологической угрозы – пытаемся не уронить уровень 2019 года.

 

ПЛЕНАРНОЕ ЗАСЕДАНИЕ

Пленарное заседание SOC-Форум давно вышло за пределы заглавной тематики. И в этом году, по мнению заместителя председателя правления Сбербанка Станислава Кузнецова, основой для киберустойчивости организаций, безусловно, является SOC, но значимый вклад в обеспечение кибербезопасности банка внесли также и платформы автоматизации безопасности (вероятно, SOAR–прим. автора), «озёра данных» в ИБ, DLP и «белые хакеры». По его словам, сегодня для развития и поддержания кибербезопасности мировой нормой является 12–15% от бюджета ИТ (рост в 1,5–2 раза за последние 10 лет – прим. автора), но Сбер и другие крупные российские компании тратят значительно меньше (банки около 3%), что может принести до 3,5 триллиона рублей убытков от действий.

Тем временем серьёзный удар приходится на граждан. По данным Станислава Кузнецова, за год количество мошеннических звонков выросло в два раза, и теперь каждый 12-й звонок в России – мошеннический. А вот эффективных национальных мер для адресации проблемы киберпреступности в условиях удалённой экономики пока не внедрено, поэтому киберпреступность за год выросла в 30 раз.

Со своей стороны заместитель директора ДИБ ЦБ РФ Артём Сычёв выразил опасение, что это лишь проба пера киберпреступности, настоящая волна накроет банки и их клиентов через год-два. В том числе нужно ожидать атак, связанных с Open API и развитием экосистем.

Продолжая тему кибербезопасности банковской отрасли, была отмечена актуальность программ осведомлённости, и на этот раз такие программы дошли не только до сотрудников и клиентов, но и до топ-менеджмента. По словам руководителя департамента кибербезопасности Альфа-Банка Виталия Задорожного, чтобы качественно управлять рисками кибербезопасности бизнеса, бизнес должен понимать, какие решения он принимает и за что платит.

Функцией CISO в такой ситуации становится правильная коммуникация проблем бизнеса в кибербезопасность и понятная коммуникация проблем кибербезопасности в бизнес (на уровне бизнес-партнёра правления). Например, важно говорить об оттоке клиентов (customer churn), так как он может быть вызван в том числе и проблемами кибербезопасности.

Тем временем в чате SOC Live описали ситуацию, когда шифровальщик зашифровал большое количество данных, но генеральный директор не согласовал развитие функции ИБ.

А согласно мнению вице-президента по ИБ Ростелекома Игоря Ляпунова, осведомлённость населения в вопросах кибербезопасности может стать тем драйвером, что повысит спрос B2C-рынка на кибербезопасность (возможно, и того самого генерального директора – прим. автора).

А возможно, толку не будет, пока ИБ не научится готовить коммуникацию чётко под аудиторию. Например, что такое «горизонтальное перемещение» (цитата из буклета участника выставки) для представителя бизнеса? Не уверен, что все специалисты по ИБ угадают здесь lateral movement, и беда тут в том, что такой литературный подход – тенденция. В конце концов именно так, из-за усталости бизнеса и неумения безопасников понятно выражаться, ИБ может дойти до назначения на роли CISO специалистов по маркетингу или PR (прим. автора).

 

ЭКСПЕРТНЫЕ ДОКЛАДЫ

В докладе Ивана Мелехина («Информзащита») были подсвечены критически важные при аутсорсинге мониторинга ИБ моменты: как определить, что именно и как будет делаться при аутсорсинге. Напомню, что на старте ракеты небольшое отклонение превращается в большую проблему потом. В мире SOC старт – это техническое задание. Кроме понятной истории формирования ожиданий, техническое задание на аутсорсинг сервисов мониторинга ИБ может помочь при смене подрядчика, проверке работы подрядчика, проработке претензий к качеству и как «шпаргалка» по составу работ.

Для эффективного выбора провайдера сервиса и работы с ним желательно договориться «на берегу» насчёт контролируемых источников событий и площадок, потока данных на входе, функциональности сервиса, SLA и параметров контроля сервиса. Важно также описать, какие документы должны быть на выходе сервиса (требования к документированию), с какими системами должен интегрироваться SOC, какие уже существуют компоненты SOC–система централизованного сбора логов, SIEM, вычислительные мощности и лицензии на другие системы, другие части SOC, например EDR и т. д.

А вот Игорь Залевский («Ростелеком-Солар») в докладе о современных киберугрозах рассказал о покупке за 350 рублей доступа в сеть крупной организации на киберпреступном маркетплейсе, а также о новой реализации старой истории (уязвимости в веб-площадках киберпреступников) – path traversal в данном маркетплейсе.

Переходя от работы команд защиты к работе команд атаки (RedTeam), Александр Зайцев («Лаборатория Касперского») подсветил ряд лучших практик для проведения redteam-проектов. В качестве целей симулированных атак он рекомендовал такие, как хищение интеллектуальной собственности, остановка производства и осуществление финансовых транзакций. Собственно, те же, что и цели реальных атакующих (прим. автора). В качестве стандартов организации работы:

  • Hong-Kong – ICAST (2016).
  • Singapore – AASE (2018).
  • UK – CBEST (2014).
  • The Netherlands – TIBER-NL (2016).
  • EU TIBER-EU (2018).
  • NATO – Cyber Red Teaming (2015).
  • Saudi Arabia – FEER (2019).

 

КЛЮЧЕВЫЕ МЫСЛИ

Следующие восемь докладов «выжаты» каждый в одну ключевую мысль:

  • Владимир Дрюков («Ростелеком-Солар»): за пять лет мы переходим к противодействию профилю действий злоумышленника (прим. автора: на Западе это назвали intelligence-driven security ещё в 2010 г.).
  • Данила Луцив (Security Vision): без enrichment framework аналитики SOC не эффективны и выгорают.
  • Александр Бондаренко (R-Vision): корпоративные сети скомпрометированы постоянно (прим. автора: некоторые зрелые и нестандартно мыслящие SOC в России специально не выдворяют злоумышленников – лучше держать их под колпаком, чем не знать, с какой стороны они ещё придут).
  • Сергей Солдатов («Лаборатория Касперского»): автоаналитик (робот) ошибается реже живого при триаже (прим. автора: в контексте «Лаборатории» – почему нет? В контекстах других задач и другого разнообразия данных ситуация может быть другой).
  • Алексей Павлов («Ростелеком-Солар»): ответственность за выполнение требований регуляторов передать невозможно (прим. автора: мысль не нова, но заслуживает постоянного повторения).
  • Сергей Рысин (CISO ГТЛК): примерно через год использования SIEM стало понятно, что текущим штатом специалистов инциденты обработать не сможем, в итоге обратились к аутсорсингу.
  • Антон Кокин (CISO ТМК): гибридный SOC оптимален с точки зрения скорости реализации сервисов мониторинга и объёма инвестиций для быстро развивающейся глобальной трубной компании.
  • Александр Лимонов (CISO «Леруа Мерлен Россия»): что коммерческая IRP/SOAR, что IRP/SOAR с открытым кодом – и то, и другое требует наличия в штате выделенного специалиста с соответствующими компетенциями. Мы выбрали IRP/SOAR с открытым кодом.

 

МЕРОПРИЯТИЯ ФОРУМА

Были на форуме и специальные мероприятия: антипленарка, сессия «Опыт ошибок в SOC» и круглый стол о SOC в АСУ ТП.

На антипленарке Владимир Дрюков рассказал историю о проблемах аутсорсинга SOC без технического контроля на стороне клиента и проблеме фальшивой коммодитизации SOC на тендерах – «все кошки ночью серые» (с точки зрения клиентов). Там же выяснилось, что наличие высокого, красивого и известного CISO – это конкурентное преимущество при формировании имиджа департамента ИБ организации, о чём стоит задуматься HR, если стратегия ИБ подразумевает наём большого количества специалистов.

Сессия «Опыт ошибок в SOC» сфокусировалась на проблемах, связанных с эффективностью аналитиков при удалённой работе. Оказалось, эффективность аналитиков падает при полностью удалённом режиме работы, и нужно налаживать коммуникации дополнительно. Здесь же поставщики услуг мониторинга ИБ посетовали на отсутствие рациональности у определённых пожеланий потенциальных клиентов. Например, подключение источников происходит без учёта актуальных сценариев атак и профилей действий потенциальных атакующих.

А на круглом столе стало понятно, что SOC не просто научились собирать данные с популярных контролеров (Siemens, Schneider Electric и др.), но стали чётко представлять архитектуру сред АСУ ТП. А также задумываются, как верно коммуницировать результаты работы ИБ в АСУ ТП руководству (дашборды). При этом характер беседы показал, что никаких чётких стандартов задачи мониторинга ИБ АСУ ТП нет, и даже не видно, когда таковые появятся. Судя по этому и по тому, что из пяти участников круглого стола лишь один представлял клиента, проекты по мониторингу ИБ АСУ ТП можно назвать спорадическими.

Отдельное спасибо организаторам за элементы фитнеса и красоты. Кстати, о фитнесе на удалёнке говорили и на американском онлайн-форуме SOC stock.

 

SOC-Форум (РОССИЯ) VSSOCSTOCK (США)

На следующий после SOC-Форум Liveдень на другом конце планеты американский SOAR-вендор Siemplify провёл конференцию SOC stock. SOC stock оказался слабее и меньше SOC-Форум, в частности, в США фокусировка на мониторинге ИБ КИИ намного меньше, чем у нас, и в целом количество SOC с сервисами мониторинга (в отличие от аутстаффинга) в разы меньше на доллар ИБ-бюджетов, чем в России.

Впрочем, в паре моментов SOC stock преуспел. Удалось создать живую предметную дискуссию лидеров SOC о ежедневной операционной работе, а также привлечь эксперта (Антона Чувакина) с отличным верхнеуровневым взглядом на развитие индустрии SOC (helicopter view) сквозь года.

 

РЕЗЮМЕ

SOC-Форум Live 2020 вышел отличным зеркалом SOC-индустрии в России, которая, если по-честному, находится в глобальном тупике. Внутри страны так и не появилось законодательства, требующего от организаций раскрытия утечек персональных данных, а как показывает практика создания SOC в развитых странах, без этого в среднем непонятно, зачем коммерческой организации выстраивать мощный центр мониторинга – нет мотивации руководства и акционеров. Экспортная история тоже проблематична. Тут частично постарались международные партнёры, а частично сама Россия, так и не отменившая валютный контроль и ряд других «граблей» для экспортёров.

Каким будет выход из положения? Возможно, он найдётся в обеспечении безопасности облаков, возможно, в трансформации затрат на ИБ в сервисную модель и предоставлении ИБ из облака… А возможно, и в оказании сверхэффективных услуг на базе открытого ПО или в комбинированном предложении киберстраховок и сервисов мониторинга ИБ.

Время покажет.

Смотрите также