«А что у вас ребята в рюкзаках?», или Доклады «под кепкой вендора». О технологиях SOC на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ»

13 декабря, 2021

«А что у вас ребята в рюкзаках?», или Доклады «под кепкой вендора». О технологиях SOC на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ»

В качестве вводного замечания хочется вспомнить одну из ремарок, прозвучавших в ходе заседания «Развитие культуры open source разработки в университетах» на Russia Open Source Summit в начале октября этого года. Утверждалось, что культура инженерии начинается, в том числе, и с единообразия формата ссылок в списке использованной литературы. Этакое ужесточение гуманитарного принципа «Быть можно дельным человеком, и думать о красе ногтей!» для применения в инженерии. Ужесточение в том направлении, что в технике «дельность» и порядок должны идти рука об руку.

«Технологии SOC»/«Threat Intelligence»/«Обнаружение сложных атак и инцидентов» – эти как бы разные наименования как бы разных форматов встреч на SOC-Форуме 2021 было бы уместно, ИМХО, объединить в одну секцию с вывеской «Технологии SOC». Возможно, для порядка предварив те почти два десятка докладов, что прозвучали на упомянутых встречах, вводной блиц-дискуссией для выработки консенсуса по вопросу определения термина «технология SOC».

На первый взгляд, это было бы неэффективным расходом времени специалистов с должностями уровня «руководитель» или «директор».

Но, ИМХО же, оказалось бы одним из первых шагов на пути формирования того, что называется «культура ИБ».

Кстати, такой опыт на SOC-Форуме уже был, когда в 2019 году на провокационной «АнтиПленарке» с известной долей юмора был оперативно обсуждён широкий круг вопросов на тему о праве на существование такой сущности, как SOC, и на тему наполнения содержанием этой сущности в случае положительного ответа на первый вопрос.

Пока же «принимающей решения» дискуссии о содержании термина «технологии SOC» не состоялось, и в качестве отправной точки можно принять предположение о том, что таковыми является связка программных или программно-аппаратных «инструментов» в виде набора средств анализа сетевого трафика (NTA, network traffic analysis), детектирования событий на конечных узлах пользователей и серверах (EDR, endpoint detection and response), управления ИТ-«активами» (AM, asset management) и уязвимостями (VM, vulnerability management). Ну и пресловутой SIEM, конечно же.

Этот инструментарий может быть «самописным», а может быть и коммерческим «коробочным» («с полки») продуктом (COTS-продукт).

Причём случается так, как это происходит, например, в «Лаборатории Касперского», когда «внутренний (самописный) инструментарий» в ходе своего развития оказывается не стыдно для «самописателей» и полезно для потребителей предложить рынку на коммерческой основе.

О такого рода инструментах («технологиях SOC»?) было рассказано, например, в докладах «Цифровой фронтир: направление исследования киберугроз» (Александр Гусев, руководитель направления исследования киберугроз, Перспективный мониторинг) и «Сервис MDR от вендора: союзник или конкурент для Managed SOC?» (Вениамин Левцов, директор глобального центра экспертизы по корпоративным решениям, Лаборатория Касперского).

При этом речь часто идёт не о предложении рынку продукта, а о предложении сервиса на его основе, в связи с тем, что такая модель взаимодействия обеспечивает и квалифицированное использование инструмента («технологии SOC»?), и должный уровень доступности приложения, находящегося под присмотром самого разработчика или его сертифицированного партнёра.

В противном случае может происходить то, о чём рассказал Иван Гудков, заместитель начальника Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа – Югры на сессии «SOC в организациях системы государственного управления»: «Система создана и работает, но когда дело доходит до реальных действий, возникает ряд проблем и подводных камней. Например, при обновлении операционной системы ломается сама информационная система».

И тут не только уместно, но даже необходимо упоминание о ещё паре «технологий SOC», которым было уделено много внимания на SOC-Форуме 2021, и не только на секции, формально именуемой «Технологии SOC».

Речь идёт о поддержке некоторых сервисов SOC партнёром или получении полного комплекта услуг SOC от партнёра, как это нередко встречается, например, в госсекторе. И с этими темами тесно связано управление сервисами ИБ в «облаке».

Этой группе «технологий SOC» были посвящены в той или иной степени уже упомянутый доклад директора глобального центра экспертизы по корпоративным решениям «Лаборатории Касперского», а также доклады «Под капотом инфраструктуры BI.ZONE SOC» (Ваган Маркосян, руководитель отдела поддержки и развития инфраструктуры BI.ZONE); «Обнаружение атак в облачной инфраструктуре Microsoft Azure» (Вадим Хрыков, руководитель отдела реагирования на инциденты кибербезопасности BI.ZONE); «Модель SASE на службе аналитика SOC» (Антон Тихонов, технический менеджер решений, McAfee Enterprise).

Ещё одной привлекающей внимание «технологией SOC» становится сбор и анализ угроз из внешних источников, и использование этой информации для купирования киберугроз родной инфраструктуре.

Эта тема затрагивалась в сообщениях «Эволюция потребностей в TI: трехлетняя история наших наблюдений и развития TI-платформы через исследование пользователей» (Антон Соловей, менеджер продукта, R-Vision); «Киберразведка для SOC. В чем экономическая польза внедрения Threat Intelligence- платформы» (Илья Осадчий, директор по развитию Тайгер Оптикс); «Краудсорсинг в кибербезопасности: как сообщество превращает обработку кибер-инцидентов в систему научного знания» (Данила Луцив, руководитель отдела развития, Security Vision); «ESET TI: надежный переход от защиты локальной сети к глобальной кибербезопасности» (Дмитрий Ланцевских, заместитель руководителя отдела защиты информации и поддержки продаж ESET Russia; Александр Герман, аналитик по информационной безопасности, IT Task).

Ну и нельзя забывать о том, что для управления кибербезопасностью надо хорошо знать «активы», доверенные SOCу, и всю подноготную этих «активов». Этот вопрос был поднят в сообщениях «Видишь дыру? Нет. А она есть» (Роман Овчинников, руководитель отела внедрения, Security Vision) и «Вы не можете защищать то, что вы не видите» (Денис Батранков, консультант по новым стратегиям безопасности, Palo Alto Networks).

Смотрите также

11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»
11.08.2022
Миллиард операций за полгода. СБП бьёт рекорды
11.08.2022
Cisco взломали члены хак-группы Yanluowang
11.08.2022
ЦБ РФ не поддержал инициативу о временной заморозке переводов
11.08.2022
Скамеры предлагают «страховать» деньги клиентов банков
10.08.2022
Разработчикам военного «айти» предоставят налоговые льготы?
10.08.2022
«Будущее будет сделано в Америке». США хотят вынести Азию за скобки
10.08.2022
РАЭК: более половины релоцировавшихся хотят вернуться в этом году
10.08.2022
Банку России предложили замораживать переводы свыше десяти тысяч рублей
10.08.2022
Все об уязвимостях платежных систем на OFFZONE 2022