«А что у вас ребята в рюкзаках?», или Доклады «под кепкой вендора». О технологиях SOC на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ»

13 декабря, 2021

«А что у вас ребята в рюкзаках?», или Доклады «под кепкой вендора». О технологиях SOC на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ»

В качестве вводного замечания хочется вспомнить одну из ремарок, прозвучавших в ходе заседания «Развитие культуры open source разработки в университетах» на Russia Open Source Summit в начале октября этого года. Утверждалось, что культура инженерии начинается, в том числе, и с единообразия формата ссылок в списке использованной литературы. Этакое ужесточение гуманитарного принципа «Быть можно дельным человеком, и думать о красе ногтей!» для применения в инженерии. Ужесточение в том направлении, что в технике «дельность» и порядок должны идти рука об руку.

«Технологии SOC»/«Threat Intelligence»/«Обнаружение сложных атак и инцидентов» – эти как бы разные наименования как бы разных форматов встреч на SOC-Форуме 2021 было бы уместно, ИМХО, объединить в одну секцию с вывеской «Технологии SOC». Возможно, для порядка предварив те почти два десятка докладов, что прозвучали на упомянутых встречах, вводной блиц-дискуссией для выработки консенсуса по вопросу определения термина «технология SOC».

На первый взгляд, это было бы неэффективным расходом времени специалистов с должностями уровня «руководитель» или «директор».

Но, ИМХО же, оказалось бы одним из первых шагов на пути формирования того, что называется «культура ИБ».

Кстати, такой опыт на SOC-Форуме уже был, когда в 2019 году на провокационной «АнтиПленарке» с известной долей юмора был оперативно обсуждён широкий круг вопросов на тему о праве на существование такой сущности, как SOC, и на тему наполнения содержанием этой сущности в случае положительного ответа на первый вопрос.

Пока же «принимающей решения» дискуссии о содержании термина «технологии SOC» не состоялось, и в качестве отправной точки можно принять предположение о том, что таковыми является связка программных или программно-аппаратных «инструментов» в виде набора средств анализа сетевого трафика (NTA, network traffic analysis), детектирования событий на конечных узлах пользователей и серверах (EDR, endpoint detection and response), управления ИТ-«активами» (AM, asset management) и уязвимостями (VM, vulnerability management). Ну и пресловутой SIEM, конечно же.

Этот инструментарий может быть «самописным», а может быть и коммерческим «коробочным» («с полки») продуктом (COTS-продукт).

Причём случается так, как это происходит, например, в «Лаборатории Касперского», когда «внутренний (самописный) инструментарий» в ходе своего развития оказывается не стыдно для «самописателей» и полезно для потребителей предложить рынку на коммерческой основе.

О такого рода инструментах («технологиях SOC»?) было рассказано, например, в докладах «Цифровой фронтир: направление исследования киберугроз» (Александр Гусев, руководитель направления исследования киберугроз, Перспективный мониторинг) и «Сервис MDR от вендора: союзник или конкурент для Managed SOC?» (Вениамин Левцов, директор глобального центра экспертизы по корпоративным решениям, Лаборатория Касперского).

При этом речь часто идёт не о предложении рынку продукта, а о предложении сервиса на его основе, в связи с тем, что такая модель взаимодействия обеспечивает и квалифицированное использование инструмента («технологии SOC»?), и должный уровень доступности приложения, находящегося под присмотром самого разработчика или его сертифицированного партнёра.

В противном случае может происходить то, о чём рассказал Иван Гудков, заместитель начальника Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа – Югры на сессии «SOC в организациях системы государственного управления»: «Система создана и работает, но когда дело доходит до реальных действий, возникает ряд проблем и подводных камней. Например, при обновлении операционной системы ломается сама информационная система».

И тут не только уместно, но даже необходимо упоминание о ещё паре «технологий SOC», которым было уделено много внимания на SOC-Форуме 2021, и не только на секции, формально именуемой «Технологии SOC».

Речь идёт о поддержке некоторых сервисов SOC партнёром или получении полного комплекта услуг SOC от партнёра, как это нередко встречается, например, в госсекторе. И с этими темами тесно связано управление сервисами ИБ в «облаке».

Этой группе «технологий SOC» были посвящены в той или иной степени уже упомянутый доклад директора глобального центра экспертизы по корпоративным решениям «Лаборатории Касперского», а также доклады «Под капотом инфраструктуры BI.ZONE SOC» (Ваган Маркосян, руководитель отдела поддержки и развития инфраструктуры BI.ZONE); «Обнаружение атак в облачной инфраструктуре Microsoft Azure» (Вадим Хрыков, руководитель отдела реагирования на инциденты кибербезопасности BI.ZONE); «Модель SASE на службе аналитика SOC» (Антон Тихонов, технический менеджер решений, McAfee Enterprise).

Ещё одной привлекающей внимание «технологией SOC» становится сбор и анализ угроз из внешних источников, и использование этой информации для купирования киберугроз родной инфраструктуре.

Эта тема затрагивалась в сообщениях «Эволюция потребностей в TI: трехлетняя история наших наблюдений и развития TI-платформы через исследование пользователей» (Антон Соловей, менеджер продукта, R-Vision); «Киберразведка для SOC. В чем экономическая польза внедрения Threat Intelligence- платформы» (Илья Осадчий, директор по развитию Тайгер Оптикс); «Краудсорсинг в кибербезопасности: как сообщество превращает обработку кибер-инцидентов в систему научного знания» (Данила Луцив, руководитель отдела развития, Security Vision); «ESET TI: надежный переход от защиты локальной сети к глобальной кибербезопасности» (Дмитрий Ланцевских, заместитель руководителя отдела защиты информации и поддержки продаж ESET Russia; Александр Герман, аналитик по информационной безопасности, IT Task).

Ну и нельзя забывать о том, что для управления кибербезопасностью надо хорошо знать «активы», доверенные SOCу, и всю подноготную этих «активов». Этот вопрос был поднят в сообщениях «Видишь дыру? Нет. А она есть» (Роман Овчинников, руководитель отела внедрения, Security Vision) и «Вы не можете защищать то, что вы не видите» (Денис Батранков, консультант по новым стратегиям безопасности, Palo Alto Networks).

Смотрите также