SOC-Форум 2021. «SOC не умерли, чтобы ни говорили на Западе»
В начале декабря в Москве при большом скоплении народа прошёл традиционный слёт тех, кто занимается центрами мониторинга и реагирования на инциденты ИБ, — SOC-Форум 2021, который продемонстрировал, что между взглядами на SOC в России и на Западе наметилось серьёзное расхождение.
И я даже не говорю про достаточно радикальную позицию «SOC мертвы», которая нередко звучит на западных мероприятиях. Речь идёт о совершенно другом: западный рынок ИБ очень активно движется в облака, и направление SOC не является исключением. Кроме того, западный мониторинг ИБ и реагирование на инциденты неразрывно связаны с автоматизацией, а где-то уже и c low code/no code, о которых у нас тоже пока говорят на мероприятиях не очень активно. Но, с другой стороны, ввиду грядущего железного занавеса и всё более реального шанса нарваться на санкции, которые сделают многие зарубежные инновации для нас недоступными, может, и не стоит ориентироваться на то, что делают наши зарубежные партнёры?
ГОССОПКА ПОВОРАЧИВАЕТСЯ ЛИЦОМ
Прошедший SOC-Форум стал первым, на котором представители НКЦКИ не просто рассказывали очевидные вещи о том, как взаимодействовать с ГосСОПКОЙ, а представили аналитику – динамику угроз ИБ за последние 3 года, основные векторы проникновения в корпоративные и ведомственные сети, среднее время нахождения злоумышленника в инфраструктуре жертвы и т. п. Это хоть и не было ново — ровно те же тенденции озвучиваются и многими другими компаниями, но показало, что те данные, которые все субъекты КИИ, а также иные субъекты ГосСОПКИ направляют в неё, не пропадают даром, а используются для подготовки бюллетеней, рассылаемых по закрытым спискам получателей, а также для выработки рекомендаций по отражению атак и применению современных технологий ИБ.
Однако надо признать, что этот SOC-Форум мог стать последним, на котором представители НКЦКИ так подробно рассказывали о своей деятельности. Вспоминая пресловутый приказ ФСБ «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации», данные о ГосСОПКЕ и инцидентах на объектах оборонно-промышленного комплекса относятся к достаточно странной категории данных, которые, с одной стороны, и не отнесены прямо к гостайне, а с другой – их раскрытие может повлечь за собой обвинение по статье «государственная измена». Учитывая, что и Минобороны, и Росгвардия, а также иные органы правопорядка, обороны и безопасности разработали схожие перечни, можно признать, что практика засекречивания чувствительной информации, которая относится к безопасности, будет только усиливаться.
SOC И ГОСОРГАНЫ
С другой стороны, ГосСОПКА подтолкнула многие государственные органы к тому, чтобы создавать у себя ведомственные центры мониторинга и реагирования на инциденты, и на прошедшем SOC-Форуме очень много выступлений было посвящено именно тому, как различные ведомства выстраивают работу по обнаружению угроз и с какими сложностями они сталкиваются. Например, ДИТ Москвы рассказывал о своём созданном ведомственном центре, который в меньшей степени является классическим SOC, делегируя эту функцию органам исполнительной власти и учреждениям Правительства Москва. При этом ДИТ Москвы координирует все эти ведомственные SOC, собирает данные об инцидентах от них, проводит их анализ, а также занимается повышением уровня осведомлённости. А вот Минэкономразвития пошёл по другому пути. У них, в отличие от ДИТа и Минздрава, гораздо меньше подопечных и подведомственных организаций, поэтому они вполне могли себе позволить не строить собственный центр компетенций, а отдать его на аутсорсинг. Что они в итоге и сделали.
А вот Свердловская область пошла по гибридному варианту — строит собственный SOC и пользуется услугами аутсорсингового коммерческого центра. При этом, судя по общению на форуме, многие сталкиваются с «сыростью» отечественных программно-аппаратных решений, которые применяются (или вынуждены применяться, если мы говорим о госорганах) в центрах мониторинга в соответствии с требованиями правительства и регуляторов. Помимо технологий, проблемой являются и кадры, что приводит многие SOC к идее аутсорсингового SOC, который для многих госорганов, не имеющих людей и денег на их наём, является выходом из сложившейся ситуации. Однако, судя по выступлениям и разговорам в кулуарах, у госорганов выбор между аутсорсинговыми центрами мониторинга не очень богатый — по сути, выбирают из 2–3 игроков. Если же говорить о собственном центре предотвращения киберугроз, то почти все государственные SOC упоминали, что их штатная численность насчитывает 10 человек. Думаю, можно использовать эту цифру как некий эталон для SOC начального уровня.
Наиболее глубоко (по сравнению с другими госорганами) тема SOC была раскрыта для здравоохранения, так как Минздрав в преддверии SOC-Форума создал отраслевой центр ИБ (отраслевой сегмент ГосСОПКИ), о работе которого и рассказывалось для организаций здравоохранения на закрытой секции.
SOC И ТЕХНОЛОГИИ
С технологической точки зрения, как ни странно, ничего нового на форуме не прозвучало. Возможно, это было связано с тем, что основные выступающие представляли всё-таки аутсорсинговые центры мониторинга, которые не хотели делиться с конкурентами своими секретами. Возможно, причина в том, что, несмотря на курс на импортозапрещение, принятый в государстве, многие SOC по-прежнему базируют свой технологический стек на зарубежных решениях и не хотят привлекать внимания к этому (спонсорских выступлений про различные продукты было немало).А может быть, и секретов особых нет, а просто делиться нечем? В любом случае эта сторона центров мониторинга осталась почти не раскрытой, чего не скажешь о зарубежных мероприятиях, которые практически в те же дни проходили в Соединённых Штатах Америки.
На SOC Reload 2021 и Security Operations Summit как раз много говорили о различных технологических новациях, которые упрощают и обнаружение инцидентов, и их расследование, и реагирование на них. Тут и автоматизация работы с плейбуками, вплоть до применения lowcode/nocode технологий, и автоматический сбор и классификация данных threat intelligence (и это не только фиды и IOC), и автоматизация работы с MITRE ATT&CK, и создание универсального каталога контента обнаружения, который может быть легко переносим между различными решениями по мониторингу, и даже про концепцию Detection-as-Code, которая сегодня тоже становится не просто модной, а жизненно важной. Но обо всём этом на SOC-Форуме не говорилось, что оставляет надежду на то, что следующие форумы будут больше внимания уделять этой теме.
SOC И ЭКОНОМИКА
А вот то, о чём мало говорят на Западе, но пытались обсуждать на SOC-Форуме, — это вопросы экономики мониторинга и реагирования. Это очень важная тема, о чём нам говорит и один из классических тезисов ИБ – «безопасность не должна быть дороже защищаемой информации». Но как посчитать стоимость защищаемой информации? Увы, ответа на этот вопрос так и не прозвучало (тому, кто ответит на него, можно Нобелевскую премию вручить), но было несколько докладов, которые касались расчёта экономических показателей деятельности SOC с разных сторон – то с точки зрения цены инцидента (была названа цифра в 0,5 миллиона рублей для базовой атаки с применением шифровальщика), то с точки зрения затрат на создание собственного SOC. Правда, вновь пришлось столкнуться с некоторым лукавством, так как приведённые цифры были представлены поставщиками услуг аутсорсинговых SOC и они, что неудивительно, своими цифрами пытались доказать, что аутсорсинг функции мониторинга и реагирования – лучшая модель решения данной задачи.
Обычно авторы таких выступлений умалчивают об обратной стороне медали, а именно об эффективности аутсорсинговых SOC. Мне доводилось дважды модерировать на SOC-Форуме одноимённую секцию, и могу сказать, что оба раза мало кто смог поделиться своим реальным опытом оценки эффективности мониторинга и реагирования и путями улучшения этих показателей. SOC-Форум 2021 не стал исключением: мало кто говорил об эффективности своих процессов. Ну разве что приводились маркетинговые цифры про количество инцидентов и скорость взятия инцидента в обработку (а это далеко не то, что интересно и нужно знать).
Например, выпущенное в дни проведения форума исследование Cisco Security Outcomes Study Vol.2 с цифрами в руках показало, что аутсорсинговые SOC реагируют на инциденты вдвое дольше, чем on-prem SOC, и хуже, чем гибридные SOC. Так что выбор между моделью функционирования SOC не так прост, как об этом говорят представители аутсорсинговых центров мониторинга ИБ и как это регулярно звучало на SOC-Форуме 2021. Выбор операционной модели SOC (on-prem, аутсорсинг, распределённая или вообще без SOC) — это важнейший вопрос при проектировании SOC, и если на него не ответить с самого начала честно, то потом SOC может развиваться по неверному пути, как и затраты на него. Я не зря про это писал в BIS Journal в преддверии SOC-Форума. Попытка создать целиком собственный SOC может обойтись дорого, а, например, гибридная модель SOC (что-то у себя, что-то у аутсорсера) даёт более низкую эффективность обнаружения и реагирования, чем либо «всё у себя», либо «всё на аутсорс». Но справедливости ради надо признать, что в России пока просто нет адекватных данных, чтобы с цифрами в руках говорить об эффективности той или иной модели. Приходится критически оценивать чужие цифры.
SOC И АСУ ТП
Ещё одной особенностью SOC-Форума 2021 стало обсуждение темы мониторинга киберугроз на промышленных площадках. Но, несмотря на две большие сессии, посвящённые этому вопросу, каких-то ноу-хау или даже серьёзного практического опыта представлено не было. Всё-таки надо признать, что если тема SOC у нас развивается всего лет пять, то о безопасности АСУ ТП активно стали говорить чуть позже, а массовых проектов в этом направлении в связи с консервативностью отрасли пока не наблюдается. Жизненный цикл средств промышленной автоматизации, другие ответственные (не ИТ, а АСУ ТП), отличные от корпоративных сетей подходы к созданию промышленных площадок, иные приоритеты (доступность вместо конфиденциальности), отсутствие серьёзной мотивации… Всё это делает задачу ИБ в АСУ ТП более неповоротливой, чем в обычных офисных сегментах. И тоже самое касается мониторинга промышленных сетей, вмешательство в работу которых (даже в пассивном режиме) до сих пор остаётся камнем преткновения в среде специалистов.
Поэтому на SOC-Форуме были озвучены несколько основных сценариев мониторинга:
- выгрузка телеметрии об инцидентах на USB и загрузка их на централизованную платформу SOC.
- развёртывание локального изолированного мини-SOC.
- использование однонаправленных МСЭ для передачи телеметрии об атаках в централизованный корпоративный SOC.
- применение сценария C-Bridge.
Но узнать о практическом опыте их использования так и не удалось.
ЗАКЛЮЧЕНИЕ
Очень сложно в одной статье рассказать о том, что рассказывалось в течение двух дней на четырёх потоках SOC-Форума. Например, очень интересны были секции, на которых рассматривались различные практические сценарии работы SOC. Правда, их было не так уж и много (на фоне общего числа докладов), и их сложно пересказывать без погружения в детали. Например, интересным был рассказ об опыте мониторинга облачных инфраструктур (на примере MS Azure) или о передаче контента обнаружения при смене SOC или SIEM.
Не хотелось бы завершать обзор на негативной ноте, поэтому я опущу кадровый вопрос, который является больной темой в ИБ в последние годы и на SOC-Форуме в частности. К сожалению, на мой взгляд, эта задача не имеет быстрого решения, и сегодня многие игроки рынка часто используют не всегда корректные методы, просто перекупая специалистов у конкурентов и заказчиков, раскручивая тем самым гонку зарплат, что в итоге негативно скажется на всём рынке. Гораздо более позитивно выглядит тема эмоционального истощения (выгорания) сотрудников SOC, что, по итогам опроса 4,4 тысячи сотрудников 500+ работодателей в 2021 году, является общей проблемой для всех без исключения. Более 60% опрошенных либо испытали выгорание сами, либо находятся в этой стадии сейчас; оставшиеся наблюдали это явление у коллег (видимо, не хотят признаваться). А поскольку это явление носит массовый характер, способы борьбы с ним известны и могут быть относительно легко внедрены в работу SOC.
В целом прошедший SOC-Форум 2021 оправдал мои ожидания, показав, что тема мониторинга ИБ и реагирования на инциденты не просто живёт, но и развивается, пусть и не совсем так, как это происходит за рубежом.
