«Мы можем полукапить по этому хэшу». SOC-Форум 2022 — об «экспертизе» и технологиях на страже кибербезопасности
На SOC-Форуме 2022 неоднократно и на разных площадках приводились объективные данные о напряжённости противостояния «меча» и «щита» в отечественном киберпространстве.
И если информация, представленная вице-президентом по ИБ ПАО «Ростелеком» Игорем Ляпуновым и зампредправления Сбербанка Станиславом Кузнецовым на реинкарнации «пленарки» Форума в виде «Интервью с лидерами бизнеса отрасли ИБ» позволяла без дипломатических экивоков интерпретировать происходящее как военные действия (острота которых притупляется лишь наличием ядерного инструментария сдерживания), то, например, упомянутые в докладе компании Positive Technologies (далее – PT) «Как не раздувать SOC» 1 млрд. ежедневных сообщений в корпоративном SIEM и 30 тыс. «алертов» – это, очевидно, информация более местечковая. Однако она наглядно демонстрирует, что анализ и отражение киберугроз даже для одной компании находится за пределами человеческих возможностей не только той полусотни реальных SOC-профессионалов (оценка, которая неоднократно упоминается в докладах PT для оценки российского потенциала ИБ), но и всего выпуска отечественных ВУЗов по «ибэшным» специальностям.
И не позволить довести дело уже при атаках политизированной киберорды до неконвенциональных технологий ответа сегодня могут лишь (или почти «лишь») технологии автоматизации рутинных процессов обнаружения и реагирования на угрозы.
Представитель PT на упомянутом «Интервью…» даже обострил это требование, подчеркнув назревшую необходимость замены в ряде случаев технологий автоматизации на технологии автоматики.
А его коллеги (и корпоративные, и по «цеху») на сессиях «Экспертиза SOC» и «Технологии SOC» обогатили этот комментарий конкретными примерами того, как автоматизация вкупе с процессами обогащения информации об атаке (а это, в свою очередь, требует «обогащения» технологий автоматизации технологиями Threat Intelligence) позволяет эффективно и почти в реальном времени эту атаку купировать или минимизировать её последствия. Уместно заметить, кстати, что на SOC-Форуме 2022 теме Threat Intelligence на службе в SOC'ах была уделена отдельная сессия в рамках сессии «Экспертиза SOC».
Упомянутые коллеги представляли хорошо известные ИТ-компании, давно подвизавшиеся на «ибэшном» направлении отрасли ИКТ или являющиеся «спин-оффами» известных игроков рынка информационных технологий. Помимо упомянутой PT, это были «Лаборатория Касперского», Bi.ZONE, «Перспективный мониторинг», Angara, «Ростелеком-Солар», «Информзащита», Security Vision, «Инфосистемы Джет», R-Vision, «Гарда Технологии».
Привести столь подробный список компаний, представивших доклады на сессиях «Экспертиза SOC» и «Технологии SOC», необходимо не для лишнего их упоминания, а лишь для того, чтобы наглядно продемонстрировать сколь велик набор стеков продуктов, которые позволяют автоматизировать и обогатить информацию о кибератаках в отечественных SOC'ах.
Да, некоторые компании используют отдельные компоненты разработки друг друга в стеках, стоящих на вооружении корпоративных центров кибербезопасности, но всё равно набор конечных комбинаций достаточно велик.
В рамках идеализированного представления о глобальном мирном сосуществовании и о рыночной конкуренции было бы интересно посмотреть на окончательный «топ» лучших платформ для SOC, но тревожная нестабильность нынешнего времени заставляет даже очевидных лидеров рыночной конкуренции говорить о необходимости консолидации ресурсов отечественных компаний. Об этом свидетельствует дополнение в ходе упоминавшегося «Интервью…» комментария представителя PT о платформенности современного автоматизированного инструментария SOC репликой Натальи Касперской о желательности совместной работы над разработкой требований к такой платформе и её «сборки» на основе лучших предложений отдельных компонент.
Пока же разнородность продуктовых линеек упомянутых выше компаний и «неоднородность» набора «компетенций» этих компаний приводит к тому, что сегодня можно выстроить разные платформы для «расширенного детектирования и реагирования» (Extended Detection and Response/XDR), которым предстоит противодействовать в значительной степени скоординированным проискам «коллективного киберзапада».
В этой ситуации в число проблем эксплуатации платформы конкретных SOC'ов следует включить и пресловутую «кадровую проблему», все грани которой удобнее обсуждать в рамках специальной публикации.
Здесь же уместно обратить внимание лишь на тот аспект, который сразу бросился в глаза при анализе программы SOC-Форума 2022 и уместность упоминания о котором окрепла в ходе знакомства с докладами. Речь идёт о терминах и определениях, которых следует придерживаться в отрасли и языке общения.
Примером «слабого» сигнала неблагополучия является использование слова «экспертиза» в наименовании сессии «Экспертиза SOC». Этот термин был бы уместен, если охватываемые этой сессией доклады рассказывали о проверках исполнения «ибэшных» нормативных документов, проведённых профильными регуляторами или, например, пожарными подразделением МЧС в части закреплённых за ним прав и обязанностей в сфере пожарной безопасности помещений, занимаемых SOC.
Но уместно ли использование словосочетания «экспертиза SOC» к докладам «От мониторинга к форензике и обратно» или «Как знание внешнего цифрового профиля компании помогает SOC»?
Хотя определённая польза в ненормативном использовании слова «экспертиза» и создании нового термина «экспертиза SOC» в дополнение к «технологии SOC» есть, позволяя на одной площадке рассказать об опыте коммерческого SOC в использовании технологии High Stakes EDR, а на другой – о EDR не для «чайников».
Более «сильным» сигналом является использование ядрёного печатного (на слайдах) и непечатного (в речи) слэнга в формате смешения «французского с нижегородским». Пример последнего приведён в заголовке материала.
Достаточно распространённым является мнение о том, что одним из инструментов решения «кадровой проблемы» в ИТ может стать привлечение действующих специалистов компаний к преподавательской деятельности. Но для этого уже сейчас имеет смысл пропагандировать и поощрять использование русского языка в докладах.
А «до кучи» и оформление иллюстративного материала (который мог бы стать основой учебного пособия) в традициях хорошо апробированной культуры, одним из элементов которой является аннотация доклада.
.jpg)
.png)