«Мы можем полукапить по этому хэшу». SOC-Форум 2022 — об «экспертизе» и технологиях на страже кибербезопасности

22 ноября, 2022

«Мы можем полукапить по этому хэшу». SOC-Форум 2022 — об «экспертизе» и технологиях на страже кибербезопасности

На SOC-Форуме 2022 неоднократно и на разных площадках приводились объективные данные о напряжённости противостояния «меча» и «щита» в отечественном киберпространстве.

И если информация, представленная вице-президентом по ИБ ПАО «Ростелеком» Игорем Ляпуновым и зампредправления Сбербанка Станиславом Кузнецовым на реинкарнации «пленарки» Форума в виде «Интервью с лидерами бизнеса отрасли ИБ» позволяла без дипломатических экивоков интерпретировать происходящее как военные действия (острота которых притупляется лишь наличием ядерного инструментария сдерживания), то, например, упомянутые в докладе компании Positive Technologies (далее – PT) «Как не раздувать SOC» 1 млрд. ежедневных сообщений в корпоративном SIEM и 30 тыс. «алертов» – это, очевидно, информация более местечковая. Однако она наглядно демонстрирует, что анализ и отражение киберугроз даже для одной компании находится за пределами человеческих возможностей не только той полусотни реальных SOC-профессионалов (оценка, которая неоднократно упоминается в докладах PT для оценки российского потенциала ИБ), но и всего выпуска отечественных ВУЗов по «ибэшным» специальностям.

И не позволить довести дело уже при атаках политизированной киберорды до неконвенциональных технологий ответа сегодня могут лишь (или почти «лишь») технологии автоматизации рутинных процессов обнаружения и реагирования на угрозы.

Представитель PT на упомянутом «Интервью…» даже обострил это требование, подчеркнув назревшую необходимость замены в ряде случаев технологий автоматизации на технологии автоматики.

А его коллеги (и корпоративные, и по «цеху») на сессиях «Экспертиза SOC» и «Технологии SOC» обогатили этот комментарий конкретными примерами того, как автоматизация вкупе с процессами обогащения информации об атаке (а это, в свою очередь, требует «обогащения» технологий автоматизации технологиями Threat Intelligence) позволяет эффективно и почти в реальном времени эту атаку купировать или минимизировать её последствия. Уместно заметить, кстати, что на SOC-Форуме 2022 теме Threat Intelligence на службе в SOC'ах была уделена отдельная сессия в рамках сессии «Экспертиза SOC».

Упомянутые коллеги представляли хорошо известные ИТ-компании, давно подвизавшиеся на «ибэшном» направлении отрасли ИКТ или являющиеся «спин-оффами» известных игроков рынка информационных технологий. Помимо упомянутой PT, это были «Лаборатория Касперского», Bi.ZONE, «Перспективный мониторинг», Angara, «Ростелеком-Солар», «Информзащита», Security Vision, «Инфосистемы Джет», R-Vision, «Гарда Технологии».

Привести столь подробный список компаний, представивших доклады на сессиях «Экспертиза SOC» и «Технологии SOC», необходимо не для лишнего их упоминания, а лишь для того, чтобы наглядно продемонстрировать сколь велик набор стеков продуктов, которые позволяют автоматизировать и обогатить информацию о кибератаках в отечественных SOC'ах.

Да, некоторые компании используют отдельные компоненты разработки друг друга в стеках, стоящих на вооружении корпоративных центров кибербезопасности, но всё равно набор конечных комбинаций достаточно велик.

В рамках идеализированного представления о глобальном мирном сосуществовании и о рыночной конкуренции было бы интересно посмотреть на окончательный «топ» лучших платформ для SOC, но тревожная нестабильность нынешнего времени заставляет даже очевидных лидеров рыночной конкуренции говорить о необходимости консолидации ресурсов отечественных компаний. Об этом свидетельствует дополнение в ходе упоминавшегося «Интервью…» комментария представителя PT о платформенности современного автоматизированного инструментария SOC репликой Натальи Касперской о желательности совместной работы над разработкой требований к такой платформе и её «сборки» на основе лучших предложений отдельных компонент.

Пока же разнородность продуктовых линеек упомянутых выше компаний и «неоднородность» набора «компетенций» этих компаний приводит к тому, что сегодня можно выстроить разные платформы для «расширенного детектирования и реагирования» (Extended Detection and Response/XDR), которым предстоит противодействовать в значительной степени скоординированным проискам «коллективного киберзапада».

В этой ситуации в число проблем эксплуатации платформы конкретных SOC'ов следует включить и пресловутую «кадровую проблему», все грани которой удобнее обсуждать в рамках специальной публикации.

Здесь же уместно обратить внимание лишь на тот аспект, который сразу бросился в глаза при анализе программы SOC-Форума 2022 и уместность упоминания о котором окрепла в ходе знакомства с докладами. Речь идёт о терминах и определениях, которых следует придерживаться в отрасли и языке общения.

Примером «слабого» сигнала неблагополучия является использование слова «экспертиза» в наименовании сессии «Экспертиза SOC». Этот термин был бы уместен, если охватываемые этой сессией доклады рассказывали о проверках исполнения «ибэшных» нормативных документов, проведённых профильными регуляторами или, например, пожарными подразделением МЧС в части закреплённых за ним прав и обязанностей в сфере пожарной безопасности помещений, занимаемых SOC.

Но уместно ли использование словосочетания «экспертиза SOC» к докладам «От мониторинга к форензике и обратно» или «Как знание внешнего цифрового профиля компании помогает SOC»?

Хотя определённая польза в ненормативном использовании слова «экспертиза» и создании нового термина «экспертиза SOC» в дополнение к «технологии SOC» есть, позволяя на одной площадке рассказать об опыте коммерческого SOC в использовании технологии High Stakes EDR, а на другой – о EDR не для «чайников».

Более «сильным» сигналом является использование ядрёного печатного (на слайдах) и непечатного (в речи) слэнга в формате смешения «французского с нижегородским». Пример последнего приведён в заголовке материала.

Достаточно распространённым является мнение о том, что одним из инструментов решения «кадровой проблемы» в ИТ может стать привлечение действующих специалистов компаний к преподавательской деятельности. Но для этого уже сейчас имеет смысл пропагандировать и поощрять использование русского языка в докладах.

А «до кучи» и оформление иллюстративного материала (который мог бы стать основой учебного пособия) в традициях хорошо апробированной культуры, одним из элементов которой является аннотация доклада.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных