BIS Journal №1(24)/2017

28 марта, 2017

SOC Forum: послевкусие

Уже второй год в Москве проходит SOC Forum, целиком посвященный одной теме – центрам мониторинга кибербезопасности. Этим мне этот форум и нравится – он сфокусирован на конкретной теме, которую можно рассматривать с разных сторон на достаточно глубоком уровне. Вы можете себе представить очень конкретную и очень специфическую тему "Отчетность в SOC" на каком-нибудь Инфофоруме или InfoSecurity Russia? Я - нет, потому что оба эти мероприятия "обо всем сразу и ни о чем конкретно". У них размытая программа, которая хочет охватить сразу всё и в итоге все темы рассматриваются по верхам (хотя кому-то и этого достаточно). У SOC Forum четкая специализация (если не рассматривать регулярное смешение тем SOC и SIEM), что и позволяет погружаться в совершенно различные темы, связанные с центрами мониторинга - визуализация, threat hunting, расследование инцидентов, приоритезация событий, измерение эффективности и другие. В России таких фокусных мероприятий не так уж и много - РусКрипто, PKI Forum, AntiFraud Russia, ИБ АСУ ТП КВО... Вот, пожалуй, и все.
 
Но вернемся к SOC Forum. Не буду оценивать организацию, которая была на высоте, выросшую выставочную часть, возможность для кулуарных обсуждений - все это было хорошо. Опишу пленарную часть, которую мне довелось модерировать и в которой я сконцентрировался на дискуссии с двумя регуляторами – ФСТЭК и ФСБ, тремя аутсорсинговыми SOCами, представленными Игорем Ляпуновым (Solar Security), Евгением Климовым (Информзащита), Романом Кобцевым (Перспективный мониторинг), и представителем заказчика - Алексеем Плешковым из Газпромбанка.
 
НЕЗРЕЛОСТЬ ОТЕЧЕСТВЕННОГО РЫНКА SOC
 
Первый мой вопрос касался такой материи как время. Почему тема SOCов стала активно развиваться именно сейчас? Это происки отдельной компании, которая продвигает свои услуги? Или есть другие причины, приведшие к такой активности?  По версии Алексея Новикова из 8-го Центра ФСБ и Дмитрия Шевцова из ФСТЭК задача непрерывного мониторинга стала важной сейчас по причине развития технологий ИТ, развития технологий нападения, а также усиления требований по скорости реакции на современные угрозы. Именно поэтому помимо темы SOCов стала именно сейчас развиваться ГосСОПКА, стали появляться требования по обязательному уведомлению госоорганов об инцидентах, ФСТЭК меняет подходы к аттестации от дискретных трехлетних периодов к непрерывной оценке защищенности.
 
При этом аутсорсинговые SOCи тоже развиваются не на пустом месте - возросла зрелость тех, кому не хватает своих систем мониторинга, и они хотят повысить эффективность процесса обнаружения и отражения угроз. Об этом говорили и Игорь Ляпунов, и Евгений Климов. А Роман Кобцев привел интересную аналогию с морковным соком, который в семьях пьют по разным причинам. Кто-то потому что вкусно, кто-то - потому что полезно, а кто-то - потому что мама заставляет. Так и SOCи. Кого-то заставляет ГосСОПКА и FinCERT, а кто-то реально созрел до выделения этой задачи в отдельный процесс, который и можно было бы назвать SOC. Хотя и ответ "так звезды сошлись" тоже был упомянут среди причин возросшей активности темы SOC Forum 2.0.
 
Также мне был интересен портрет типичного заказчика аутсорсингового SOC (включая ГосСОПКУ). У Solar Security это преимущественно банки, хотя Игорь Ляпунов неоднократно упомянул и зрелость заказчиков, которые отдают свою "святая святых" на аутсорсинг. У Информзащиты и Перспективного мониторинга клиентами являются преимущественно свои же клиенты, которые уже пользуются услугами и продуктами этих (а также материнской в случае с Перспективным мониторингом) компаний. К ГосСОПКЕ подключены сейчас 10 крупных органов власти, а в перспективе должны подключиться все федеральные органы исполнительной власти, а также, возможно, и госкорпорации. В частности, Росатом и Ростех со своим КЦОПЛ, уже проявили интерес к интеграции своих центром мониторинга с ГосСОПКОЙ; по примеру уже подключившегося FinCERT Банка России. Малого и среднего бизнеса нет ни у кого среди клиентов и пока непонятно, как это сделать. Solar Security пока не видит среди своих клиентов малый бизнес, а Перспективный мониторинг считает, что малый бизнес должен обслуживаться у операторов связи, которые таким образом могут расширить пакет своих услуг и поднять свой ARPU. Муниципальные предприятия пока не попадают в прицел ГосСОПКИ, но в перспективе их можно будет подключать через региональные центры ГосСОПКИ, которые сейчас в процессе строительства.
 
Интересной, но так и незавершенной мне показалась дискуссия об обмене информации между SOCами. Пока каждый работает только на себя и не очень готов делиться своими наработками с другими игроками рынка, по сути, конкурентами. Об этом говорил и Алексей Плешков из Газпромбанка, который поделился своим опытом и посетовал на то, что пока у нас отсутствует формализованный стандарт обмена информацией об угрозах, что усложняет автоматизацию подключения различных источников Threat Intelligence. Хотя в мире есть и STIX, и TAXII, и CIF, и многие другие стандарты, есть подозрение, что Россия пойдет опять своим путем и будет изобретать велосипед. Об этом косвенно говорит и законопроект о безопасности критических инфраструктур, в котором весь обмен информации требуется осуществлять через Национальный координационный центр по компьютерным инцидентам по разрабатываемому сейчас регламенту.
 
Есть проблемы и с бесплатными услугами у наших SOCов. Пока этот рынок находится в самом зачатке и никаких бесплатных услуг (например, фидов с индикаторами компрометации) отечественные игроки не предоставляют. Игорь Ляпунов упомянул о том, что у Solar Security есть какие-то услуги за нулевую стоимость, но какие так и не сказал. Остальные игроки на вопрос о том, что у них есть для компаний, которые хотят знать об угрозах, но не готовы платить за услуги SOC, скромно промолчали. Идея с центрами, аналогичными западным ISAC, которые часть информацию раздают бесплатно, пока у нас не реализована, что обусловлено, на мой взгляд, незрелостью самого рынка и низкой конкуренцией. Те же Информзащита и "Перспективный мониторинг" ориентированы на работу со своими клиентами и пока не видят перспектив (или не имеют ресурсов) в работе на широкую публику.
 
Зато эта тема очень интересно свернула в сторону качества информации, обмениваемой в рамках информационного обмена, и качества подключающихся к обмену участников. По словам Игоря Ляпунова, во внешних фидах слишком много шлака и мусора и приходится очень активно их фильтровать (в отличие от данных той же ГосСОПКИ). А Евгений Климов задал риторический вопрос о том, как проверять подключающиеся к обмену компании? Не представляют ли они сами интересы злоумышленников, которые таким образом изучают то, что о них знают защитники информации? Этот непростой вопрос так и канул в Лету.
  
ЧЕГО Я НЕ УСЛЫШАЛ НА SOC Forum?
 
Прошлый номер журнала, выпущенный как раз к SOC Forum, много материалов посвятил теме центров мониторинга ИБ, и я не буду подробно останавливаться на том, что рассказывали регуляторы на форуме и что было на его пяти потоках. Лучше напишу о том, чего я в презентациях не увидел. Лично для меня не хватило практики; и не важно с чьей стороны - заказчиков, интеграторов или поставщиков услуг SOC. Да, заказчиков было мало и причины этого я уже пытался анализировать у себя в блоге, но остальные-то, остальные! Нечего сказать или отсутствует желание делиться информацией с коллегами? Причин не знаю. Но в итоге мы вновь вернулись к тому, от чего хотели отойти в прошлом году - к рассказам о том, что такое SOC и зачем он нужен, но не о том, как выстраивать те или иные процессы SOC и какие подводные камни могут быть на пути к тому или иному уровню зрелости центров мониторинга. Кстати, об уровнях зрелости не упоминал только ленивый, но вот к себе почему-то его никто не примерял, а если примерял, то "малость" завышал оценку.
 
Но вернемся к тому, чего я не услышал на SOC Forum. Так сложилось, что я имею некоторое представление о том, что рассказывают на западных, в частности, американских мероприятиях по SOC. Там есть ежегодный SOC Summit, там есть мероприятия по Threat Hunting, по Digital Forensics, по Incident Response. Поэтому, сравнение пока не в пользу нашего SOC Forum. Ну да это понятно - бизнес-модель упомянутых западных мероприятий совсем иная. Там мероприятие платное для участников и поэтому они хотят видеть что-то конкретное и полезное, а не просто рассуждения на тему "Что такое SOC?" или "Какой уровень зрелости должен быть у SOCа на втором году жизни?". Итак, вот мой список того, чего я не увидел на SOC Forum в этом году и что хотелось бы услышать в следующий раз:
  • Больше докладов от заказчиков, которые делятся не только своими достижениями, но и своим негативным опытом, который тоже полезен. Как минимум, он позволяет не наступать на грабли последователям. А как максимум, показывает уровень зрелости компании, готовой делиться не только своими успехами. Очень мне понравился доклад от самого ЦБ об опыте работы внутреннего центра мониторинга. Нет, речь не о FinCERT, а о том, как ЦБ борется с угрозами внутри себя, в рамках своей платежной системы. Это вообще редкость, когда регулятор делится опытом собственной защиты. На моей памяти это вообще первый публичный случай. Мы эту тему обсуждали в программном комитете еще в прошлом году, и вот первый результат, который вышел не комом. У ФСБ тоже есть СОПКА (а не только ГосСОПКА) и было бы интересно (хотя я понимаю, что это малореально) послушать об их опыте самозащиты.
  • Не хватало реальных кейсов поимки кого-либо или чего-либо. Большинство докладов фокусировалось на том, что такое SOC, какие функции он решает, какие процессы в нем есть и т.п. Но есть ли какая-то польза от него? Помог ли он решить те задачи, для которых его создавали. Даже если дистанцироваться от темы эффективности, которой был посвящен отдельный поток, было бы интересно посмотреть примеры обнаружения APT, поимки инсайдера и т.п. Такой доклад был только у JSOC и то, потому что у них, как у генеральных спонсоров, было целых три доклада. А если бы не было трех докладов? Выбрали бы рекламу себя или обмен опытом?
  • Не хватало реальных кейсов оценки эффективности деятельности SOC. Кроме доклада Газпромбанка и банка "Санкт-Петербург" по сути никто так и не привел метрик оценки своей эффективности даже вскользь. И возникает классический вопрос - так стоит ли овчинка выделки? Надо ли тратить немало ресурсов на создание того, что сложно оценить в конкретных показателях? Понятно, что тема эта непростая, но все-таки. Сюда же относится и демонстрация показателей TTD/TTC/TTR (Time-to-Detect/Time-to-Contain/Time-to-Response). Эти показатели звучали на SOC Forum только один раз - у меня в презентации в качестве примера метрик оценки эффективности SOC. У той же Информзащиты и JSOC в презентациях говорилось о времени реакции (это TTD, TTC или TTR?). При этом были указаны какие-то запредельные показатели в "15 минут" у Информзащиты и "10 минут" у JSOC (у них еще упоминались "30 минут" как время противодействия). Фантастические показатели, если честно. У того же Cyberbit в презентации были показаны более реальные значения - 80% инцидентов закрываются в течении 6 часов. И то, это «средняя температура по больнице». Правильнее было бы показывать диаграмму распределения времени обнаружения разных инцидентов. Например, в Cisco большая часть инцидентов детектируется (TTD) за 3-4 часа; на втором месте показатель в 0-1 часа на обнаружение, затем идут 2-3 часа, 1-2 часа и т.д. С точки зрения реагирования (TTC) также время распределяется по шкале от 0-1 часа до 72 часа и более.
  • Про финансовую оценку эффективности и говорить не приходится. Тема не звучала в принципе. Правда, справедливости ради, надо признать, что и на западных мероприятиях она мало звучит. Как и тема обоснования руководству необходимости SOC. Сложно пока многим компаниям показать связь бизнеса и своих активностей по информационной безопасности.
  • Не хватало рассмотрения таких важнейших тем, как визуализация (об этом упомянул только «Эшелон», но на примере своего решения) и подготовка отчетов (об этом говорил НТЦ «Вулкан», но опять же на примере своего продукта). А хотелось бы услышать чуть больше советов о том, какие формы визуализации и для каких инцидентов подходят, какие отчеты и для каких целевых аудиторий нужны? От этого очень многое зависит в том, как будет воспринимать руководство построенный SOC.
  • С технической точки зрения практически полностью отсутствовали рассказы о Threat Hunting, расследовании инцидентов, реагировании на них, приоритезации событий, применении современных методов анализа данных - машинном обучении (кроме доклада «Открытых технологий»), нейросетях и т.п. А ведь именно эти сервисы/процессы отличают SOC от банального применения SIEM. 
  • Ну и конечно была упущена тема персонала для SOC, а точнее тех знаний и компетенций, которыми должен обладать специалист SOC (например, аналитик). Вкратце об этом говорил представитель моей альма-матер (МИРЭА), рассказав о том, как они готовят специалистов для ГосСОПКА. Но этого явно было недостаточно и не каждый готов пойти вновь на институтскую скамью, чтобы получать нужные знания. 
В заключение хочу отметить, что тема мониторинга информационной безопасности сейчас находится на коне, и в условиях растущих числа и сложности атак ее важность будет только возрастать. Многие компании будут вынуждены задуматься о том, как объединить разрозненные средства защиты информации в единый центр сбора событий ИБ и реагирования на них. Поэтому у SOC Forum очень хорошие перспективы собрать вокруг себя целое сообщество специалистов, которым интересны не только, и не столько, нормативные акты и рассказы о современных угрозах, сколько обсуждение реальных кейсов обнаружения нарушителей, компетенция которых растет зачастую быстрее специалистов по безопасности.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных