Связанные одной SOC-цепью

Связанные одной SOC-цепью

Четвертый SOC Forum выявил неотвратимость реализации функции мониторинга ИБ в организациях. Стало понятно, что другой big idea в информационной безопасности нет, и рынок SOC стал достаточно зрелым, чтобы заслужить упоминания куратора крупнейшего SOC страны – руководителя службы ИБ Сбербанка Сергея Лебедя. Его фраза: «На рынке появились услуги мониторинга», – с высоты возможностей Сбербанка означает, что теперь такие услуги есть для всех и каждого – от малого бизнеса до крупнейших корпораций.

ПЛЕНАРНОЕ ЗАСЕДАНИЕ

Форум открылся выступлениями регуляторов – представителей ФСТЭК, ФСБ, ЦБ РФ и Сбербанка. В рамках освещения ситуации с выполнением ФЗ-187 «О безопасности КИИ РФ» заместитель директора ФСТЭК Виталий Лютиков рассказал, что организации пока сосредоточены на этапах инвентаризации и категоризации объектов критической инфраструктуры, в частности, дальше остальных в этом продвинулись организации сектора ТЭК, здравоохранения и ОПК. Есть и отстающие («Например, банки…»), возможно поэтому регулятор подчеркнул, что ФСТЭК будет настаивать на завершении категоризации до конца 2019 года, окончательный срок определится во втором квартале 2019 г. Интересно и то, что ФСТЭК подходит к процессу категоризации во многом неформально, не педалирует мелкие неточности в формулярах, главное – это добросовестное применение методики и оценка потенциального ущерба. В завершение регулятор пригласил все заинтересованные стороны принимать участие в разработке нормативных документов в сфере обеспечения безопасности КИИ и пообещал выпустить отдельный документ по информационному обмену.

Автор отмечает некое перекрытие темы информационного обмена с зоной ответственности ФСБ – ГосСОПКой, однако информационный обмен в России еще редкий (хотя и безусловно положительный) тренд, поэтому документ в любом случае будет полезен для всех отечественных служб ИБ.

Представитель ФСБ, заместитель начальника 8-ого центра ФСБ России, Игорь Качалин рассказал о численных параметрах работы ГосСОПКА: НКЦКИ оказывал практическое содействие в выявлении и реагировании на компьютерные инциденты, направил субьектам ГосСОПКА 700 уведомлений, 18 организаций создали или создают корпоративные центры ГосСОПКА. Руководитель подчеркнул, что НКЦКИ заинтересован в создании корпоративных центров и будет поддерживать этот процесс.

Вместе с тем, автор выступал заказчиком создания корпоративного центра ГосСОПКА, направленного на оказание услуг субъектам КИИ. На практике конкретные сотрудники НКЦКИ не очень дружелюбны, плюс существует проблема курицы и яйца: нет зоны ответственности (нет договора с субъектом КИИ) – нет статуса корпоративного центра. Отсутствие статуса корпоративного центра не позволяет заключать договора с субъектами КИИ на реализацию функций ГосСОПКА в их интересах. Впрочем, в дальнейшем на SOC Форуме Роман Кобцев (компания «Перспективный мониторинг») предложил свой рецепт: объявить зоной ответственности корпоративного центра ГосСОПКА инфраструктуру корпоративного центра ГосСОПКА и категорировать центр мониторинга как КИИ.

Артем Сычев, первый заместитель директора Департамента ИБ Банка России, привел обнадеживающую статистику: год от года наблюдается увеличение количества атак разного типа, однако мы уже научились работать с ними, поэтому ущерб год от года падает. Возможно, немалую роль в эффективности защиты играет именно процесс остановки несанкционированных платежей, реализованный на базе ФинЦЕРТ. Артем поделился планами: ФинЦЕРТ переходит на работу в режиме 24х7, что должно сократить доходы злоумышленников. Второе магистральное направление развития ИБ от Банка России – стимулировать развитие банками своих систем и практик информационной безопасности. Теперь риски ИБ станут учитываться при расчете резервов банка как часть операционных рисков.

Впрочем, профильные эксперты в кулуарах сходятся в едином мнении: сейчас в ИБ относительное затишье, громких атак давно не было, и это вполне может оказаться затишьем перед бурей. Вот когда она грянет, тогда мы и сможем по-настоящему оценить эффективность механизмов ФинЦЕРТ, НКЦКИ и других системных институтов по противодействию киберугрозам в РФ.

Руководитель службы ИБ Сбербанка Сергей Лебедь (напомню, что Сбербанк является Центром компетенции по ИБ программы «Цифровая экономика Российской Федерации») рассказал о содержании раздела ИБ Программы. Кроме того, он сообщил, что на сегодняшний день в Программе числится 141 мероприятие, но есть проблема с финансированием: из запланированных 5 млрд 667 млн рублей выделено всего 363 млн.

Профильные эксперты в кулуарах и по этому поводу оказались едины: с финансированием в 6 процентов от плана говорить о реальной работе по программе не приходится.

СЕКЦИИ

Отраслевая специфика

Кроме пленарной сессии на Форуме было представлено сорок докладов. Основные темы – индустриальные: SOC в Промышленности и SOC в Финансах. SOC в Промышленности на практике свелся к целому ряду выступлений, связанных с КИИ и ГосСОПКА. Промышленники неохотно делились реальными кейсами центров мониторинга. Всего выступили три представителя промышленности (ЕВРАЗ, СО ЕЭС и концерн Калашников), и только один из них рассказал про SOC (Евгений Акимов, концерн Калашников), да и то про пилот SOC Информзащиты. Остальные пока находятся на стадии развития SIEM или реализации регуляторных требований.

Направление Финансы больше эксплуатировало SOC. Дельтакредит, Ингосстрах, Газпромбанк и Банк Санкт-Петербург поделились опытом развития SOC, создания гибридного SOC и проведения киберучений. Представители Дельтакредит и Ингосстраха подчеркивали важность передачи знаний от сервис-провайдера клиенту, такая возможность была для них одним из решающих факторов при выборе поставщика услуг мониторинга. В том же русле выступил и автор (ANGARA ASSISTANCE), рассказав, как создать гибридный SOC с передачей знаний клиенту и хранением данных у клиента.

Операционная специфика

C точки зрения операционной деятельности SOC ярко проявился тренд увеличения количества сенсоров и поступающих в SOС данных (big data). Представители Инфотекс и ANGARA упомянули об установке агентов на обнаружение вторжений на рабочих станциях и серверах (хостах), представитель ForeScout – об инвентаризации сети как ключевом контексте безопасности для SOC, а представители Гарда Технологий и Cross Technologies – о сетевой и хостовой форензике как необходимых для расследования инцидентов практиках и технологиях.

Одним их ключевых технологических трендов стало активное использование Open source коммерческими центрами мониторинга. Об этом говорилось в докладах Информзащиты, ICL КПО ВС, на стендах Infosecurity и ANGARA. В конце концов open source позволяет более гибко обрабатывать увеличивающийся поток данных.

Однако любые технологии не приносят пользы без преодоления кадрового дефицита, о существовании которого сокрушались представители РТК-Solar, Инфосистемы Джет и других. Со своей стороны, рекомендую для преодоления кадрового голода в SOC воспользоваться специально разработанными стратегиями, опубликованными автором последнем выпуске BIS Journal (№4/2018).

ДРУГИЕ ФОРМАТЫ

Выставочная часть Форума насчитывала более двух десятков стендов поставщиков услуг и регуляторов. Все три регулятора, активно работающие на Форуме, – ФСБ РФ, ФСТЭК России и ФинЦЕРТ Банка России – представили свои стенды. Было бы логичным увидеть в будущем и стенд Роскомнадзора.

Качественно новым и очень интересным форматом для Форума стали Киберучения. Эти весьма азартные соревнования позволили проверить практические навыки по формированию и принятию решений в ИБ шести командам из 29 специалистов. Примеры вопросов: «Что Вы будете делать, если сайт Вашего банка взломали?», «Стоит ли оповещать клиентов об инциденте?», «Как реагировать на инцидент, связанный с личной техникой председателя правления банка?» и другие. Чтобы победить в Киберучениях, необходимо было учесть технические, управленческие и политические аспекты управления ИБ в крупной организации. Судейство обеспечивали представители ФСБ, ФСТЭК, Банка России и Сбербанка. В итоге первое место, по единогласному решению судей, заняла команда специалистов Сбербанка.

ЗАДЕЛ НА БУДУЩЕЕ

Следующий SOC Forum, надеюсь, перейдет в плоскость конкретики оказания услуг. Кто, кого и в каком объёме обслуживает становится важным – лишь практический опыт мониторинга соразмерных инфраструктур позволяет клиенту быть спокойным, что и у него сервис «взлетит» и принесет пользу. Второй безусловный тренд (машинное обучение) еще не достиг зрелости и существенно поможет SOCам и их клиентам не ранее 2025 года. Он же поможет справиться и с экспоненциальным ростом объёма данных, благо, продолжающийся кадровый дефицит автоматически понижает планку качества принимаемых аналитиками SOC решений.