Практика противодействия компьютерным атакам
и построения центров мониторинга ИБ

Итоги SOC-Форума 2019

SOC-ФОРУМ 2019

Самая масштабная конференция в отрасли показала новый уровень

19–20 ноября 2019 года в Москве с грандиозным успехом прошёл пятый SOC-Форум «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ». Организаторами мероприятия выступили ФСБ России и ФСТЭК России при поддержке Банка России. Организационную часть взяла на себя Медиа Группа «Авангард».

О стремительном росте авторитета SOC-Форума свидетельствует число участников — более 2000 уникальных посетителей, включая представителей регуляторов, лидирующих игроков рынка ИБ, государственных структур, кредитно-финансового сектора, операторов связи, ТЭК, промышленности. Для сравнения, на первом SOC-Форуме в 2015 году количество участников составляло 400 человек.

Центральной темой пленарной дискуссии, давшей официальный старт SOC-Форуму, стала роль центров мониторинга в современной системе информационной безопасности РФ. Мнениями по этому вопросу обменялись Игорь Качалин (ФСБ России), Виталий Лютиков (ФСТЭК России), Артём Калашников (ФинЦЕРТ Банка России), Игорь Ляпунов (ПАО «Ростелеком»), Сергей Лебедь (ПАО «Сбербанк») и Денис Бережной (Департамент информатизации и связи Краснодарского края).

Регуляторы прокомментировали результаты анонимного опроса среди заказчиков о том, как изменилась отрасль за 5 лет. Усложнение атак, рост дефицита специалистов, принятие 187-ФЗ — все это, с одной стороны, помогло объяснить бизнесу важность информационной безопасности, с другой — поставило перед игроками рынка новые вызовы.

Оценивая итоги минувшего пятилетия, Игорь Качалин заявил, что с момента вступления в силу закона 187-ФЗ уже заключено 42 соглашения о взаимодействии с НКЦКИ, ещё 192 организации запросили методические рекомендации и находятся в стадии принятия решения о создании центров мониторинга. Виталий Лютиков сообщил, что количество объектов КИИ за последний год увеличилось почти в 2 раза — до 45 410, а база данных выросла до 23 545 записей.

 

Игорь Ляпунов отметил, что в последние годы законодательство в сфере безопасности стало, наконец, предъявлять требования к организации процесса выявления, реагирования и расследования инцидентов, а не к наличию сертифицированных средств защиты. Это важный шаг, отражающий понимание рынка, что создание абсолютно неуязвимого периметра — это утопия, от которой пора отказаться.

Участники дискуссии пришли к общему выводу, что ключевой задачей сегодня является раннее выявление и локализация кибератак с тем, чтобы принять необходимые меры противодействия до того, как злоумышленники нанесут ущерб организации.

 

На более прикладном уровне эта тема получила развитие в рамках трека «Технологии SOC». Владимир Дрюков (Solar JSOC) рассказал о том, как действия современных злоумышленников остаются незамеченными для средств защиты. Атакующая сторона непрерывно совершенствуется, мгновенно используя новые уязвимости, создавая сложные методы атак, среди которых — вредоносное ПО, способное обходить антивирусы и песочницы; бесфайловое ПО; использование систем туннелирования при взаимодействии с центрами управления вредоносной активностью.

Владимир Бенгин (Positive Technologies) привел статистику, согласно которой среднее время незаметного присутствия злоумышленника в инфраструктуре составляет 206 дней. При этом в половине компаний сетевой периметр можно преодолеть всего за один шаг.

По мнению Вениамина Левцова («Лаборатория Касперского»), перед компаниями сегодня стоят такие вызовы, как необходимость в исследовании подозрительных активностей в инфраструктуре и использовании продвинутых технологий выявления атак. Осложняющими факторами являются ограниченность ресурсов ИБ и недостаток специалистов узкого профиля. Всё это приводит к росту популярности сервисной модели, которая в сложившихся условиях становится едва ли не единственным выходом.

Ожидаемо высокий интерес вызвала сессия «Требования 187-ФЗ и опыт их выполнения», которую провели Сергей Корелов (НКЦКИ ФСБ России) и Елена Торбенко (ФСТЭК России).

Елена Торбенко и Андрей Раевский, представитель НКЦКИ ФСБ России, выступили с развёрнутыми докладами, в которых разъяснили вопросы нормативно-правового регулирование вопросов категорирования объектов КИИ и обмена информацией о компьютерных инцидентах. Также докладчики ответили на ряд практических вопросов из зала. Представители регулятора сошлись в мнении, что сегодня одной из наиболее острых проблем как в коммерческом, так и в государственном секторе является недостаток взаимодействия между ИТ-, ИБ- и другими функциональными подразделениями. Андрей Раевский добавил, что до сих пор во многих организациях нет чёткого понимания, какие у них есть информационные системы. Он также отметил, что в дополнение к Приказам ФСБ России №№ 196, 281 и 282 в ближайшее время планируется создание национальных стандартов по процессам реагирования на компьютерные инциденты.

Вторая часть сессии была отведена докладам представителей российского государственного и коммерческого сектора, которые поделились практическим опытом категорирования и защиты объектов КИИ. Кроме того, вы выступлениях рассказывалось о подключении к ГосСОПКА, организации процессов выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ.

 

Дмитрий Хижкин (ПАО «Россети») рассказал о ходе процесса категорирования объектов КИИ в организации. Из 6500 объектов 14 была присвоена первая категория. План ПАО «Россети» — до 2023 года привести все значимые объекты КИИ в соответствие с требованиями регуляторов. За 2018 год «Россети» отразили более 9 млн компьютерных атак, за III квартал 2019 года — более 4 млн. Ни одна из киберугроз на ПАО «Россети» не реализовалась.

Валерий Комаров (Департамент информационных технологий г. Москвы) рассказал, как департамент реализовал процесс оповещения НКЦКИ об инцидентах ИБ в соответствии с предписаниями регулятора, которые требуют предоставления информации в течение 24 часов. Однако он также отметил проблему дефицита квалицированных кадров, подчеркнув, что в регионах этот вопрос стоит особенно остро.

 

Второй день начался в принципиально новом, экспериментальном формате — с сессии «АнтиПленарка». На сцене собралась четвёрка экспертов отрасли, представляющих коммерческий сектор, а представители регуляторов остались в зале — среди рядовых участников форума. Скрытый от взглядов экспертов и наблюдателей, модератор выступал в роли «Голоса отрасли», заставляя отвечать на неудобные вопросы, тогда как зал оценивал ответы и делился своим мнением по обсуждаемым вопросам с помощью онлайн-голосования. Впервые на SOC-Форуме кулуарные разговоры и откровенное обсуждение острых тем оказалось вынесено на публику и представлено в виде зрелищного шоу.

  

В ходе «АнтиПленарки» прозвучало множество неожиданных суждений, заставивших участников переосмыслить свои взгляды на актуальную ситуацию в сфере ИБ. Например, Дмитрий Гадарь (Тинькофф Банк) объявил, что переход к использованию больших данных в сфере выявления инцидентов, предрекаемый регуляторами в недалёком будущем, в действительности уже давно произошел. В связи с этим на первый план, сменяя управление отдельными событиями, выходит анализ аномалий. Алексей Лукацкий (Cisco Systems) сделал тенденциозное заявление о том, что SIEM можно считать устаревшей технологией, и построение системы защиты на его основе — плохая идея. Парадоксально на SOC-Форуме прозвучало следующее его утверждение: «SOC в том виде, в котором он сегодня преподносится, — это хайп, и в таком виде он особо и не нужен».

 

В ходе двухдневной программы Форума большинство практических докладов было посвящена отраслевой специфике SOC: персоналу и процессам, обнаружению, реагированию и расследованиям инцидентов ИБ. Компании-создатели центров мониторинга, ведомства, ответственные за деятельность ГосСОПКА, и разработчики методических рекомендаций рассказали о стоящих перед ними задачах, поделились опытом их решения. Также докладчики проанализировали особенности построения SOC и накопившуюся практику реализации 187-ФЗ в финансовом секторе, на промышленных предприятиях, в энергетике и на других важных инфраструктурных объектах. Интересно, что самой острой проблемой SOC на сегодняшний день была признана проблема кадров.

 

Постоянный интерес участников SOC-Форума 2019 вызывала демонстрационная зона. Конференция прошла при поддержке ведущих компаний отрасли информационной безопасности России, на стендах которых были представлены новейшие продукты для выявления инцидентов и мониторинга компьютерных атак. Уже традиционной особенностью демонстрационной зоны SOC-Форума стали стенды НКЦКИ ФСБ России, ФСТЭК России и ФинЦЕРТ Банка России, неизменно привлекавшие внимание посетителей.

Как отметили участники SOC-Форума, развитие цифровизации невозможно без укрепления информационной безопасности во всех отраслях экономики. В связи с этим ежегодное проведение форума отмечает важные вехи на пути совместного предотвращения киберугроз, объединения усилий всей отрасли для управления инцидентами и противодействия компьютерным преступникам. Использование SOC открывает перед компаниями финансового сектора, телекоммуникационной отрасли, а также промышленными предприятиями новые возможности для снижения компьютерных угроз и защиты информационных активов.