13.11.2015

ArcSight Forum или SIEM Forum или SOC Forum? Что это было?

Вчера про SOC Forum пошутили, а сегодня можно и что-нибудь серьезное написать. Тем более, что страсти уже улеглись и можно взвешенно оценить мероприятие. С точки зрения организации мне особо сказать нечего - те редкие минуты между пленаркой и модераторством двух секций, в которые я выбирался в фойе, у меня никаких проблем не возникло. Разве что траванулся я грибами и еле добрался до дома. Да народу было слишком много - об участии многих узнал только по постам в Facebook, а кого-то видел, но не успел подойти поздороваться.

SOC!... Как много в этом слове, для сердца безопасника слилось и чем-то там отозвалось. Вот это что-то и вызвало колоссальную бурю эмоций у участников, каждый из которых пытался придать этому термину свой смысл и свое звучание. SOC - это центр мониторинга. SOC - это центр реагирования. SOC - это ЦОД. SOC - это SIEM. SOC - это служба ИБ. Лучше всего к пониманию термина Security Operations Center подобрались коллеги из Информзащиты, которые высказали мысль, что "за ваши деньги мы назовем SOCом все что угодно" :-) Смешно, но доля правды в этом есть. В начале пленарки, когда Олег Седов, модерирующий мероприятие, попросил нас высказаться об этом термине, я сразу сказал, что не надо сейчас вдаваться в терминологию - ничем хорошим это не закончится. Существует известная пословица: "Хочешь завалить мероприятие по ИБ, начни дискуссию о терминологии".

С одной стороны это плохо, так как дальше мероприятие проходило по принципу "кто в лес, кто по дрова". Один докладчик рассказывал про SIEM, выдавая его за SOC. Другой приводил картинки SANS, делал вывод о том, что SOC и служба ИБ - это суть одно и тоже, и сразу же переходил к рассказу о пентестах, которые этими службами ИБ не замечаются (причем тут SOC?!). По сути, многие участники решили свои компетенции и продукты подтянуть под термин SOC, либо не понимая что это, либо понимая, но желая получить доступ к большой аудитории. Вспоминается известный анекдот: "Приходит студент в ветеринарную академию на экзамен по биологии, но ничего не знает, кроме строения блохи. Достался ему билет про корову. Он выходит и начинает: - Корова - это такое животное, на четырех ногах, покрыто шерстью. В шерсти водятся блохи... - И дальше рассказывает все про блох. Преподаватель его останавливает и говорит: - Хорошо, хорошо. Расскажите нам лучше про собаку. Студент опять начинает: - Собака - животное на четырех ногах, покрыто шерстью, в шерсти водятся блохи. И дальше рассказывает про блох. Экзаменатору это надоело, и он говорит: - Ладно, расскажите нам про рыбу. - Рыба - это животное, которое живет в воде. Шерсти у рыбы нет, но если бы была, в ней водились бы блохи..."

А поскольку подтягивать было особо не к чему (даже в мире с этим термином есть путаница), то и на выходе получилась полная чехарда с зернами истины. Если уж с термином "персональные данные", которые введен законодательством уже скоро как 10 лет, до сих пор много неразберихи. Что же говорить о термине, который ни в одном документе не упоминается.  Кстати, о персональных данных. Не зря в афоризмах с SOC Forum есть фраза, что какую бы тему в ИБ не взять, все придет к персональным данным. Так было и на пленарке - первую ее половину говорили либо про персданные, либо про регулирование, что достаточно странно выглядело бы на каком-нибудь форуме SANS по SOCам (вот презентации с последнего SANS SOC Summit), но привычно в России. Кстати, днем ранее проходила конференция РКН по персональным данным (часть 1 и 2 отзыва Михаила Емельянникова) и людей там было на порядок (именно на порядок) меньше, чем на SOC Forum.

Что же касается регуляторов, то интересная петрушка приключилась. Регуляторы-то особо и не видят смысла в этой всей сочной истории. Виталий Лютиков (ФСТЭК) сразу сказал, что все это маркетинг и шумиха, нагнетаемая интеграторами и продавцами. Артем Сычев (ЦБ) здраво отметил, что в принятом в 2012-м году 382-П (да и в СТО во многом тоже) тема управления ИБ, ее мониторинга и реагирования на инциденты раскрыта полностью. Да, ее там никто не называет SOCом, но все необходимые элементы, которые преподносятся как часть SOC, в 382-П есть. Да и в 17/21/31-м приказах тоже все это есть. И реагирование, и управление событиями ИБ. Более того, и нормативка ЦБ, и ФСТЭК, гораздо лучше подходит под понятие SOC, чем представляемые на рынке SOC. Потому что регуляторы в своих требованиях описали все операции безопасности (security operations), а поставщики SOCов концентрируются вокруг самых типовых  - мониторинга и реагирования.

Как человек, который участвовал в подготовке вопросов к пленарке, я включил в них один, который меня интересовал. Каковы гарантии аутсорсингового SOC в случае “успешной” атаки на информационные системы клиента и какую ответственность несет SOC в этом случае? Предсказуемо поставщики услуг SIEM/SOC стали уходить от прямого ответа, ссылаясь на то, что за всё всё равно отвечает заказчик и что SOC не может ничего гарантировать. В итоге, когда одного из участников дискуссии приперли к стенке, он сказал, что страхование от ответственности надо включать в стоимость контракта и все :-)

Еще одним часто поднимаемым на пленарке вопросом стало доверие. И хотя Дмитрий Мананников сразу же всех спустил с небес на землю и сказал, что говоря о безопасности, про доверие можно забыть, так эти понятие несовместимы (надо говорить об уровне гарантий, а не доверии), все равно, вопрос доверия поднимался неоднократно. На нем акцентировал внимание Артем Сычев, про него говорили представители FinCERT, про него говорили поставщики услуг SOC. У меня же сложилось впечатление (не только на форуме), что SOCи в России сегодня - это междусобойчик, где все решается по-пацански. Примерно так в 2010-м году было подписано "письмо шести" по персональным данным (да-да, опять про них) между ФСТЭК, ФСБ, РКН, ЦБ, АРБ и АРБР. Джентльменское соглашение, не более. Никакой юридической силы оно не имели. Так и сейчас с  SOCами. Вспоминается рассказ Григория Горина "Вы мне доверяете?"

И если один безопасник всегда договорится с другим, то с точки зрения юристов заказчика услуг SOC вопрос не такой однозначный. Можно ли передавать данные об инцидентах/атаках в SOC/CERT? А какие гарантии отсутствия утечки? А какова сохранность? А не придет ли регулятор и на нахлобучит ли за свершившиеся инциденты? А если инцидент содержит сведения, содержащие защищаемую законом информацию, то имею ли я право передавать ее в коммерчексий SOC? А может ли SOC, которому я это передал, передавать ее другим SOCам в рамках информационного обмена? А что будет, если инцидент свершится и SOC его не заметит? Кто ответит? Вопросов слишком много и у меня сложилось впечатление, что мало кто их задает. SOCи не готовы на них отвечать, а заказчики пока не так активно пользуются услугами SOCов, чтобы иметь практику составления грамотного договора.

Поэтому неслучайно и удивительно одновременно прозвучало на пленарке предложение от представителей двух поставщиков SOCов, чтобы регуляторы выпустили требования по SOCам и установили ответственность за ее неисполнение (или хотя бы просто наказание за несоблюдение требований по защите информации). Не буду вспоминать ст.13.12 КоАП, в которой такая ответственность уже установлена (тут вопрос не в статье, а в практике ее применения). Просто сама постановка вопроса забавна - сами мы себя продать не можем, заказчики нас не покупают, давайте придет регулятор и всех накажет.

Это закономерно вызвало удивление и неприятие со стороны регулятора. Ни ФСТЭК, ни ЦБ особо не горели желанием влезать еще и в тему регулирования SOCов. Артем Сычев сказал, что эта тема и так частично закрыта в СТО БР ИББС и 382-П, а Виталий Лютиков и вовсе высказал претензию (и не первый раз уже) к индустрии ИБ, заявив, что рынок должен регулировать себя сам, а не ждать, когда придет регулятор и за всех все решит. Это возможно только для госорганов, где владельцем информации является государство и именно оно, через ФСТЭК, устанавливает те или иные требования. Остальные пусть выкручиваются сами. Если уж сообществу SOCов (а в России есть закрытое общественное объединение "SOC России", в котором кучкуются любители SOCов и которые собираются на закрытые для посторонних посиделки) так нетерпится получить требования, то они могут это сделать через разработку ГОСТа и регистрацию его в Ростехрегулировании (через ФСТЭКовский ТК362 или ЦБшный ТК122). Желающих не нашлось, но возможно эта тема и найдет своих благодарных последователей, которые подготовят такой стандарт. Хорошо высказался Александр Скакунов: "На рынке выиграет тот, кто найдет мотивацию "пряник". На этом этапе кнуты в виде сертификации и регулирования забьют здоровые гвозди в крышку коробочки, где будет покоиться SOC".

Кстати, раз уж я вспомнил Александра, то нельзя не вспомнить и организованное его компанией мероприятие VolgaBlob Trends 2015 (а до это и 2014), которое прошло неделей раньше SOC Forum, и на котором также поднимались вопросы мониторинга ИБ. А еще двумя неделями ранее в Москве прошел уже второй Splunk Moscow Summit, посвященный... точно, SIEM (или как говорят некоторые неSIEM) Splunk. На нем, как это не странно, тоже говорили про мониторинг ИБ на базе решений Splunk. Но это же мероприятие одного продукта, а SOC Forum был независимым, скажете вы. Ага, счас :-)

Я не зря в названии заметки упомянул про ArcSight. Именно он постоянно упоминался участниками мероприятия. Он используется в JSOC, он используется в Информзащите, он используется в АМТ, его использует РЖД, его использует Газпромбанк... Да много он где используется. Если бы не искрометное выступление Олеси Шелестовой из RuSIEM, то можно было бы поставить знак равенства между SOC Forum и ArcSight Forum :-)

Но давайте закончим с пленаркой и вернемся к SOCу. Определились ли участники хотя бы к  окончанию мероприятия с тем, что такое SOC? Увы... Как справедливо заметил Дмитрий Мананников: "Про SOC так и не поговорили. Все про выстроенные SIEMы". Артем Агеев был более циничен - "SOC - это новая "безопасность АСУ ТП" :-) Соглашусь с обоими, но при этом все равно еще раз отмечу, что мероприятие мне понравилось. Я это предсказывал еще до начала и не ошибся. Да-да, я пророк; через меня течет Сила :-)


Тема (для России) новая. Она ближе к традиционной ИБ, чем безопасность АСУ ТП. Она назрела. Я уже как-то приводил в пример число 50. Именно столько ИБ-решений на среднестатистическом предприятии (по данным Symantec их вообще 70+). А людей не хватает; и сильно не хватает. Поэтому и тема SIEM (как мониторинг большого количества разрозненных средств защиты), и тема SOC, и особенно аутсорсинг и того, и другого, будет востребована в ближайшее время. А уж как это все называть, дело десятое. Со временем этот термин сформируется сам собой; как только появится активная практика, а не единичные кейсы.


ЗЫ. Материалы с форума уже выложены.

5 коммент.:

George Kornilov комментирует...

Верно, что упоминаются люди. Ни SIEM, ни SOC, и ни отдельное СЗИ, не будут работать (рентабельно), если забыть, что говоря "ИБ", мы должны помнить "люди". Что средства дадут людям? Какими они сделают их? Повысится рентабельность персонала? За счёт чего? Люди делают прибыль и они же делают убытки, верно?

Александр Бодрик комментирует...

А почему тема новая? В Газпромбанке сколько лет уже SOC? Управлением инцидентами занимаются все уже давно

Алексей Лукацкий комментирует...

А кто сказал, что SIEM и упраление инцидентами - это SOC?

Виталий Валерьевич Тарнавский комментирует...

"Всякое определение есть ограничение" - цитирую Спинозу. Алексей, а Вы как ограничите? А как по русски называется сие многоликое "Изделие", не побоюсь этого номера, номер 1? Мы например развиваем Security Capsule - тоже не по русски маркетологи наши наименовали)) А раньше назывался достойно - ПАКАБ и все тут тебе))) кто-то пошутил, что созвучно ФАК АП...как говорит Мутко...Ай виш ю ту би бест оф олл).но...это дело вкуса )))
Алексей, признавайтесь

Алексей Лукацкий комментирует...

Я против определение