16.11.2015

Что нового в SOC?

По результатам моей заметки про SOC Forum мне многие написали, что ничего нового в теме SOCов нет и что примеры работающих SOCов известны уже не первый год. И что? Где в информационной безопасности вообще что-то новое? Сканеры безопасности? Так тот же SATAN был в начале 90-х разработан и что с тех сильно поменялось? IDS, которые сейчас все кому ни лень в России пишут (на базе open source)? Ну так первые сетевые IDS появились также в начале 90-х. Поведенческие анализаторы? Первые решения так и вовсе в 80-м году были представлены миру. NBAD? Тоже в 80-х. Да та же "инновационная" квантовая криптография была предложена еще в 70-х. Анализаторы кодов? Так первые решения в конце 70-х стали использоваться.

Что нового в SOC? Ничего. Командные и штабные центры в войсках были с незапамятных времен. Но тогда еще компьютеров не было, чтобы собирать с них сигналы тревоги. В АНБ первый SOC появился в 1968 (тогда он еще назывался центром наблюдения (National SIGINT Watch Center), а в 1973 его переименовали в национальный SOC.

Что вообще совсем нового у нас в ИБ есть? Ничего. Только уровень автоматизации задач повышается, да интерфейсы удобные разрабатываются, да некоторые дополнительные функции добавляются. Вот и вся новизна. Но это же не значит, что про это не надо говорить и проводить конференции, посвященные тому или иному направлению.

ЗЫ. Вообще, человеку свойственен эгоцентризм - он всегда ставит себя и свое мнение в центр Вселенной и считает, что именно его мнение является единственно верным. Например, анализируя документы регуляторов, специалист по ИБ часто думает "Вот же бред, кто это мог придумать", не задумываясь о мотивах авторов. А ведь они есть и могут отличаться от мнения специалистов. Или многие часто спрашивают, когда я сплю, если у меня часто заметки в блоге публикуются в 5 утра. Но... это 5 утра в Москве. А, например, в Калифорнии в это время 6 вечера - самое продуктивное время :-) А на Дальнем Востоке в это время разгар рабочего дня. Но мы не привыкли смотреть на вопрос с позиции другого человека. Отсюда, зачастую, и все проблемы в общении и коммуникациях. 

6 коммент.:

Александр Бодрик комментирует...

Новое за 5 лет
1) user behavioral analysis solutions
2) security intelligence
3) corporate sandboxes
4) security service buses (e.g. McAfee TIE etc)
5) corporate threat intelligence management platforms

Алексей Лукацкий комментирует...

Разочарую. UBA появились в 80-х. Песочницы - это появились в Java в 90-х. TI - может быть и новое

Александр Бодрик комментирует...

Корпоративных песочниц ранее не было.
Пример корпоративных решений по UBA есть?

Алексей Лукацкий комментирует...

Так и корпоративных антивирусов раньше не было.

Sergey Gordeychik комментирует...

>4) security service buses (e.g. McAfee TIE etc)

С светлой грустью вспоминаю прекрасную линейку ISS Proventia, которая и в сетевой, и у узловой, и в корреляционной и в операционной (привет TI от X-Force) составляющей несла огромный для своего времени потенциал... Не хватало немного AppSec и NetFor (не путать с продуктом) ну и возможно SandBox и была бы машина будущего вообще. Хотя в те времена компы только подошли к мощностям, достаточных для массового использования этих технологий...

Алексей Лукацкий комментирует...

Да, IBM убил классные решения ;-(