22.11.2016

SOC Forum 2.0: ключевые положения с пленарной сессии

Чем мне нравится SOC Forum, так это его фокусировкой на конкретной теме, которую можно обсасывать с разных сторон и на достаточно глубоком уровне. Вы можете себе представить очень конкретную и очень специфическую тему "Отчетность в SOC" на каком-нибудь Инфофоруме или InfoSecurity? Я - нет, потому что оба эти мероприятия "обо всем и ни о чем". У них размытая программа, которая хочет охватить сразу все и в итоге все темы рассматриваются по верхам (хотя кому-то и этого достаточно). У SOC Forum четкая специализация (если не рассматривать смешение тем SOC и SIEM), что и позволяет погружаться в совершенно различные темы, связанные с центрами мониторинга - визуализация, threat hunting, расследование инцидентов, приоритезация событий, измерение эффективности и другие. У нас таких мероприятий не много - РусКрипто, PKI Forum, AntiFraud Russia, ИБ АСУ ТП КВО... Вот, пожалуй, и все. Тот же BIS Summit лишился той привлекательности, которая была у DLP Russia, сфокусированной также на одной теме. Теперь BIS Summit распылен по нескольким темам, что отражает спектр деятельности Infowatch, но вызывает вопросы с точки зрения контента.

Но вернемся к SOC Forum. Не буду оценивать организацию, которая была на высоте, выросшую выставочную часть, возможность для кулуарных обсуждений - все это было хорошо. Опишу пленарную часть, которую мне доверили вести. Надо сразу ответить на замечания отдельных коллег, что они не увидели шоу за тот 1 час 20 минут, что шла пленарка. Я сознательно отказался от этой идеи, хотя на других мероприятиях, где мне доводилось модерировать, я практиковал элементы шоу для привлечения внимания и его удержания. В данном случае такой задачи не стояло - зал был полон и конкурировать с другими потоками не было необходимости. Кроме того, участие официальных представителей ФСБ и ФСТЭК не способствовали разбавлению первой сессии развлекательными элементами - не привыкли они к такой форме ведения мероприятий. В итоге я сконцентрировался на дискуссии с двумя уже упомянутыми регуляторами, тремя аутсорсинговыми SOCами, представленными Игорем Ляпуновым (Solar Security), Женей Климовым (Информзащита), Ромой Кобцевым (Перспективный мониторинг), и представителем заказчика - Алексеем Плешковым из Газпромбанка.


Первый мой вопрос касался такой материи как время. Почему тема SOCов стала активно развиваться именно сейчас? Это происки отдельной компании, которая пиарит свои услуги, как в свое время Infowatch с темой DLP? Или есть другие причины, приведшие к такой активности?  По версии Алексея Новикова из 8-го Центра ФСБ и Дмитрий Шевцова из ФСТЭК задача непрерывного мониторинга стала важной сейчас по причине развития технологий ИТ, развития технологий нападения, а также усиления требований по скорости реакции на современные угрозы. Именно поэтому помимо темы SOCов стала именно сейчас развиваться ГосСОПКА, стали появляться требования по обязательному уведомлению госоорганов об инцидентах, ФСТЭК меняет подходы к аттестации от дискретных трехлетних периодов к непрерывной оценке защищенности.

При этом аутсорсинговые SOCи тоже развиваются не на пустом месте - возросла зрелость тех, кому не хватает своих систем мониторинга и они хотят повысить эффективность процесса обнаружения и отражения угроз. Об этом говорили и Игорь Ляпунов, и Женя Климов. А Роман Кобцев привел интересную аналогию с морковным соком, который в семьях пьют по разным причинам. Кто-то потому что вкусно, кто-то - потому что полезно, а кто-то - потому что мама заставляет. Так и SOCи. Кого-то заставляет ГосСОПКА и FinCERT, а кто-то реально созрел до выделения этой задачи в отдельный процесс, который и можно было бы назвать SOC. Хотя и ответ "так звезды сошлись" тоже был упомянут среди причин возросшей активности темы SOC Forum 2.0.

Также мне был интересен портрет типичного заказчика аутсорсингового SOC (включая ГосСОПКУ). У Solar Security это преимущественно банки, хотя Игорь Ляпунов неоднократно упомянул и зрелость заказчиков, которые отдают свою "святая святых" на аутсорсинг. У Информзащиты и Перспективного мониторинга клиентами являются преимущественно свои же клиенты, которые уже пользуются услугами и продуктами этих (а также материнской в случае с Перспективным мониторингом) компаний. К ГосСОПКЕ подключены сейчас 10 крупных органов власти, а в перспектике должны поключиться все ФОИВы, а также, возможно, и госкорпорации. В частности Росатом и Ростех со своим КЦОПЛ уже проявили интерес к интеграции своих центром мониторинга с ГосСОПКОЙ; по примеру уже подключившегося FinCERT Банка России. SMB нет ни у кого среди клиентов и пока непонятно, как это сделать. Solar Security пока не видит среди своих клиентов малый бизнес, а Перспективный мониторинг считает, что малый бизнес должен обслуживаться у операторов связи. Муниципальные предприятия пока не попадают в прицел ГосСОПКИ, но в перспективе их можно будет подключать через региональные центры ГосСОПКИ, которые сейчас в процессе строительства.


Интересной, но так и незавершенной мне показалась дискуссия об обмене информации между SOCами. Пока каждый работает только на себя и не очень готов делиться своими наработками с другими игроками рынка, по сути, конкурентами. Об этом говорил и Алексей Плешков из Газпромбанка, который поделился своим опытом и посетовал на то, что пока у нас отсутствует формализованный стандарт обмена информацией об угрозах, что усложняет автоматизацию подключения различных источников Threat Intelligence.

Есть проблемы и с бесплатными услугами у наших SOCов. Пока этот рынок находится в самом зачатке и никаких бесплатных услуг (например, фидов) отечественные игроки не предоставляют. Игорь Ляпунов упомянул о том, что у Solar Security есть какие-то услуги за нулевую стоимость, но какие так и не сказал. Остальные игроки на вопрос о том, что у них есть для компаний, которые хотят знать об угрозах, но не готовы платить за услуги SOC, скромно промолчали. Идея с центрами, аналогичными западным ISAC, которые часть информацию раздают бесплатно, пока у нас не реализована, что обусловлено, на мой взгляд, незрелостью самого рынка. Те же Информзащита и "Перспективный мониторинг" ориентированы на работу со своими клиентами и пока не видят смысла (или не имеют ресурсов) в работе на широкую публику. Возможно со временем...

Зато эта тема очень интересно свернула в сторону и качества информации, обмениваемой в рамках информационного обмена, и качества подключающихся к обмену участников. По словам Игоря Ляпунова во внешних фидах слишком много шлака и мусора и приходится очень активно их фильтровать (в отличие от данных той же ГосСОПКИ). А Женя Климов задал риторический вопрос о том, как проверять подключающиеся к обмену компании? Не представляют ли они сами интересы злоумышленников, которые таким образом изучают то, что о них знают защитники информации? Этот непростой вопрос так и канул в Лету :-(

В целом, пленарная дискуссия мне понравилась тем, как и что отвечали участники. Времени не хватило задать все вопросы, которые я заранее подготовил. И тем более не удалось дать возможность задать вопросы из зала. Но надеюсь аудитория на меня за это не в обиде - все участники оставались на мероприятии и им можно было задать интересовавшие вопросы.

ЗЫ. Отдельную заметку посвящу выступлениям регуляторов - как на пленарной секции, так и на отдельной сессии.