29.11.2016

Что я не услышал на SOC Forum 2.0

На днях Денис Батранков написал заметку о том, что он увидел в презентациях с SOC Forum 2.0 хотя на самом форуме его не было :-) Я решил не отставать и написать о том, чего я в презентациях не увидел, хотя на самом форуме был. Лично для меня не хватило практики; и не важно с чьей стороны - заказчиков, интеграторов или поставщиков услуг SOC. Да, заказчиков было мало и причины этого я уже пытался анализировать, но остальные?.. Нечего сказать или отсутствует желание делиться информацией с коллегами? Причин не знаю. Но в итоге мы вновь вернулись к тому, от чего хотели отойти в прошлом году - к рассказам о том, что такое SOC и зачем он нужен, но не о том, как выстраивать те или иные процессы SOC и какие подводные камни могут быть на пути к тому или иному уровню зрелости центров мониторинга. Кстати, об уровнях зрелости не упоминал только ленивый, но вот к себе почему-то его никто не примерял, а если примерял, то "малость" завышал оценку :-)

Но вернемся к теме заметки. Так сложилось, что я имею некоторое представление о том, что рассказывают на западных, в частности, американских мероприятиях по SOC. Там есть ежегодный SOC Summit, там есть мероприятия по Threat Hunting, по Digital Forensics, по Incident Response. Поэтому, сравнение пока не в пользу нашего SOC Forum. Ну да это понятно - бизнес-модель упомянутых западных мероприятий совсем иная. Там мероприятие платное для участников и поэтому они хотят видеть что-то конкретное и полезное, а не просто рассуждения на тему "Что такое SOC?" или "Какой уровень зрелости должен быть у SOCа на втором году жизни?". Итак, вот мой список того, что я не увидел на SOC Forum в этом году и что хотелось бы:

  • Больше докладов от заказчиков, которые делятся не только своими достижениями, но и своим негативным опытом, который тоже полезен. Как минимум, он позволяет не наступать на грабли последователям. А как максимум, показывает уровень зрелости компании, готовой делиться не только своими успехами. Очень мне понравился доклад от самого ЦБ об опыте работы внутреннего центра мониторинга. Нет, речь не о FinCERT, а о том, как ЦБ борется с угрозами внутри себя. Это вообще редкость, когда регулятор делится опытом собственной защиты. На моей памяти это вообще первый публичный случай. Мы эту тему обсуждали в программном комитете еще в прошлом году и вот первый результат, который вышел не комом. У ФСБ тоже есть СОПКА (а не только ГосСОПКА) и было бы интересно (хотя я понимаю, что это малореально) послушать об их опыте самозащиты.
  • Не хватало реальных кейсов поимки кого-либо или чего-либо. Большинство докладов фокусировалось на том, что такое SOC, какие функции он решает, какие процессы в нем есть и т.п. Но есть ли какая-то польза от него? Помог ли он решить те задачи, для которых его создавали. Даже если дистанцироваться от темы эффективности, было бы интересно посмотреть примеры обнаружения APT, поимки инсайдера и т.п. Такой доклад был только у JSOC и то, потому что у них, как у генеральных спонсоров, было целых три доклада. А если бы не было трех докладов? Выбрали бы рекламу себя или обмен опытом?
  • Не хватало реальных кейсов оценки эффективности деятельности SOC. Кроме доклада  Газпромбанка и банка "Санкт-Петербург" по сути никто так и не привел метрик оценки своей эффективности даже вскользь. И возникает классический вопрос - так стоит ли овчинка выделки? Надо ли тратить немало ресурсов на создание того, что сложно оценить в конкретных показателях? Понятно, что тема эта непростая, но все-таки. Сюда же относится и демонстрация показателей TTD/TTC/TTR (Time-to-Detect/Time-to-Contain/Time-to-Response). Эти показатели звучали на SOC Forum только один раз - у меня в презентации в качестве примера метрик оценки эффективности SOC. У той же Информзащиты и JSOC в презентациях говорилось о времени реакции (это TTD, TTC или  TTR?). При этом были указаны какие-то запредельные показатели в "15 минут" у Информзащиты и "10 минут" у JSOC (у них еще упоминались "30 минут" как время противодействия). Фантастические показатели, если честно. У того же Cyberbit в презентации были показаны более реальные значения - 80% инцидентов закрываются в течении 6 часов. А вот пример из нашего собственного SOC компании Cisco.

  • Про финансовую оценку эффективности и говорить не приходится. Тема не звучала в принципе. Правда, справедливости ради, надо признать, что и на западных мероприятиях она мало звучит. Как и тема обоснования руководству необходимости SOC.
  • Не хватало рассмотрения таких важнейших тем, как визуализация (об этом упомянул только Эшелон, но на примере своего решения) и подготовка отчетов (об этом говорил НТЦ Вулкан, но опять же на примере своего продукта). А хотелось бы услышать чуть больше советов о том, какие формы визуализации и для каких инцидентов подходя, какие отчеты и для каких целевых аудиторий нужны? От этого очень многое зависит в том, как будет воспринимать руководство построенный SOC.
  • С технической точки зрения практически полностью отсутсовали рассказы о Threat Hunting, расследовании инцидентов, реагировании на них, приоритезации событий, применении современных методов анализа данных - машинном обучении (кроме доклада Открытых технологий), нейросетях и т.п. А ведь именно эти сервисы/процессы отличают SOC от банального применения SIEM. 
  • Ну и конечно была упущена тема персонала для SOC, а точнее тех знаний и компетенций, которыми должен обладать специалист SOC (например, аналитик). Вкратце об этом говорил представитель моей альма-матер (МИРЭА), рассказав о том, как они готовят специалистов для ГосСОПКА. Но этого явно было недостаточно и не каждый готов пойти вновь за институтскую скамью, чтобы получать нужные знания.
Вот такая картина получается. Не скажу, что она явилась для меня сюрпризом. Скорее просто решил поделиться наблюдением вдогонку к моему рассказу о пленарной секции, секции по эффективности, секции с регуляторами, о которых я уже написал раньше. Вот тут можно почитать обзор Алексея Качалина с модерируемой им секции SOC Forum по технологиям SOC. Обзора оставшихся двух секций - по эксплуатации SOC и по тому, с чего начать, я пока не встречал.

4 коммент.:

Denis комментирует...

Ты был на всех трех параллельных секциях? )))

Алексей Лукацкий комментирует...

:-) я тоже умею читать презентации :-)

Сергей Борисов комментирует...

Смысл действующим SOC-ам оценивать свой уровень зрелости, если он заведомо будет низким, ввиду того что они не очень давно были созданы. Какой смысл говорит о том что напряжет твоих заказчиков и никак не поможет тебе продавать свои услуги?

Алексей Лукацкий комментирует...

Ну мне было интересно задать такой вопрос - я его задал. Получил ответ :-)