02.11.2017

Мониторинга много не бывает или зачем вам SOC, если у вас нет SIEM?

Осень выдается достаточно урожайной на мероприятия, посвященные теме мониторинга информационной безопасности. И на многих из них я часто слышу вопрос от коллег, который звучит очень просто: “Что должен уметь делать SOC?”. Как мне кажется, если такой вопрос возникает, то это значит, что компания еще не готова к SOC, так как в отличие от коробочных продуктов, сравниваемых по функциям/возможностям, SOC строится под конкретную компанию, под конкретную задачу. Поэтому бессмысленно спрашивать, что должен уметь делать SOC. Важнее понять, зачем он нужен и что будет делать, если компания решится инвестировать в него деньги. По этой же причине совершенно бестолково сравнивать SOCи между собой. Даже если они и построены на базе общих технологических решений, они могут решать совсем разные задачи, затачиваться под разные сценарии (use cases).

Посмотрите на эту картинку:


Она иллюстрирует упрощенную модель зрелости процесса управления журналами регистрации (log management). На каком уровне вы находитесь? Ответье честно сами себе. Если вы не достигли финального, пятого уровня (то, что находится в самом низу - это нулевой уровень), то о каком SOC может идти речь? Впору задуматься о SIEM, системе мониторинга ИБ. Кстати, неслучайно в нормативных документах той же ФСТЭК говорится о сборе событий безопасности, а не о мониторинге; это высший пилотаж, который могут потянуть далеко не все. Да, отсутствие NTA, EDR, UEBA, IRP (SOAR), CASB и других технологий тоже говорит, что вам пока рано думать о SOC, но управление логами - это основа основ мониторинга ИБ.

Я уже не раз писал, что в России не хватает фокусных мероприятий по тем или иным темам. Да, есть SOC Forum, целиком посвященный центрам мониторинга ИБ. Но в нем, по сути, мы перескочили через базу - через системы мониторинга (SIEM), без которых SOC не построишь. Хотя вон “Перспективный мониторинг” везде говорит, что у них в SOC нет SIEM, а все базируется на системе TIAS собственной разработки. Кстати, собственные разработки в области SIEM - это один из трендов российского рынка. Как раньше все разработчики создавали DLP-решения, так сейчас пришла пора для систем мониторинга, нужда в которых есть, а применять решения зарубежные боязно. Кто-то санкций боится, кому-то и вовсе запрещено применять иностранное, а кому-то нужно решение сертифицированное.

И вот на фоне этих обстоятельств и родилось еще одно мероприятие, которое пройдет 21-го ноября в Москве. Речь идет о научно-практической конференции “Мониторинг информационной безопасности - проблемы построения и эксплуатации”, проводимой ЦБИ. Когда я узнал об этом мероприятии (а меня пригласили модерировать одну из его секций), то у меня возник закономерный вопрос. 22-го же ноября проходит SOC Forum; не будет ли пересечения у этих двух событий, посвященных схожей теме? Но внимательно посмотрев на предварительную программу и пообщавшись с организаторами, я склоняюсь к мысли, что пересечений у конференции ЦБИ и SOC Forum будет немного.

Во-первых, мероприятие ЦБИ фокусируется на системах (SIEM), а не центрах (SOC) мониторинга. На нем будут говорить про масштабирование SIEM, работу с разными источниками данных, их нормализацию, оценку полноты данных и т.п. То есть речь пойдет одновременно и о научных аспектах, и о практических. Во-вторых, конференция “Мониторинг информационной безопасности” организована известным российским вендором со сложившейся клиентской базой. Поэтому предположу, что целевые аудитории у двух мероприятий будут разные. Кстати, это будет не совсем моновендорная конференция - в программе заявлены представители разных игроков рынка - Microsoft, РТ-Информа, Кода безопасности, НТЦ Вулкан, НИИАС, Infowatch, Крока, СолидЛаб, Газинформсервиса, ГНИВЦ ФНС и т.п. (это помимо ряда крупных заказчиков, которые будут делиться своим опытом применения систем мониторинга ИБ). В третьих, у мероприятия ЦБИ заявлено еще два интересных момента - объявление грантов на инновационные разработки в области мониторинга ИБ и сбор и формулирование предложений по совершенствованию нормативной базы в области мониторинга ИБ. Учитывая активную работу ЦБИ с отечественными регуляторами, может получиться донести до ФСТЭК, начавшей лицензирование SOC, и ФСБ, планирующей аккредитацию центров ГосСОПКИ, определенные правильные мысли. А если вспомнить, что на отдельных слайдах ФСТЭК в свое время проявлялась тема разработки требований по сертификации SIEM, то становится еще интереснее...

Так что мероприятие планирует быть интересным. Я буду модерировать секцию про стандарты и протоколы обмена информацией об инцидентах, угрозах, событиях безопасности и т.п., о чем я уже не раз писал. Учитывая, что у нас до сих пор еще не определены протоколы по обмену данными с ГосСОПКОЙ (а от этого зависит и взаимодействие финансовых организаций с ФинЦЕРТом), а в методических рекомендациях ФСБ по созданию ведомственных и корпоративных центров ГосСОПКА говорится, что формат описания инцидента определяется индивидуально с каждым, то дискуссия на конференции "Мониторинг информационной безопасности - проблемы построения и эксплуатации" обещает быть жаркой.


2 коммент.:

Sergey Soldatov комментирует...

Здорово был начат пост, правильные мысли излагались...
Но начиная со второй трети все свелось к рекламе еще одного мероприятия :(

Алексей Лукацкий комментирует...

На котором можно продолжить дискуссию :-)