20.1.21

Импортозамещение КИИ: ситуация ухудшается

В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо. И вот на днях на портале regulations.gov.ru был выложен обновленный текст проекта Постановления Правительства "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции". Ранее, в ноябре был выложен обновленный проект Указа Президента. Давайте посмотрим, что там изменилось?

Если тезисно, то картина получается следующая:

  • Переход на преимущественно отечественное ПО должен произойти до 1-го января 2023 года, а на отечественное железо до 1-го января 2024 года. Первоначально сроки были установлены просто дикие - 1-е января 2020-го и 2021-го годов соответственно. По итогам доработки проектов НПА сроки были сдвинуты на 2024-й и 2025-й годы, но в финальном проекте сроки были установлены в виде 2023-го и 2024 годов соответственно. На мой взгляд все варианты нереальны, но судя по всему именно последний вариант и попадет в подписываемый Указ Президента, чего ждать осталось недолго, если не вмешается Провидение.
  • Под требования попадают все объекты КИИ независимо от их категории значимости и даже обычный ломбард или сельская поликлиника должны будут перейти на преимущественно отечественные ПО и железо. Попытки сообщества и достаточно серьезных лоббистов объяснить авторам нелепость этого требования не увенчались успехом - Минцирк (или те, кто стоят за ними) заявил, что иначе все субъекты КИИ будут занижать категории своей значимости, а то и вовсе обходить категорирование стороной. Так что готовимся к повсеместному внедрению отечественного софта и оборудования.
  • Название нового проекта ПП теперь касается не только ПО или оборудования, как раньше. Вместо термина "оборудование" стали применять "телекоммуникационное оборудование и  радиоэлектронная продукция". Хотя сами требования от этого не поменялись - они и раньше покрывали телеком-железо и РЭП.
  • Требования касаются не только нового ПО и железа, но и уже установленного на объектах КИИ.
  • До 1-го июля 2021 года необходимо утвердить план перехода на преимущественно отечественное ПО и железо. А перед утверждением плана надо провести аудит используемых ИТ-активов, провести их анализ и факт присутствия в реестрах отечественного всего и вся, после чего, в случае осутствия в реестрах, направить перечень такого ПО и железа на согласование в Минцифру (для ПО) и в Минпроторг (для железа). На все про все осталось 5 с небольшим (!) месяцев. Как за это время провести хотя бы аудит имеющегося, я не представляю.
  • Интересный момент, на который стоит обратить внимание и о котором я уже как-то писал (тут и тут). Неважно, в России разработано ПО или нет. Главное, чтобы оно было в реестре. А, например, средства защиты попадают в реестр только после получения сертификата ФСТЭК или ФСБ, что приводит к интересным коллизиям, о которых мало кто говорит. Например, выпустил какой-нибудь отечественный вендор МСЭ или антивирус или криптографический шлюз, а продать в КИИ не может, так как продукт или конкретная его версия не включена в реестр из-за отсутствия (понятно, что временного) сертификата регулятора. Парадокс, но именно так это и работает. Знаю кейс, когда именитому вендору отказали во включении в реестр Минцифры именно по причине отсутствия сертификата (хотя предыдущая версия ПО в этом реестре была).
  • А что с иностранным ПО и железом? Неужели все и использовать его нельзя? Нет, все не так печально. Есть разъяснения Минцифры, в которых говорится, что можно продолжать использовать невключенное в реестры ПО и оборудование, но при условии соответствующего обоснования, которое многие уже научились писать еще лет пять назад, когда только началась политика импортозапрещения в госорганах. Теперь эта практика перейдет и к коммерческим предприятиям.

Вот такая картина у нас сейчас с импортозамещением в КИИ. Есть подозрение, что упомянутые в заметке проекты Постановления Правительства и Указа Президента уже не будут изменяться и именно в таком виде будут приняты в ближайшем будущем. Проводить через депутатов их не надо - много времени это не займет. Так что готовимся к новой реальности. И если в прошлом году это была удаленная работа, то в этом - умение составить обоснование так, чтобы объяснить регулятору, почему все остается так, как и было раньше.

12.1.21

ИБ-новости первых 10 дней года быка

Уже по традиции в первые дни после новогодних праздников я собираю новости по ИБ, которые произошли за это время в мире. В этот раз их не так и много, но все они по своему значимы.

  1. Год начался скандалом о передаче в Whatsapp данных о перемещениях первых лиц государства, их маршрутов и другой сопутствующей информации. Реакция последовала незамедлительно - начальник московского ГИБДД поплатился своей должностью. Но как мы все прекрасно понимаем это только верхушка айсберга. Передача конфиденциальной информации в мессенджерах, а Whatsapp являлся самым популярным из них, давно стала нормой - сканы паспортов, ДСПшные документы, ориентировки, графики, приказы и т.п. Все это является достоянием Whatsapp, а с недавних пор, еще и Facebook, который теперь получает все эти данные вполне официально (после последнего обновления пользовательского соглашения Whatsapp, произошедшего также на днях). Я не буду размышлять на тему национальной безопасности - для этого есть другие органы, которые этой Whatsapp-вакханалии и потакают, но вопрос мониторинга мессенджеров в рамках выстраиваемой стратегии кибербезопасности давно уже стоит ребром и его надо решать. Ну, как минимум, если мы всерьез говорим о борьбе с утечками и защите от вредоносного кода, который может попасть в компанию через бизнес-аккаунты мессенджеров. Вы, кстати, в курсе, в вашей организации используются бизнес-аккаунты Whatsapp? А как они контролируются?
  2. 29 декабря ушедшего года было подписано распоряжение о назначении замминистра Минцифры генерал-лейтенанта Белановского В.Ю., до своего назначения руководившего Службой спецсвязи и информации ФСО России. Есть разные версии происходящего, но почти все сходятся во мнении, что в условиях усиления роли цифры в современно мире и нежелания государства оставлять ее айтишникам, далеким от безопасности, Белановский может начать формировать четкую политику усиления контроля использования современных коммуникационных технологий для нужд государства (особенно после скандала с передачей конфиденциальных сведениях о маршрутах первых лиц через Whatsapp). Есть версия, что либо Белановский подомнет под себя всю тему инфобеза в Минцифре (а там уже давно полный хаос в этом вопросе), либо подготовит выделение блока "цифрового спецназа" из Минцифры и воссоздание аналога ФАПСИ, упраздненного в 2003-м году. В него может войти и спецсвязь ФСО, и блок ИБ из Минцифры, и тема электронной подписи и удостоверяющих центров, и межведомственный электронный документооборот, и ликвидируемая Россвязь с ее проектами по идентификации абонентов, и, возможно, всякие проекты, которые сейчас курирует НИИ Восход.
  3. Также 29-го декабря Президент подписал 479-ФЗ о внесении изменений в 149-ФЗ "Об информации, информационных технологиях и защите информации", который по сути можно было бы назвать законом "О Единой биометрической системе", так как почти все его содержимое касалось именно ЕБС. 44 (!) новых пункта было внесено в статью 14.1, в которой и до этого было 24 пункта про ЕБС. Итого, одна статья закона, посвященная ЕБС, теперь занимает около 20 страниц (одна статья!!!!). 
  4. Вдруг выяснилось, что масштаб инцидента, получившего название SUNBURST, оказался гораздо серьезнее, чем считали раньше и пострадало намного больше американских компаний и организаций. Ну это вроде было и так понятно и думаю, что спустя несколько недель масштаб опять увеличат и скажут, что уже все США попали под раздачу, а затем уже и все прогрессивные европейские страны.
  5. Новость про блокировку Трампа в различных соцсетях и на крупных Интернет-площадках не так сильно относится к инфобезу; особенно для России такие блокировки не являются чем-то совсем новым. Но если пойти чуть дальше и спрогнозировать развитие ситуации, то вполне возможно, что под такую раздачу могут попасть и различные российские чиновники, руководители госкомпаний, мобильные приложения и т.п. Особенно учитывая обещания Байдена ужесточить санкции против России. Поэтому стоит задуматься о том, что делать, если это все-таки произойдет? Есть ли альтернатива? И как у этих альтернатив обстоит дело с безопасностью? А если уж смотреть еще дальше, то вопрос о балканизации Интернет, о котором я пишу уже давно, становится все более актуальным.
  6. Начало года ознаменовалось новостью о том, что более 100 тысяч межсетевых экранов и VPN-шлюзов компании Zyxel содержат бэкдор. Это к разговору о том, что игроков "домашнего ИТ", к коим я отнес бы и Zoom с его проблемами с ИБ весной прошлого года, допускать до корпоративного рынка можно с очень большой оглядкой. Выпускать продукт с жестко прошитой учеткой, дающей админские права... Ну такое... 
  7. 10 лет назад я написал сравнение регуляторов с поясом верности. Кто бы мог подумать, что спустя 10 лет я вернусь к этой теме. В октябре уже проскакивала новость, что специалисты компании Pen Test Partners нашли уязвимости в поясах верности Cellmate Chastity Cage компании Quiu. И вот в новогодние праздники стало известно, что исходный код вымогателя ChastityLock, который атаковал пользователей, носящих пояса верности, подключенные к Интернет, блокируя их и лишая возможности пользователей снять с себя такие устройства, был выложен в Интернет. Очередной раз встает вопрос и о безопасности разработки, и о моделировании угроз, и о безопасности Интернета вещей.


11.1.21

Кто знает Talk в ИБ или новогодняя онлайн поИБешечка

 В прошлой заметке я отметил, что поИБешечка достаточно активно ворвалась на небосклон оффлайновых мероприятий по ИБ, но ее бессменный куратор, Лев Палей, не остановился на достигнутом и в конце прошлого года попробовал новый формат - ток-шоу по ИБ по принципу "Вечернего Урганта", в котором мне тоже довелось принимать участие. Что получилось, можно оценить на видео:


Итоги 2020-го года глазами безопасников

Подводить итоги года в конце ноября или даже в середине декабря - дело дурацкое, так как в последние дни может произойти всякое, что может запомниться и повлиять гораздо сильнее, чем все предыдущее. В ушедшем году я решил, что подводить итоги надо в последних числах декабря и что я не буду полагаться только на свое мнение, а привлеку коллективный разум, а именно читателей моего Телеграм-канала "Пост Лукацкого", который насчитывает более 3500 человек, что позволяет рассчитывать на определенную объективность в оценках. Уж точно бОльшую, чем если бы итоги подводил я один. В итоге я провел 7 мини-опросов, варианты ответов для которых подготовил я самостоятельно, а уже читатели канала делали выбор из этого шорт-листа.

Первый вопрос касался самого-самого взлома/атаки/инцидента уходящего года. Немного предсказуемо, но на первое место вышел инцидент SUNBURST, связанный с взломом многих американских компаний через внедренный вредоносный компонент в ПО управления сетями, разработанное компанией SolarWinds. Последние 2 недели декабря об этом взломе говорили все и закономерно, что он попал на первое место пьедестала. Второе место занял взлом Garmin и выкуп вымогателям 10 миллионов долларов. Тоже нашумевшая во втором полугодии история, которая и позволила этому кейсу занять второе место. Третье место занял весенний взлом Twitter-аккаунтов многих знаменитостей, в которых затем прошла реклама биткойна.


Достаточно много времени уделяя нормативке, я не мог не спросить, какой НПА 2020-го года считается читателями самым важным. Понимая, что отдать пальму первенства только одному документу нельзя (все-таки на организации действуют разные нормативные акты), я разрешил множественный выбор и... явного лидера в этот раз не нашлось. По сути, первые 4 места почти поровну поделили между собой новый приказ ФСТЭК по уровням доверия (хотя его и мало кто видел ввиду его ДСПшности), целый пакет новой нормативки Минцифры и ФСБ по электронной подписи и удостоверяющим центрам, а также обновленные приказы ФСТЭК №21 и №239. Интересно, что часть читателей обратили свое внимание на поправки в Трудовой кодекс, которые разрешают работникам на удаленке требовать от своих работодателей компенсации за использование купленных работником средств защиты информации (например, Windows или антивируса). Интересно было бы посмотреть на практику применения этих поправок...  


В ушедшем году было много так и непринятых проектов нормативных актов, которым я посвятил третий мини-опрос. Предсказуемо на первое место вышла многократно обещанная и также многократно невыпущенная методика моделирования угроз от ФСТЭК. Непринятый, к счастью, законопроект о запрете TLS 1.3, DoH/DoT, ESNI занял второе место. Удивительно, но полтора десятка законопроектов о внесении незначительных изменений в ФЗ-152 попали на третье место. Видимо, привычка :-) 


Как развитие предыдущего вопроса, я решил узнать о подписчиков канала, что, по их мнению, можно отнести к несбывшимся ожиданиям ушедшего года крысы? Методичка ФСТЭК по моделированию угроз логично опять заняла первое место. Ну ее столько раз обещали выпустить в прошлом году (на моей памяти раза три и все из уст больших чинов регулятора), что вполне закономерно, что для многих это оказалось самым несбывшимся ожиданием года и, думаю, многие попросили у Деда Мороза, чтобы ФСТЭК выполнила свои обещания в год быка. На дне открытых дверей РКН в начале года г-н Контемиров пообещал представить матрицу ПДн и наконец-то поставить точку в вопросах "Относится ли номер телефона или номер паспорта или e-mail к ПДн?". Но увы... РКН не выполнил своего обещания. И еще одно невыполненное обещание Лютикова В.С. из ФСТЭК - обещанная методика по расчету показателей критериев значимости объектов КИИ. Я не знаю, кому она нужна, при условии, что срок категорирования уже прошел, но, как видно, народ ее все-таки жаждет лицезреть. Особенно интересно видеть это замыкаюдее тройку несбывшееся ожидание на фоне последнего пункта, об отсрочке переноса сроков категорирования из-за пандемии.    


Как участнику большого количества различных мероприятий по ИБ мне было интересно узнать, какое из оффлайн- и онлайн-мероприятий по ИБ запомнилось безопасникам в 2020-м году. С точки зрения оффлайна результаты меня и удивили и подтвердили мои ожидания одновременно. Учитывая камерный формат "поИБешечки", проводимой в Москве, курируемой Львом Палеем, были удивительно ее увидеть в топе очных мероприятий. Но это говорит о том, что такого рода камерные форматы заходят сейчас лучше раскрученных мероприятий со свадебными генералами и спонсорскими докладами. Остальные мероприятия носили либо сугубо нишевый характер, либо привязку к городу, что не позволило им занять достойные места в рейтинге. А вот попадание на первое место категории "Другое" говорит о том, что были в 2020-м году мероприятия, которые запомнились безопасникам больше мной упомянутых (а я и на них-то не на всех был). 


С онлайн-мероприятиями ситуация проще. Они не имели границ по участию и их "посетить" могли специалисты из разных регионов (что и показывает почти двукратное увеличения числа голосов по сравнению с опросом по оффлайну). Первое и второе места заняли широко разрекламированные The Standoff и SOC Live. Тройку лидеров замыкает проект AM Live пот портала anti-malware.ru. Все это результаты года, который мы провели в изоляции, когда все оффлайн-мероприятия были либо запрещены, либо их проведение сопряжено с трудностями. Забавно, что 4-е место заняла категория "Другое". Интересно, что это за мероприятия? Может вендорские серии типа Cisco Club (а мы провели 16 вебинаров только с сентября по декабрь) или "Джетовские"?.. Жаль, что регуляторы у нас так и не освоили за год практику проведения вебинаров для своих "подопечных".


Я думал остановиться на этих шести опросах, но у меня остались ряд достаточно интересных наблюдений или событий, которые я посчитал достаточно значимыми, чтобы вынести их на голосование. Поэтому я провел седьмой мини-опрос, задав вопрос, на что еще обратили внимание безопасники в 2020-м году? Да, очередная порция обвинения русских хакеров заняла первое место. Это неудивительно. "Русские хакеры" - это уже прочно закрепившийся бренд, который, помимо своей прикольности, еще и жить начинает мешать, когда вы пытаетесь получить американскую визу или зайти на американский сайт (а он рубит все российские IP). На второе место безопасники поставили рост числа уголовных дел по статье 274.1, то есть за нарушение ФЗ-187 о КИИ. Полтора десятка дел только за ушедший год и демонстрация полной профнепригодности судей и следователей, которые вели и ведут эти дела. То ли еще будет в этом году? Когда я выносил вопрос о хантинге безопасников в Бизон и Солар, я не думал, что это так затронет многих. Видимо, действительно, это становится событием для тех, кого не взяли или у кого увели сотрудников :-)


Вот такие итоги ушедшего года крысы. С какими-то оценками я согласен, с какими-то нет. Но в этом и преимущество групповых опросов, которые показывают широту взглядов на происходящее, не фокусируясь только на том, что близко или хорошо знакомо мне. Небольшой процент ответов "Другое", исключая мероприятия, показывает, что мои шорт-листы в целом ухватили ключевые события отечественной отрасли ИБ.

15.12.20

Что еще обещала ФСТЭК в начале года?.. И что из этого (не)сделала?

Ну и чтобы закрыть тему с анализом обещаний регулятора (вот ФСБ хорошо - они ничего не обещают публично и поэтому у них и анализировать что-то бессмысленно), посмотрим на выступление Виталия Сергеевича Лютикова на февральской конференции ФСТЭК, где заместитель директора главного ИБшного регулятора показал всем куда идти идет прогрессивная мысль. В отличие от прежних выступлений, в этот раз не только были показаны проблемы, но и предельно конкретно сформулированы задачи ведомства на ближайшее время. Правда без указания сроков, но обычно это краткосрочный горизонт в один год - от конференции до конференции. И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и  посмотреть, что из обещанного было реализовано.


Чтобы было проще я свел все озвученные задачи в таблицу - получилось 15 пунктов. На первом месте закономерно находится обещанная методика моделирования угроз, которую уже перестали даже обещать. В феврале обещали выпустить в течение месяца. Потом случился COVID-19, которые обнулил все обещания, и следующий раз представитель ФСТЭК о методике говорил уже в сентябре, указав, что при разработке документа вновь выявились противоречия у его разработчиков. На недавнем "Цифровом предприятии" выход методики и вовсе отложили на следующий год. Жаль...  

Про переработку банка данных угроз изначально говорили, что работа предстоит непростая и раньше, чем через год ждать ее не стоит. Поэтому в таблице я поставил "в процессе". Хотя при отсутствии утвержденной методики (то есть подхода к моделированию), говорить о банке данных угроз вообще преждевременно. Также как и о подготовке кадров в части моделирования угроз. Учить еще нечему. Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux. Еще два мероприятия в области моделирования угроз также не реализованы (хотя Твиттер у ФСТЭК с публикацией данных об уязвимостях исправно работает уже не первый год). 

Что такое "усиление мер по выявлению событий безопасности" я и тогда не понимал, и сейчас. Может быть речь идет о проекта ГОСТа по ГосСОПКЕ, по мониторингу ИБ или регистрации событий ИБ? Короче, ХЗ... Тот же статус у методичек по аттестации. Хотя, может их просто закрыли от публичного взора и сделали ДСП.

О дифференциации требований по защите в зависимости от архитектуры ИС (АРМ, ЛВС, ИТКС,  ЦОД) ничего не слышно - по идее все это надо вносить в действующие приказы ФСТЭК, 17-й, 21-й, 31-й, 31-й (закрытый), 239-й, но никаких проектов по ним тоже не выкладывали на общественное обсуждение (а именно в этих приказах надо вносить изменения или ссылаться из них на эти изменения).

Вот с совершенствованием порядка сертификации у нас все в порядке. Вместо 131-го вышел 76-й приказ (о чем, похоже, забыли оповестить тот же Банк России, который в выпущенном позже положении 719-П ссылается на 131-й приказ, который к моменту вступления 719-П в силу уже прекратит свое существование). Приказ с одной стороны, вроде как и не меняет кардинально ничего, а с другой - перекладывает большинство работ с испытательных лабораторий на заявителей. Может потому, что задачу повышения квалификации работников ИЛ и качества работы ИЛ реализовать пока не удается? Не знаю. С нормативными документами, описывающими процедуры и порядки действий у нас в стране вообще все неплохо. Что делать, у нас знают (не всегда знают КАК, но это уже детали). 

Разработка новых и совершенствование имеющихся РД по разным типам средств защиты у нас все плохо - ни один план, как я писал вчера, так и не был реализован. Та же ситуация и с свершенствованием методической помощи при сертификации. Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось. А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ. Кто знает?.. Но факт есть факт - с разработкой обещанных нормативных документов регулятор не справился.

Вот с безопасным программированием все пока в порядке. ГОСТы пишутся и их немало. Да, пока они не внедрены в полном объеме у разработчиков средств защиты и не совсем понятно, как их соблюдение проверять у субъектов КИИ, от которых это теперь требуется согласно поправкам в 239-й приказ, но лед тронулся.

Если бы ФСТЭК была открытым акционерным обществом и ее акции котировались бы на бирже, то аналитики за такие прогнозы и невыполненный обещания вмиг бы уронили акции компании. Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо. Поэтому остается только надеяться, что после изменения Конституции регулятор не стал считать, что всего его обещания обнуляются и он может начать жизнь с чистого листа... 

ЗЫ. Регулятору бы вернуться к идее краудсорсинга и привлечения экспертов к работе над своими документами. Причем в условиях пандемии к работе вв удаленном режиме. Кредит доверия у регулятора пока еще не исчерпан и найдутся те, кто готов будет помогать регулятору в его благом деле повышения защищенности Российской Федерации и делать это бесплатно. Тем более, что у регулятора всегда есть способы поощрения особо отличившихся помощников - от указания на официально сайте (как это делается с исследователями уязвимостей) и выдачи благодарности за подписью директора ФСТЭК (как не смешно, но этот "приятный пустячок" ценится отдельными специалистами) до выдачи знака отличия "За заслуги в защите информации" или награждения медалью ФСТЭК России "За укрепление государственной системы защиты информации" I или II степени.

ЗЗЫ. На конференции регулятор упоминал, что он внимательно посмотрел мои предложения по улучшению нормативных документов и связанныз с ней деятельностью ФСТЭК (раз, два, три и четыре) и даже что-то готов реализовывать, но я так пока и увидел, где и как они это реализуют (про привязку угроз к защитным мерам выше я написал).

14.12.20

Как ФСТЭК выполняет свои обещания. Анализ за 6 лет

На прошедшем на прошлой неделе эфире AM Live, посвященном средствам защиты от несанкционированного доступа, был поднят вопрос о том, зачем нужны средства защиты, которые покупаются преимущественно госорганами для выполнения "бумажных" требований, которые, при этом, не менялись с 1992-го года (да, РД на СВТ не менялся уже почти 30 лет). На это поступило возражение, что для современных систем защиты, которые уже ближе к решениям класса EPP по версии Gartner (Endpoint Protection), при сертификации применяются либо набор из РД (по СВТ, по МСЭ, по антивирусам, по контролю съемных носителей), либо продукт сертифицируется по заданию по безопасности (оно же техническое задание), которое разрабатывается специально под решение и которое описывает весь включаемый в область действия сертификации функционал. И вот тут я подумал, что если ФСТЭК не может обновить свой документ 1992-го года, то как вообще обстоит дело с требованиями к различным средствам защиты, которые должны использоваться при сертификации и которые упоминаются во всех требованиях ФСТЭК по защите ИСПДн, ГИС, АСУ ТП, КИИ и других объектов защиты (дспшные требования)?

Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума. То есть никакой отсебятины - одни факты. Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены. И такие обещания укладывались в общую картину, которая заключалась в том, что регулятор еще в 2013-м году пообещал, что за каждым требованием 17-го и 21-го, которое может быть реализовано с помощью средства защиты, будет свой руководящий документ, который и устанавливает требования к этим средствам. Логично... Но вот реальность оказалась совсем иной.

Желтое означает обещание. Зеленое - его выполнение

После того, как блогеры (читай - я) и в 2016-м, и в 2017-м годах в заметках "спросил" регулятора про его обещания, ФСТЭК стала более осмотрительной, и в 2017-м году забыла про все ранее данные обещания (хотя врядли про сами документы, которые в недрах регуляторы должны были и дальше разрабатываться и появиться как чертик из табакерки; по аналогии с РД на операционные системы, о котором в 2015-м году не упоминали, а в 2016-м уже разработали и утвердили). В 2017-м регулятор пообещал только три новых документа - по управлению потоками информации (на фоне постоянных вопросов о том, можно ли VLANами или встроенными возможностями сетевого оборудования защищать внутренние сети), по системам управления базами данных и по средствам защиты среды ввиртуализации. Но не получилось...

В 2018-м году по стране победно шел ФЗ-187 и вся конференция ФСТЭК была посвящена именно этой теме - про сертификацию не сказали ни слова. Вновь к этой теме вернулись в 2019-м году, и регулятор не только вспомнил про обещание разработать тройку РД по управлению потоками информации, СУБД и виртуализации, но и пообещал обновить 6 ранее разработанных документов - по межсетевым экранам, операционным системам, антивирусам, системам обнаружения вторжения, средствам контроля съемных носителей и средствам доверенной загрузки. Но увы, тоже не получились...

В этом году, на конференции ФСТЭК не вспоминала об обещании обновить шесть РД, ограничившись обещанием обновить только требования к антивирусам. Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.

И вот, мы подходим к концу 2020-го года, который ознаменовался тем, что многие сидели  по домам, не ездили в командировки, не участвовали в надзорной деятельности и, вроде бы, времени должно было быть чуть больше чем в прежние года. Но увы. Опять (буду рад ошибиться, если за оставшиеся пару недель регулятор выпустит эти документы) ничего. Опять обещания не выполнены. 

Итоги обещаний по новым РД свел в таблицу (выше). Из 19 обещанных за 6 лет документов разработано только 2 (!) и то, в 2016-м году. Обновлений ранее разработанных документов так и не случилось. Но вроде бы уже и не ждешь. Привыкли :-(

ЗЫ. У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.

ЗЗЫ. А может все требования выпустили, но засекретили? И даже приказы об утверждении тоже секретные?.. 

11.12.20

Техническое задание на платформу для проведения виртуальных ИБ-мероприятий

Надысь принимал я участие в одном виртуальном мероприятии крупной ИТ-компании, которая, имея в своем портфолио решения для проведения нормальных видео-конференций и сервисов для групповой работы, почему-то выбрала Zoom. И дело не в том, что Zoom - это решение для домашнего пользования и еще долго не станет корпоративным инструментом с точки зрения отношения к ИБ, а в том, что Zoom не позволяет организовать именно конференции с разными докладчиками, в несколько потоков, с нормальной обратной связью и т.п. А тут еще прошли SOC Live и SOCstock, в которых мне тоже довелось участвовать.. Так что у меня накопилось некоторое количество наблюдений и идей, которые необходимо учитывать, чтобы превратить вебинар на стероидах, как говорит Денис Горчаков, в полноценное мероприятие, на котором интересно.

Итак, в ТЗ на организацию нормального виртуального мероприятия по ИБ я бы включил:

  1. Возможность нетворкинга. Иногда хочется просто потрепаться во время скучного или уже известного доклада. Отдельный канал/комната для этого были бы полезны.

    Здесь виден набор каналов/комнат, в которых участвует слушатель

  2. Возможность задания вопросов спикерам. Это должен делать или модератор, который разбирается в теме и выбирает из пула пришедших вопросов интересные, или сам спикер должен видеть вопросы и иметь возможность ответить на них. При этом вопросы надо задавать не в общем чате, а именно в рамках того самого выступления, которое интересует.

    Вопросы к докладчику и его докладу не смешиваются с остальными

    Можно также сделать рейтинг вопросов, чтобы сами зрители/участники могли голосовать за понравившиеся им и те, что наберут большее число баллов, сразу поднимались бы в списке вопросов на самый верх.


  3. Возможность обсуждения конкретного доклада/выступления. Иметь отдельный канал/комнату для этого очень важно. Иногда хочется поделиться своим опытом или показать себя или послушать других. Так формируется своя жизнь вокруг мероприятия, которая может быть даже ценнее трансляции самих докладов.


    И всегда под рукой хорошо иметь список всех каналов, в которых вы общаетесь.

  4. Возможность скачать материалы. Ну это очевидное требование и оно является одним из самых популярных на любом мероприятии. Но если к презентации доклада можно было бы прикладывать и еще какие-то полезные материалы, то было бы офигенно.


  5. Возможность просмотреть видео выступления еще раз. Тоже самое.
  6. Возможность организации персональных комнат для общения. Не могу сказать, что я пользовался такой возможностью где-то, но иногда во время конференции хочется задать вопрос спикеру в частном порядке. Приватный чат или отдельная комната для этого подошли бы как нельзя лучше. Правда, при условии, что докладчик к этому готов и организаторы с ним это проговорили заранее.


    Также бывает иногда нужно написать что-то другому участнику. Такая функция тоже могла бы быть полезной, хотя только в том случае, если у вас нет контактов участника и вы можете общаться только через платформу (и он захочет с вами общаться).


  7. Организация рейтинга выступлений и спикеров, чтобы сразу можно было понять (и наградить) лучших. Участникам может это и все равно, но спикерам бывает приятно, если их выступления попадают в тройку самых-самых.
  8. Возможность связаться с поддержкой для решения технических проблем и вопросов.

    Не лучший пример - время ответа поддержки прогнозировалось на уровне нескольких часов

  9. Возможность составить собственное расписание с контролем пересекающихся по времени выступлений. В онлайне пересечение, конечно, не столь критично (можно вывести на разные мониторы или в разные вкладки), но все равно было бы полезно.

    Справа область отображает ваши каналы общения, а слева общее меню мероприятия

  10. Возможность самому инициировать какие либо обсуждения (свой канал/комната).


  11. Возможность делать заметки к выступления и потом их выгружать.

    Обратите внимание на секцию Notes справа - она для собственных заметок


  12. Возможность подсвечивать важные комментарии, например, от ведущих или модераторов, уведомления от организаторов и т.п. Это можно делать как в чате/канале/комнате, так и делать общий для всего мероприятия Live Feed.


  13. Возможность геймификации в виде зарабатывания баллов за участие в тех или иных активностях онлайн-мероприятия. По сути речь идет о дополнительном вовлечении слушателей в работу онлайн-конференций.


  14. Возможность выгрузить свое расписание в виде отдельного .ics-файла для подгрузки в собственный календарь.


  15. Возможность сделать выгрузку своего расписания для удобства работы с ним или отправки друзьям и коллегам. Например, в формате Excel.


  16. Возможность напоминания о запланированных в собственном расписании докладах и сессиях.
На самом деле список функций, которыми должна обладать платформа для проведения онлайн-конференций, можно продолжать достаточно долго. И это я только набросал идей, которые были бы интересны слушателям. А ведь есть еще возможности, которые были бы востребованы организаторами и спонсорами мероприятий. Но уже по приведенному выше списку, основанному на моем опыте участия в виртуальных мероприятиях по ИБ, становится понятно, что Zoom здесь и рядом не лежал. Как, собственно, и многие другие платформы, неплохо подходящие для онлайн-совещаний,  вебинаров или дистанционного обучения, но совершенно неприспособленные именно для вовлечения людей в длительное виртуальное мероприятие.

ЗЫ. Материалы с SOC Live были опубликованы на сайте мероприятия, а видео - на Youtube. А вот материалы с SOCstock так в публичном доступе и не появились.

8.12.20

Обзор SOCstock или что я не услышал на SOC Live. Часть 2.5 :-)

Не успел закончиться SOC Live, презентации и видео с которого выложили вчера в открытый доступ, как через день в США прошло другое онлайн-мероприятие, целиком посвященное теме SOC - SOCstock. По задумке организаторов, компании Siemplify, называющей себя независимым игроком рынка SOAR №1 (просто других некупленных уже не осталось), это должно было дать отсылку к знаковому концерту в Вудстоке, который собрал всех хиппи того времени. SOCstock тоже собрал немало специалистов по SOC - по заявлениям, не менее полутора тысяч человек (в реальности - около 600), которые в течение 9 часов слушали в два потока рассказы разных экспертов о тех или иных аспектах функционирования центров мониторинга ИБ. И, как это не парадоксально, если с точки зрения концепции и формата мероприятия SOCstock и SOC Live оказались очень похожи, то по контенту они практически идеально дополняли друг друга. Если у нас больше говорилось об аутсорсинговых услугах SOC, различных кейсах при расследовании, взаимодействии с ГосСОПКОЙ, работе с заказчиками и т.п., то на супостатном SOC "Forum" больше говорили об автоматизации, персонале, выгорании, threat hunting'е, threat intelligence, зрелости SOCов и т.п. Да, там тоже была реклама, но, как правило, она была завуалирована в очень интересных докладах и докладчики не сильно злоупотребляли рассказом о местах своей работы.

Началось все с музыкальной пазой (ею же все и завершилось), в которой ветеран Вудстока бренчал на гитаре и пел заунывные песни о бренности бытия, настраивая всех на активную работу :-) Кстати, по Москве мероприятие закончилось в 3 утра.

После того, как все участники собрались и расселись по своим виртуальным местам, начался ключевой доклад от Брайна Кребса, известного ИБ-журналиста. Кстати, можно спорить о том, насколько Кребс - специалист по ИБ, но вопросов ему в онлайне задавали немало. И это было гораздо интереснее, чем слушать свадебного генерала из какого-нибудь регулятора или ведомства, с которых любят начинать российские мероприятия по ИБ. 

В последовавшей за ключевым докладом дискуссии руководители нескольких американских SOCов рассказывали о текущем состоянии своей деятельности. Пересказывать ее не имеет смысла - ее надо слушать. Кстати, о том, почему везде висит значок Zoom. В отличие от SOC Live, в котором спикеры участвовали очно из студии, спикеры SOCstock подключались с разных концов США и поэтому собрать их вместе не предстаавлялось возможным. Поэтому видео-поток с Zoom транслировался уже через платформу мероприятия. Было не так живо, как на SOC Live, но иначе и не получилось бы для такой децентрализованной страны как США. 

Затем конференция разделилась на 2 потока, в каждом из которых доклады длились по 30 минут. Кстати, мне кажется, что 30-тиминутные доклады для таких форматов (и 45 минут для дискуссий) лучше заходят, чем 20-тиминутные, как на SOC Live. По крайней мере мне не хватило этих 10 минут в обоих своих выступлениях - и про мониторинг ИБ удаленного доступа, и про две другие альтернативы между своим и аутсорсинговым SOC. Из интересных докладов я бы отметил следующие.

Gert Jan Bruggnik рассказывал про adversary playbook, инструмент, который позволяет описать профиль нарушителя, его техники и тактики, чтобы эффективно и оперативно использовать эти сведения про мониторинге и атрибуции инцидентов, а также, в большей степени, для организации red team'инга. Куча примеров, куча ссылок на различные Интернет-ресурсы, никакой рекламы (кроме своей книги). Отличный был доклад.


Не менее интересным был доклад и от компании Siemplify, которая рассказала как о том, что такое SOAR и зачем нужна автоматизации в SOC, так и привела немало сценариев, в которых автоматизация действительно помогает специалистам по мониторингу ИБ. Причем это были как достаточно стандартные сценарии типа фишинговой атаки или подбора пароля, так и менее распространенные, такие как утечка данных из облака или обработка фидов о киберугрозах во время пандемии COVID-19.      

Как я уже писал выше, некоторые доклады были не очень интересными, так слишком явно продвигали определенные продукты по ИБ. Например, из доклада про Threat Hunting я смог вытащить только этот слайд:
из доклада про EDR только этот:

а из доклада "обманного" вендора вот этот (я вообще скептически отношусь к перспективам этой технологии, помня уж три ее попытки выйти на рынок и все как-то безуспешно): 

А вот Роб ван Ос не обманул ожиданий - рассказал и о том, как оценивать эффективность (про это спрашивали многих докладчиков и участников пленарных сессий) и зрелость центра мониторинга, и какие модели использовать для оценки возможностей SOC и т.д. Кстати, на последний вопрос, как ни странно, ответ оказался не модель SOC-CMM от авторства самого Роба. В списке популярных она занимает 3-е место после MITRE ATT&CK и NIST CSF. DeTT&CT, CIS 20, CREST SOC и другие тоже были упомянуты, но они оказались не столь популярными.


Как я написал выше, одной из популярных тем SOCstock было выгорание персонала, его карьерный рост, формирование заинтересованности в работе аналитика SOC и т.п. Об этом говорили на еще парочке дискуссий, а также в докладе Аманды Феннели, CISO из Relativity. Она делилась опытом, как можно сделать SOC еще лучше, если фокусироваться не на технологиях, а на людях и процессах. 

Представитель Anomali не смог обойтись без рекламы свой платформы по анализу угроз, но очень грамотно вплел ее в рассказ о том, что такое нормальный процесс Threat Intel, чем он отличается от просто сбора фидов и какую пользу можно получить, если оперировать не просто фидами с IOCами от внешних источников (привет ГосСОПКА и ФинЦЕРТ), но и активно добавлять в них свой собственный контекст, которые сообща только и дают возможность на основе TI-процесса принимать адекватные решения, а не просто загружать индикаторы в SIEM и думать, что вот оно, счастье наступило.


Карсон Циммерман, автор руководства MITRE по "10 стратегиям первоклассного SOC", которое сейчас переводится на русский язык компанией R-Vision, рассказывал о том, как вывести обнаружение угроз на новый уровень. Подход "поставил сенсор и забыл" больше не работает и поэтому надо более внимательно относиться к покрытию SOCом различных систем, используемым технологиям мониторинга, их настройке, а не использованию "из коробки", и т.п. Примерно о том же я начал писать в ноябре и продолжу в декабре.

Еще одним хедлайнером SOCstock стал Антон Чувакин, который закрывал программу форума рассказом о том, что изменилось в SOCах за последние годы. Мне этот доклад напомнил выступление Антона в мае 2017-го года в Москве, когда Gartner собирал ограниченный круг заказчиков, для которого Антон рассказывал о SOCах и других технологиях ИБ. А может просто я слишком много материалов по SOC просмотрел "имени Gartner", что у меня уже в глаза двоится. Из интересного запомнилось заключение выступления, в котором подняли классическую тему о том, что <технология ИБ> мертва. Такое говорили о системах предотвращения вторжения, о SIEMах и вот теперь о SOCах. Антон не опроверг, но и не подтвердил этот тезис, уточнив, что если речь идет о SOC, как о помещении с плазмами, то да, такой подход мертв. И тут впору вспомнить требования ФСТЭК к SOCам, которые требуют не только указания в лицензии места совершения преступления оказания лицензируемого вида деятельности, но и аттестации информационной системы SOCа. До свидения виртуальные и мобильные SOC с распределенным персоналом. Кстати, ФСТЭК закрывает глаза на те SOCи, которые для оказания услуг используют облачные SIEM, размещенные зарубежом, а также сотрудников, которые вот уже скоро год как работающих удаленно, из дома, что, разумеется, в лицензии ФСТЭК не указано.


Вот такое было мероприятие. Материалы с него пока недоступны и не факт, что будут (кроме доступа к записи онлайн-трансляции), что не позволяет разместить ссылку на них. Но хочу вновь отметить, что программа оказалась прям дополняющей наш SOC Live, что и позволило мне в заголовке заметки написать про "часть 2.5". За сим откланиваюсь и буду готовить еще одну заметку про SOC Live, завершающую эту серию.

3.12.20

Обзор выступлений с SOC Live. Часть 2

А я продолжаю обзор презентаций, прозвучавших в рамках второго канала SOC Live. Открыл первый поток "Эффективный SOC: лучшие практики" Алексей Новиков из НКЦКИ, который... который, к сожалению, не сказал ничего нового. Вроде бы ГосСОПКА и НКЦКИ существуют уже не первый год, но доклады по-прежнему строятся вокруг "присылайте данные по инцидентам в НКЦКИ и мы обработаем их в нашей TIP". Ну, блин. Неужели нет ничего более интересного, что НКЦКИ мог бы рассказать для специалистов? Как работает TIP? Какой жизненный цикл и workflow по получаемым и обрабатываемым данным? Каково распределение по типам инцидентов за время, прошедшее с прошлого SOC Forum? Статистика должна была накопиться уже достойная и она явно не секретная, чтобы ее утаивать... Но если не хочется делиться практикой, расскажите про нормативку. Почему на методических рекомендациях по реагированию на инциденты висит "гриф"? Как решать вопрос с передачей данных об инцидентах дочкам иностранных компаний (эта тема уже несколько лет "висит" и НКЦКИ обещал ответить на нее еще в прошлом году)? Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ? Да много каких вопросов накопилось к регулятору именно в контексте мониторинга. Но нет... Жаль...

Вторым довелось выступать мне - я заменял внезапно заболевшего Руслана Иванова из Cisco. Удивительно, что несмотря на 9 месяцев самоизоляции, которая поменяла подходы к ИБ в организациях и, соответственно, к мониторингу ИБ, про коронавирус на SOC Live не говорил почти никто. Я в презентации как раз и коснулся этого вопроса, уделив внимание тому, как мониторить удаленные рабочие места, облака, периметр, ЦОД и каналы связи. В заключение своего короткого выступления я коснулся того, как выстраивать работу самого SOC, если его аналитики сами переведены на удаленку.  Но интересующимся последней темой я бы порекомендовал статью на Хабре, где этот вопрос раскрыт более детально, чем в презентации.

Кстати, о статьях. Во вчерашнем обзоре я упомянул про секцию, в которой SOCостроители делились своим опытом ошибок. Я бы тоже хотел поделиться таким опытом, который был описан мной в статье для последнего выпуска журнала "Информационная безопасность банков". Описанные мной 12 ошибок были накоплены в результате проектов по аудиту или проектированию SOC, в которых мне довелось участвовать за последнее время (а Cisco достаточно активно занимается таким консалтингом, не обремененным сопутствующей продажей SIEMов или услуг по аутсорсингу).

Третьим в потоке выступил Иван Мелехин из Информзащиты, который поделился опытом формирования технического задания на оказание услуг по аутсорсингу функции мониторинга ИБ. Парой недель ранее команда Ивана стала победителем The Standoff в категории защитников, лучше других защитивших свои ИТ-активы и проведя расследования инцидентов в отношении их, о чем Иван скромно указал на последнем слайде своей презентации. 

Второй поток второго канала, который комментировал Алексей Комаров (возможно, он напишет об этом у себя в блоге), был посвящен технологиям SOC. Начал его Владимир Дрюков из Ростелеком-Солара, который сделал обзор того, как поменялись подходы злоумышленников и методы мониторинга и реагирования на инциденты ИБ за последние 5 лет, прошедшие со времен первого SOC Forum. 


Кстати, первый SOC Forum, прошедший в 2015-м году, коренным образом отличался от того, что происходило в этом году. Тогда я даже написал, что это был не SOC Forum, а SIEM или даже Arcsight Forum, так как очень уж много говорилось о конкретных технических решениях. Сейчас SOC Forum стал гораздо более зрелым в этом вопросе и голимой рекламы практически не было. Хотя, конечно, исключения попадали. Например, доклад представителя Security Vision, который был посвящен целиком продуктам этой компании (я даже скриншоты слайдов презентации не стал делать). В следующем докладе, Дениса Кораблева из Positive Technologies, тоже было слишком много рекламы, а именно относительно их нового продукта - песочницы, выпущенной в апреле этого года. Видимо, надо было прорекламировать это решение, обернув его в немного экспертный доклад. Вообще доклады от Позитива на SOC Live вызвали в этом году одно сожаление - наверное все усилия были потрачены на прошедший тремя неделями ранее The Standoff и все экспертные доклады остались там, а повторяться коллеги не захотели.

На продолжившемся после развлекательной ИБ-игры "Голосо истины" потоке по технологиям SOC первым выступил Дмитрий Купецкий из Fortinet. Доклад был тоже рекламным и поэтому рассказывать про него не имеет смысла. Вторым был Александр Бондаренко из компании R-Vision, который, как и я, коснулся темы новой реальности и ее влияния на ИБ, а затем, приведя много разных цифр из зарубежных отчетов по Threat Hunting и управлению активами, плавно прорекламировал новый продукт R-Vision в области обманных решений (deception). Тоже оставлю это без комментариев и скриншотов. Как по мне, так это малоперспективное направление, к которому на моей памяти индустрия ИБ обращалась уже три раза за последние лет 20+ и все без особого успеха. То есть массовым я бы это решение не назвал.

Завершавший этот поток Александр Черныхов из Крока, который напомнил слушателям, какие ключевые компоненты должны быть по его мнению в современном SOC. К ним он причислил SIEM, UEBA, SOAR и Big Data. Не знаю, я не очень согласен с такой постановкой вопроса и в этот список, как минимум, добавил бы еще TIP и THP, а к списку систем сбора событий, наряду с UEBA, добавил бы еще EDR, NTA/NDR и CASB. Но, возможно, просто времени не хватило, - все-таки за 20 минут рассказать можно не так уж и много. 

Следующий поток был посвящен людям, процессам и задачам. Открывал его Алексей Павлов из Ростелеком-Солара (кстати, имя "Алексей" было самым популярным среди спикеров SOC Live, - 9 человек носили его; еще было 4 Антона и 4 Александра). Алексей рассказывал свой опыт пресейла аутсорсингового SOCа и те проблемы, с которыми заказчики приходят в Ростелеком-Солар.

За Алексеем выступал другой Алексей, а именно Лукацкий (компания Cisco), то есть я, посвятивший это свое выступление краткому обзору возможных альтернатив построения центра мониторинга ИБ, а точнее ее ключевого компонента - системы сбора, анализа и корреляции событий ИБ (ее еще иногда называют SIEM). Помимо двух очевидных вариантов - собственный и аутсорсинговый центр мониторинга, я рассмотрел еще два, встречающиеся в тех случаях, когда у заказчика есть инструменты, но нет людей, и наоборот, есть люди, но нет инструментов для мониторинга. В этих вариантах можно использовать варианты Managed SIEM (кто-то управляет вашим, когда-то купленным SIEM) и облачные SIEM или SOC-платформа соответственно. Первый из них в России не представлен (хотя на Западе популярен), а вот второй вполне доступен. И хотя большинство игроков облачных SIEM/SOC-платформ тоже зарубежные, в России представлено, как минимум, два из них - Cisco и Microsoft.


Завершал первую часть этого потока Сергей Солдатов из Лаборатории Касперского, который описывал способы снижения ложных срабатываний в SOC за счет технологии машинного обучения, которая, будучи обученной на размеченным аналитиками данных, позволяет не только более оперативно выявлять инциденты, но и снизить число таких показателей как false negatives и false positives. 
 

После физкульт-разминки, которая напомнила многим, что разминаться надо не только виртуальным участникам SOC Live, которые 8 часов без перерыва смотрели эфир, но и аналитикам SOC, которые часто работают по 12 часов, поток продолжился. Его начал Тимур Зиннятуллин из группы компаний Angara. Он рассказывал о замечательной международной инициативе OSCD (Open Security Collaborative Development), в рамках которой осуществляется обмен опытом и подготовка практических рекомендаций и лучших практик в области ИБ. В контексте темы форума Тимур рассказывал о некоторых проектах в рамках OSCD, а именно о совместной разработке правил Sigma для обнаружения угроз, которые можно использовать в рамках тестов Atomic Red Team, обнаружения инцидентов в TheHive и Cortex, в сценариях RE&CT и т.п.    


Упомянутый ранее Алексей Павлов в своем докладе рассказывал, что меньше чем за год нельзя построить SOC. Но выступавший от имени Инфосистемы Джет Алексей Мальнев в своем докладе рассказал о том, как они построили за год целых 5 центров мониторинга на 6 различных SIEMах.


Поток "люди, процессы и задачи" завершал Алексей Лобзин из CyberART (ГК Innostage), который посвятил свое выступление тому, как бороться с усталостью аналитиков SOC и автоматизировать реагирование на инциденты. Я 2 года назад тоже касался этой темы в своем нашумевшем выступлении о том, что аналитики первой линии не нужны :-)

После небольшой минутки юмора, состоящей из выступлений "безопасного стендапа", начался круглый стол по применению SOCов на производстве и мониторинге промышленных площадок. Я на Хабре уже тоже как-то писал о нашем опыте мониторинга таких систем.

Этим круглым столом без докладов завершилась программа второго канала SOC Live. Завершаю обзор выступлений с этого мероприятия и я. Но думаю завтра я посвящу ему еще одну заметку, рассказав о том, что происходило за кулисами SOC Live (глазами стороннего наблюдателя) и какие еще фишки были предложены организаторами SOC Forum из компании Авангард-Медиа виртуальным участникам этого, одного из крупнейших российских онлайн-мероприятий по ИБ (около 10000 уникальных просмотров).