По результатам моей заметки про SOC Forum мне многие написали, что ничего нового в теме SOCов нет и что примеры работающих SOCов известны уже не первый год. И что? Где в информационной безопасности вообще что-то новое? Сканеры безопасности? Так тот же SATAN был в начале 90-х разработан и что с тех сильно поменялось? IDS, которые сейчас все кому ни лень в России пишут (на базе open source)? Ну так первые сетевые IDS появились также в начале 90-х. Поведенческие анализаторы? Первые решения так и вовсе в 80-м году были представлены миру. NBAD? Тоже в 80-х. Да та же "инновационная" квантовая криптография была предложена еще в 70-х. Анализаторы кодов? Так первые решения в конце 70-х стали использоваться.
Что нового в SOC? Ничего. Командные и штабные центры в войсках были с незапамятных времен. Но тогда еще компьютеров не было, чтобы собирать с них сигналы тревоги. В АНБ первый SOC появился в 1968 (тогда он еще назывался центром наблюдения (National SIGINT Watch Center), а в 1973 его переименовали в национальный SOC.
Что вообще совсем нового у нас в ИБ есть? Ничего. Только уровень автоматизации задач повышается, да интерфейсы удобные разрабатываются, да некоторые дополнительные функции добавляются. Вот и вся новизна. Но это же не значит, что про это не надо говорить и проводить конференции, посвященные тому или иному направлению.
ЗЫ. Вообще, человеку свойственен эгоцентризм - он всегда ставит себя и свое мнение в центр Вселенной и считает, что именно его мнение является единственно верным. Например, анализируя документы регуляторов, специалист по ИБ часто думает "Вот же бред, кто это мог придумать", не задумываясь о мотивах авторов. А ведь они есть и могут отличаться от мнения специалистов. Или многие часто спрашивают, когда я сплю, если у меня часто заметки в блоге публикуются в 5 утра. Но... это 5 утра в Москве. А, например, в Калифорнии в это время 6 вечера - самое продуктивное время :-) А на Дальнем Востоке в это время разгар рабочего дня. Но мы не привыкли смотреть на вопрос с позиции другого человека. Отсюда, зачастую, и все проблемы в общении и коммуникациях.
Что нового в SOC? Ничего. Командные и штабные центры в войсках были с незапамятных времен. Но тогда еще компьютеров не было, чтобы собирать с них сигналы тревоги. В АНБ первый SOC появился в 1968 (тогда он еще назывался центром наблюдения (National SIGINT Watch Center), а в 1973 его переименовали в национальный SOC.
Что вообще совсем нового у нас в ИБ есть? Ничего. Только уровень автоматизации задач повышается, да интерфейсы удобные разрабатываются, да некоторые дополнительные функции добавляются. Вот и вся новизна. Но это же не значит, что про это не надо говорить и проводить конференции, посвященные тому или иному направлению.
ЗЫ. Вообще, человеку свойственен эгоцентризм - он всегда ставит себя и свое мнение в центр Вселенной и считает, что именно его мнение является единственно верным. Например, анализируя документы регуляторов, специалист по ИБ часто думает "Вот же бред, кто это мог придумать", не задумываясь о мотивах авторов. А ведь они есть и могут отличаться от мнения специалистов. Или многие часто спрашивают, когда я сплю, если у меня часто заметки в блоге публикуются в 5 утра. Но... это 5 утра в Москве. А, например, в Калифорнии в это время 6 вечера - самое продуктивное время :-) А на Дальнем Востоке в это время разгар рабочего дня. Но мы не привыкли смотреть на вопрос с позиции другого человека. Отсюда, зачастую, и все проблемы в общении и коммуникациях.
Новое за 5 лет
ОтветитьУдалить1) user behavioral analysis solutions
2) security intelligence
3) corporate sandboxes
4) security service buses (e.g. McAfee TIE etc)
5) corporate threat intelligence management platforms
Разочарую. UBA появились в 80-х. Песочницы - это появились в Java в 90-х. TI - может быть и новое
ОтветитьУдалитьКорпоративных песочниц ранее не было.
ОтветитьУдалитьПример корпоративных решений по UBA есть?
Так и корпоративных антивирусов раньше не было.
ОтветитьУдалить>4) security service buses (e.g. McAfee TIE etc)
ОтветитьУдалитьС светлой грустью вспоминаю прекрасную линейку ISS Proventia, которая и в сетевой, и у узловой, и в корреляционной и в операционной (привет TI от X-Force) составляющей несла огромный для своего времени потенциал... Не хватало немного AppSec и NetFor (не путать с продуктом) ну и возможно SandBox и была бы машина будущего вообще. Хотя в те времена компы только подошли к мощностям, достаточных для массового использования этих технологий...
Да, IBM убил классные решения ;-(
ОтветитьУдалить