Pages - Menu

Страницы

20.9.17

InfoSecurity и "Три мушкетера"

Вы помните отечественный фильм "Три мушкетера" и классическую сцену дуэли, в которой подружились Атос, Портос, Арамис и д'Артаньян? Позволю себе напомнить ее:



Вот InfoSecurity и напомнило мне эту сцену, потому что те, кто придут в первый день, врядли осилят этот подвиг во второй, а уж вероятность их прихода на третий день и вовсе близится к нулю. А значит круглый стол "SOC vs SIEM", который я веду в финальный день InfoSecurity, увидят только самые стойкие посетители или те, кто придет только на него. Но это не повод впадать в уныние и проводить мероприятие спустя рукава. SOC - тема горячая. SIEMы пекутся в России как пирожки. Почему бы и не скрестить это две плохо скрещиваемые темы и не посвятить им целый круглый стол? Примерно с такими мыслями и затевалось этот формат, на который я вас и приглашаю.

Несмотря на тенденциозное, а местами и спорное название, мероприятие я вижу как вполне себе конкретное и, хотелось бы, практичное. Несмотря на наличие аббревиатуры SIEM в названии, говорить про них мы будем мало. Именно поэтому я отсекал всех SIEM-вендоров, которые горели желанием выступить в рамках круглого стола. За все SIEM будет отдуваться Илья Шабанов, на портале которого был опубликован обзор по российскому рынку SIEMов. Из «продуктового направления» мы коснемся темы SOAR и GRC, о которых будет высказываться Александр Бондаренко (R-Vision).

Представителей коммерческих SOCов, особенно хорошо разрекламированных я не стал звать. Вместо них отдуваться будет Александр Бодрик из Ангары. Причина тут простая – у Ангары это совсем новое направление и интересно услышать те проблемы, с которыми сталкивается компания, которая запускает коммерческий SOC (набор людей, ПО для SOC, лицензия ФСТЭК, процессы, KPI, ответственность, что интересует заказчиков и т.п.). К тому у Александра есть опыт работы на стороне заказчика, а также опыт проведения исследований GRC, так что дискуссия должна быть интересной.

Наконец, участие Моны Архиповой (WayRay), Алексея Качалина (Сбербанк) и Александра Бабкина (Газпромбанк) я вижу в виде тех людей, который на практике занимаются SOC, мониторингом, работой с внешними подрядчиками, которые пытаются предложить свои аутсорсинговые SOCи и т.п. Взгляд со стороны заказчика.

Презентаций не предусматриваются – будет живой диалог, с частично заготовленными вопросами:

  • Нередко между SOC и SIEM, как ядром системы мониторинга, ставят знак равенства. Однако сегодня этого недостаточно для эффективного мониторинга и, например, по версии Gartner, ядром системы монитониринга должны стать SIEM, NTA/NBAD, EDR. При этом должны быть также системы Threat Intelligence, управления инцидентами, расследования и др. Какие типы решений использует в своем SOC участники круглого стола? Могут ли они поделиться краткими наблюдениями, подводными камнями?
  • Технологии технологиями, но все-таки в триаде «Люди – Процессы – Технологии» они находятся на последнем месте, отдавая пальму первенства человеку. В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек. Сколько же нужно человек минимум, чтобы запустить свой собственный SOC?
  • Есть такая поговорка: «Если пытаться автоматизировать хаос, то получится автоматизированный хаос». Когда я слышу, что именно SOC остановил WannaCry в тех или иных компаниях, у меня возникает множество вопросов. Что надо предварительно сделать в инфраструктуре, чтобы внедрение своего или использование аутсорсингового SOC стало успешным?
  • Как запустить SOC – 5 основных шагов?
  • SOC запущен; можно ли оценить его эффективность?
  • В России бум SIEM – все крупные игроки ИБ-рынка, имеющие свою разработку, ринулись создавать свои SIEM – Эшелон, Позитив, ЦБИ, Газинформсервис и т.п. Насколько перспективна данная ниша для российских разработчиков? Будут ли заказчики использовать такие продукты, которые пока уступают своим зарубежным аналогам? Можно ли коммерческий SOC построить на базе отечественного SIEM? Чего не хватает зарубежным SIEM?

Вот такая повестка дня намечена на 21 сентября с 14 до 16 часов в Крокус-Экспо, в конференц-зале К1 павильона 1 (рядом метро, с парковкой тоже проблем не бывает).


ЗЫ. Круглый стол рассматриваю как прелюдию перед SOC Forum, который пройдет 22 ноября, и программа которого увеличивается в 1,5 раза.

Комментариев нет:

Отправить комментарий

Примечание. Отправлять комментарии могут только участники этого блога.