15.11.17

Что такое Fusion Center и чем он отличается от SOC? #socforum

На прошлой неделе, в Питере, на конференции Secure It World, мне довелось модерировать секцию по безопасности ИТ-инфраструктуры, где выступал представитель Ростелекома с рассказом о том, как у них выстроен SOC. Очень интересный был доклад, но меня в нем, помимо прочего, заинтересовала вот эта иллюстрация:


Меня заинтересовала нижная часть слайда, в которой упоминается Fusion Center. Это второй раз, когда я вижу упоминание этого термина в контексте информационной безопасности. Первым был Сбербанк, который последний год упоминает (и еще тут) этот термин в контексте стратегии развития своего центра мониторинга ИБ.

 SOC Сбербанка
Вообще, мне кажется, что произошла некоторая подмена понятий у тех, кто стал применять этот термин. Допускаю, что моду задал, как обычно, Герман Оскарович, увидевший где-то работающий Fusion Center и вбросивший этот термин журналистам, которые за него ухватились. А потом пошло поехало - термин прочно прилип к информационной безопасности и его сейчас стал применять Ростелеком (не исключая, что скоро подтянутся и другие). Но все-таки, Fusion Center имеет очень опосредованное отношение к мониторингу ИБ в привычном понимании. Да и в отдельно взятой организации Fusion Center построить трудновато. Почему?

Дело в том, что в США, а именно туда пошла концепция Fusion Center в 2003-м году, это центры обмена информацией, а не круглосуточного мониторинга ИБ. Более того, первоначально, да и сейчас, эти центры не имели ничего общего с кибербезопасностью. Они создавались под эгидой Министерства национальной безопасности (DHS) или Минюста (а позже и на уровне отдельных госорганов или муниципалитетов) и позволяли обмениваться стратегической информацией между ЦРУ, ФБР, МинОбороны, МЧС, а также локальными администрациями и т.д. В первые годы Fusion Center, а их насчитывалось только в США несколько десятков, были достаточно бестолковы - они обменивалсь плохо структурированной информацией, которую сложно было анализировать, искать в ней взаимозависимости и строить на ее основе какие-то выводы и принимать решения. Например, в 2011-м году Fusion Center в Иллинойсе сообщил о взломе насосной станции системы водоснабжения в Иллинойсе. Позже агенты ФБР опровергли данное заявление, доказав, что речь шла о легальном удаленном доступе администратора насосной станции.

Если вы введете в Google поиск по картинкам с ключевой фразой "fusion center", то вы увидите кучу фотографий больших залов, напичканных кучей мониторов, за которыми сидят люди и пялятся в экраны. Это не fusion center, хотя его именно так многие и представляют. Отсюда и попытка применить этот термин в ИБ, в которой есть свои SOCи c кучей плазм и больших мониторов. Fusion center - это и не центр реагирования на инциденты, хотя иногда такая функция в нем и встречается, но она не основная. Fusion center не выполняет никаких оперативных функций - это центр поддержки, базирующийся на анализе разрозненных данных. Наиболее близки к концепции Fusion Center CDC (Cyber Defence Center) или ISAC (Information Sharing and Analysis Center), но и они все-таки работают преимущественно со структурированной информацией, в то время как Fusion Center работает с обоими типами данных - структурированными и не очень (особенно с последней). Это позволяет, за счет различных алгоритм и матмоделей, предсказывать многие инциденты и купировать их в зародыше.

При этом речь идет не об инцидентах ИБ, а обо всех типах событий, которые могут привести к эпидемиям, пожарам, народным волнения, забастовкам, землетрясениям, наводнениям и т.п. природным и искусственным стихийным бедствиям. У нас же почему-то идею Fusion Center выхолостили до одной киберсоставляющей, по сутя говоря о Security Intelligence Center (SIC). Это пока нечасто упоминаемая концепция, которая как раз и описывает центр мониторинга, предсказывающий угрозы на базе продвинутой аналитики (про него я еще напишу).


ЗЫ. Кстати, на модерируемой мной секции Future SOC на SOC Forum будет выступление Алексея Качалина из Сбербанка, который будет рассказывать о своем видении будущего SOC через 8 лет. Не видя еще презентации, могу предположить, что во-многом она будет базироваться на том, каким видит свой Fusion Center Сбербанк в 2025-м году. А Эльман Бейбутов на той же секции будет рассказывать как раз про продвинутую аналитику в деле ИБ. Приходите, будет интересно.

ЗЗЫ. На сайте DHS много полезных руководств по созданию и эксплуатации Fusion Center. Есть там и руководства по интеграции в Fusion Center тематики кибербезопасности.