3.12.20

Обзор выступлений с SOC Live. Часть 2

А я продолжаю обзор презентаций, прозвучавших в рамках второго канала SOC Live. Открыл первый поток "Эффективный SOC: лучшие практики" Алексей Новиков из НКЦКИ, который... который, к сожалению, не сказал ничего нового. Вроде бы ГосСОПКА и НКЦКИ существуют уже не первый год, но доклады по-прежнему строятся вокруг "присылайте данные по инцидентам в НКЦКИ и мы обработаем их в нашей TIP". Ну, блин. Неужели нет ничего более интересного, что НКЦКИ мог бы рассказать для специалистов? Как работает TIP? Какой жизненный цикл и workflow по получаемым и обрабатываемым данным? Каково распределение по типам инцидентов за время, прошедшее с прошлого SOC Forum? Статистика должна была накопиться уже достойная и она явно не секретная, чтобы ее утаивать... Но если не хочется делиться практикой, расскажите про нормативку. Почему на методических рекомендациях по реагированию на инциденты висит "гриф"? Как решать вопрос с передачей данных об инцидентах дочкам иностранных компаний (эта тема уже несколько лет "висит" и НКЦКИ обещал ответить на нее еще в прошлом году)? Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ? Да много каких вопросов накопилось к регулятору именно в контексте мониторинга. Но нет... Жаль...

Вторым довелось выступать мне - я заменял внезапно заболевшего Руслана Иванова из Cisco. Удивительно, что несмотря на 9 месяцев самоизоляции, которая поменяла подходы к ИБ в организациях и, соответственно, к мониторингу ИБ, про коронавирус на SOC Live не говорил почти никто. Я в презентации как раз и коснулся этого вопроса, уделив внимание тому, как мониторить удаленные рабочие места, облака, периметр, ЦОД и каналы связи. В заключение своего короткого выступления я коснулся того, как выстраивать работу самого SOC, если его аналитики сами переведены на удаленку.  Но интересующимся последней темой я бы порекомендовал статью на Хабре, где этот вопрос раскрыт более детально, чем в презентации.

Кстати, о статьях. Во вчерашнем обзоре я упомянул про секцию, в которой SOCостроители делились своим опытом ошибок. Я бы тоже хотел поделиться таким опытом, который был описан мной в статье для последнего выпуска журнала "Информационная безопасность банков". Описанные мной 12 ошибок были накоплены в результате проектов по аудиту или проектированию SOC, в которых мне довелось участвовать за последнее время (а Cisco достаточно активно занимается таким консалтингом, не обремененным сопутствующей продажей SIEMов или услуг по аутсорсингу).

Третьим в потоке выступил Иван Мелехин из Информзащиты, который поделился опытом формирования технического задания на оказание услуг по аутсорсингу функции мониторинга ИБ. Парой недель ранее команда Ивана стала победителем The Standoff в категории защитников, лучше других защитивших свои ИТ-активы и проведя расследования инцидентов в отношении их, о чем Иван скромно указал на последнем слайде своей презентации. 

Второй поток второго канала, который комментировал Алексей Комаров (возможно, он напишет об этом у себя в блоге), был посвящен технологиям SOC. Начал его Владимир Дрюков из Ростелеком-Солара, который сделал обзор того, как поменялись подходы злоумышленников и методы мониторинга и реагирования на инциденты ИБ за последние 5 лет, прошедшие со времен первого SOC Forum. 


Кстати, первый SOC Forum, прошедший в 2015-м году, коренным образом отличался от того, что происходило в этом году. Тогда я даже написал, что это был не SOC Forum, а SIEM или даже Arcsight Forum, так как очень уж много говорилось о конкретных технических решениях. Сейчас SOC Forum стал гораздо более зрелым в этом вопросе и голимой рекламы практически не было. Хотя, конечно, исключения попадали. Например, доклад представителя Security Vision, который был посвящен целиком продуктам этой компании (я даже скриншоты слайдов презентации не стал делать). В следующем докладе, Дениса Кораблева из Positive Technologies, тоже было слишком много рекламы, а именно относительно их нового продукта - песочницы, выпущенной в апреле этого года. Видимо, надо было прорекламировать это решение, обернув его в немного экспертный доклад. Вообще доклады от Позитива на SOC Live вызвали в этом году одно сожаление - наверное все усилия были потрачены на прошедший тремя неделями ранее The Standoff и все экспертные доклады остались там, а повторяться коллеги не захотели.

На продолжившемся после развлекательной ИБ-игры "Голосо истины" потоке по технологиям SOC первым выступил Дмитрий Купецкий из Fortinet. Доклад был тоже рекламным и поэтому рассказывать про него не имеет смысла. Вторым был Александр Бондаренко из компании R-Vision, который, как и я, коснулся темы новой реальности и ее влияния на ИБ, а затем, приведя много разных цифр из зарубежных отчетов по Threat Hunting и управлению активами, плавно прорекламировал новый продукт R-Vision в области обманных решений (deception). Тоже оставлю это без комментариев и скриншотов. Как по мне, так это малоперспективное направление, к которому на моей памяти индустрия ИБ обращалась уже три раза за последние лет 20+ и все без особого успеха. То есть массовым я бы это решение не назвал.

Завершавший этот поток Александр Черныхов из Крока, который напомнил слушателям, какие ключевые компоненты должны быть по его мнению в современном SOC. К ним он причислил SIEM, UEBA, SOAR и Big Data. Не знаю, я не очень согласен с такой постановкой вопроса и в этот список, как минимум, добавил бы еще TIP и THP, а к списку систем сбора событий, наряду с UEBA, добавил бы еще EDR, NTA/NDR и CASB. Но, возможно, просто времени не хватило, - все-таки за 20 минут рассказать можно не так уж и много. 

Следующий поток был посвящен людям, процессам и задачам. Открывал его Алексей Павлов из Ростелеком-Солара (кстати, имя "Алексей" было самым популярным среди спикеров SOC Live, - 9 человек носили его; еще было 4 Антона и 4 Александра). Алексей рассказывал свой опыт пресейла аутсорсингового SOCа и те проблемы, с которыми заказчики приходят в Ростелеком-Солар.

За Алексеем выступал другой Алексей, а именно Лукацкий (компания Cisco), то есть я, посвятивший это свое выступление краткому обзору возможных альтернатив построения центра мониторинга ИБ, а точнее ее ключевого компонента - системы сбора, анализа и корреляции событий ИБ (ее еще иногда называют SIEM). Помимо двух очевидных вариантов - собственный и аутсорсинговый центр мониторинга, я рассмотрел еще два, встречающиеся в тех случаях, когда у заказчика есть инструменты, но нет людей, и наоборот, есть люди, но нет инструментов для мониторинга. В этих вариантах можно использовать варианты Managed SIEM (кто-то управляет вашим, когда-то купленным SIEM) и облачные SIEM или SOC-платформа соответственно. Первый из них в России не представлен (хотя на Западе популярен), а вот второй вполне доступен. И хотя большинство игроков облачных SIEM/SOC-платформ тоже зарубежные, в России представлено, как минимум, два из них - Cisco и Microsoft.


Завершал первую часть этого потока Сергей Солдатов из Лаборатории Касперского, который описывал способы снижения ложных срабатываний в SOC за счет технологии машинного обучения, которая, будучи обученной на размеченным аналитиками данных, позволяет не только более оперативно выявлять инциденты, но и снизить число таких показателей как false negatives и false positives. 
 

После физкульт-разминки, которая напомнила многим, что разминаться надо не только виртуальным участникам SOC Live, которые 8 часов без перерыва смотрели эфир, но и аналитикам SOC, которые часто работают по 12 часов, поток продолжился. Его начал Тимур Зиннятуллин из группы компаний Angara. Он рассказывал о замечательной международной инициативе OSCD (Open Security Collaborative Development), в рамках которой осуществляется обмен опытом и подготовка практических рекомендаций и лучших практик в области ИБ. В контексте темы форума Тимур рассказывал о некоторых проектах в рамках OSCD, а именно о совместной разработке правил Sigma для обнаружения угроз, которые можно использовать в рамках тестов Atomic Red Team, обнаружения инцидентов в TheHive и Cortex, в сценариях RE&CT и т.п.    


Упомянутый ранее Алексей Павлов в своем докладе рассказывал, что меньше чем за год нельзя построить SOC. Но выступавший от имени Инфосистемы Джет Алексей Мальнев в своем докладе рассказал о том, как они построили за год целых 5 центров мониторинга на 6 различных SIEMах.


Поток "люди, процессы и задачи" завершал Алексей Лобзин из CyberART (ГК Innostage), который посвятил свое выступление тому, как бороться с усталостью аналитиков SOC и автоматизировать реагирование на инциденты. Я 2 года назад тоже касался этой темы в своем нашумевшем выступлении о том, что аналитики первой линии не нужны :-)

После небольшой минутки юмора, состоящей из выступлений "безопасного стендапа", начался круглый стол по применению SOCов на производстве и мониторинге промышленных площадок. Я на Хабре уже тоже как-то писал о нашем опыте мониторинга таких систем.

Этим круглым столом без докладов завершилась программа второго канала SOC Live. Завершаю обзор выступлений с этого мероприятия и я. Но думаю завтра я посвящу ему еще одну заметку, рассказав о том, что происходило за кулисами SOC Live (глазами стороннего наблюдателя) и какие еще фишки были предложены организаторами SOC Forum из компании Авангард-Медиа виртуальным участникам этого, одного из крупнейших российских онлайн-мероприятий по ИБ (около 10000 уникальных просмотров).