А я продолжаю обзор презентаций, прозвучавших в рамках второго канала SOC Live. Открыл первый поток "Эффективный SOC: лучшие практики" Алексей Новиков из НКЦКИ, который... который, к сожалению, не сказал ничего нового. Вроде бы ГосСОПКА и НКЦКИ существуют уже не первый год, но доклады по-прежнему строятся вокруг "присылайте данные по инцидентам в НКЦКИ и мы обработаем их в нашей TIP". Ну, блин. Неужели нет ничего более интересного, что НКЦКИ мог бы рассказать для специалистов? Как работает TIP? Какой жизненный цикл и workflow по получаемым и обрабатываемым данным? Каково распределение по типам инцидентов за время, прошедшее с прошлого SOC Forum? Статистика должна была накопиться уже достойная и она явно не секретная, чтобы ее утаивать... Но если не хочется делиться практикой, расскажите про нормативку. Почему на методических рекомендациях по реагированию на инциденты висит "гриф"? Как решать вопрос с передачей данных об инцидентах дочкам иностранных компаний (эта тема уже несколько лет "висит" и НКЦКИ обещал ответить на нее еще в прошлом году)? Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ? Да много каких вопросов накопилось к регулятору именно в контексте мониторинга. Но нет... Жаль...
Вторым довелось выступать мне - я заменял внезапно заболевшего Руслана Иванова из Cisco. Удивительно, что несмотря на 9 месяцев самоизоляции, которая поменяла подходы к ИБ в организациях и, соответственно, к мониторингу ИБ, про коронавирус на SOC Live не говорил почти никто. Я в презентации как раз и коснулся этого вопроса, уделив внимание тому, как мониторить удаленные рабочие места, облака, периметр, ЦОД и каналы связи. В заключение своего короткого выступления я коснулся того, как выстраивать работу самого SOC, если его аналитики сами переведены на удаленку. Но интересующимся последней темой я бы порекомендовал статью на Хабре, где этот вопрос раскрыт более детально, чем в презентации.
Кстати, о статьях. Во вчерашнем обзоре я упомянул про секцию, в которой SOCостроители делились своим опытом ошибок. Я бы тоже хотел поделиться таким опытом, который был описан мной в статье для последнего выпуска журнала "Информационная безопасность банков". Описанные мной 12 ошибок были накоплены в результате проектов по аудиту или проектированию SOC, в которых мне довелось участвовать за последнее время (а Cisco достаточно активно занимается таким консалтингом, не обремененным сопутствующей продажей SIEMов или услуг по аутсорсингу).
На продолжившемся после развлекательной ИБ-игры "Голосо истины" потоке по технологиям SOC первым выступил Дмитрий Купецкий из Fortinet. Доклад был тоже рекламным и поэтому рассказывать про него не имеет смысла. Вторым был Александр Бондаренко из компании R-Vision, который, как и я, коснулся темы новой реальности и ее влияния на ИБ, а затем, приведя много разных цифр из зарубежных отчетов по Threat Hunting и управлению активами, плавно прорекламировал новый продукт R-Vision в области обманных решений (deception). Тоже оставлю это без комментариев и скриншотов. Как по мне, так это малоперспективное направление, к которому на моей памяти индустрия ИБ обращалась уже три раза за последние лет 20+ и все без особого успеха. То есть массовым я бы это решение не назвал.
Завершавший этот поток Александр Черныхов из Крока, который напомнил слушателям, какие ключевые компоненты должны быть по его мнению в современном SOC. К ним он причислил SIEM, UEBA, SOAR и Big Data. Не знаю, я не очень согласен с такой постановкой вопроса и в этот список, как минимум, добавил бы еще TIP и THP, а к списку систем сбора событий, наряду с UEBA, добавил бы еще EDR, NTA/NDR и CASB. Но, возможно, просто времени не хватило, - все-таки за 20 минут рассказать можно не так уж и много.
Следующий поток был посвящен людям, процессам и задачам. Открывал его Алексей Павлов из Ростелеком-Солара (кстати, имя "Алексей" было самым популярным среди спикеров SOC Live, - 9 человек носили его; еще было 4 Антона и 4 Александра). Алексей рассказывал свой опыт пресейла аутсорсингового SOCа и те проблемы, с которыми заказчики приходят в Ростелеком-Солар.После небольшой минутки юмора, состоящей из выступлений "безопасного стендапа", начался круглый стол по применению SOCов на производстве и мониторинге промышленных площадок. Я на Хабре уже тоже как-то писал о нашем опыте мониторинга таких систем.
Этим круглым столом без докладов завершилась программа второго канала SOC Live. Завершаю обзор выступлений с этого мероприятия и я. Но думаю завтра я посвящу ему еще одну заметку, рассказав о том, что происходило за кулисами SOC Live (глазами стороннего наблюдателя) и какие еще фишки были предложены организаторами SOC Forum из компании Авангард-Медиа виртуальным участникам этого, одного из крупнейших российских онлайн-мероприятий по ИБ (около 10000 уникальных просмотров).
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.