Во второй день SOC-Форума 2022 в Москве обсудили процессы SOC и работу с кадрами. Ведущим секции стал Роман Шапиро, руководитель отдела обеспечения информационной безопасности АО «Почта России».
Руководитель центра экспертизы по информационной безопасности компании IBS Сергей Терехов рассказал про методы обеспечения непрерывного контроля безопасности конфигураций активов как одного из процессов SOC. «У нас сейчас нет какой-то оценки защищенности актива в целом, мы ее, как правило, не понимаем. В лучшем случае у нас есть некая базовая оценка критичности тех или иных информационных систем, активов, есть базовая интегральная оценка по результатам сканирования уязвимостей, но этого недостаточно. Что можно сделать? Есть три индикатора безопасности актива: бизнесовая критичность, критичность в части уязвимостей и критичность в части безопасности конфигурации. Эту модель можно строить на базе BI-систем, каких-то смежных систем, которые позволят выводить индекс актива, нормировать его и получить понимание, где возникает наиболее критичная ситуация в случае какого-то массового инцидента в компании», – пояснил он.
Такая методика оценки защищенности и контроля безопасности может быть использована для снижения операционных затрат с точки зрения патч-менеджмента, снижения времени реагирования на инцидент, поддержки высокого уровня защищенности, соответствия требованиям и обеспечения инвентаризации компонентов ИТ-инфраструктуры.
Автоматизация процесса повышения осведомленности по ИБ на базе Security Vision оказалась в центре внимания Алексея Голдбергса, заместителя генерального директора компании Infosecurity. Он говорил про связку между SOC, сервисами и процессами повышения осведомленности. Необходимость повышать осведомленность сотрудников в вопросах ИБ, в частности, отражена в международных и российских стандартах в области ИБ. И в целом это разумно, учитывая статистику инцидентов, произошедших по вине пользователей, умышленных и неумышленных. Но стандартные методы, такие, как бумажные инструкции или составленная на их базе компьютерная программа, не приносят желаемого эффекта. Вместо полновесных тренингов необходимы короткие автоматизированные курсы, основанные на практике.
«Используя систему дистанционного обучения в связке с SOAR-системой можно реализовать более интересные сценарии, автоматизировать повышение осведомленности – так, например, как мы сделали это у себя в SOC. Используя разные сценарии автоматизации, вместо того, чтобы обучать всех всему и сразу, без контекста, тратя на это много времени, мы можем реализовать процесс своевременный, привязанный к событиям или действиям сотрудников», – резюмировал спикер.
Эксперты «Ростелеком-Солар» представили взгляд компании на практико-ориентированное обучение аналитиков SOC. Инструментами киберучений становятся платформа, LMS, инфраструктура, набор сценариев атак, эмуляция бизнес-процессов.
«Классическая триада SOC – это процессы, люди и технологии, которые неразрывно друг с другом связаны. Например, вы можете закупить самые передовые SIEM, NTA, EDR, внедрить плейбуки по обработке инцидентов, регламенты – но если вы не озаботились обучением персонала, который не понимает, как встроить себя в этот процесс и работать с тем или иным СЗИ, SOC развалится», – начал инженер по развитию технических компетенций, «Ростелеком-Солар» Александр Одоевский.
«Мы строим у себя и предлагаем заказчикам обеспечение полного цикла киберустойчивости, где на всех этапах обязательно присутствуют люди. И если они не будут владеть методологией и инфраструктурой, будь она самая прекрасная, пользы от нее будет мало», – добавила руководитель отдела пресейла Национального киберполигона Анастасия Глушкова.
Бизнес-лидер команды Standoff Дмитрий Ким рассказал о внутренних процессах одноименных киберучений. Киберполигон Standoff начал развиваться в 2016 году: тогда появился революционно новый формат – борьба экспертов по взлому и защите за критически важные объекты виртуального города.
«На данный момент от города мы перешли к большой инфраструктуре, которая представляет из себя целое государство с отраслями – транспортной, нефтяной, электроэнергетической, банковской. Мы решили пойти неординарным путем: на эту виртуальную инфраструктуру зовем настоящих хакеров, тех, кто реально умеет пентестить, кто реально хочет все векторы до конца развивать. Таким образом тем SOC-командам, которые к нам приходят играть на стороне защитников, мы дали возможность "пощупать" настоящий хакерский трафик», – отметил спикер.
.png)