«Мы можем полукапить по этому хэшу». SOC-Форум 2022 — об «экспертизе» и технологиях на страже кибербезопасности

22 ноября, 2022

«Мы можем полукапить по этому хэшу». SOC-Форум 2022 — об «экспертизе» и технологиях на страже кибербезопасности

На SOC-Форуме 2022 неоднократно и на разных площадках приводились объективные данные о напряжённости противостояния «меча» и «щита» в отечественном киберпространстве.

И если информация, представленная вице-президентом по ИБ ПАО «Ростелеком» Игорем Ляпуновым и зампредправления Сбербанка Станиславом Кузнецовым на реинкарнации «пленарки» Форума в виде «Интервью с лидерами бизнеса отрасли ИБ» позволяла без дипломатических экивоков интерпретировать происходящее как военные действия (острота которых притупляется лишь наличием ядерного инструментария сдерживания), то, например, упомянутые в докладе компании Positive Technologies (далее – PT) «Как не раздувать SOC» 1 млрд. ежедневных сообщений в корпоративном SIEM и 30 тыс. «алертов» – это, очевидно, информация более местечковая. Однако она наглядно демонстрирует, что анализ и отражение киберугроз даже для одной компании находится за пределами человеческих возможностей не только той полусотни реальных SOC-профессионалов (оценка, которая неоднократно упоминается в докладах PT для оценки российского потенциала ИБ), но и всего выпуска отечественных ВУЗов по «ибэшным» специальностям.

И не позволить довести дело уже при атаках политизированной киберорды до неконвенциональных технологий ответа сегодня могут лишь (или почти «лишь») технологии автоматизации рутинных процессов обнаружения и реагирования на угрозы.

Представитель PT на упомянутом «Интервью…» даже обострил это требование, подчеркнув назревшую необходимость замены в ряде случаев технологий автоматизации на технологии автоматики.

А его коллеги (и корпоративные, и по «цеху») на сессиях «Экспертиза SOC» и «Технологии SOC» обогатили этот комментарий конкретными примерами того, как автоматизация вкупе с процессами обогащения информации об атаке (а это, в свою очередь, требует «обогащения» технологий автоматизации технологиями Threat Intelligence) позволяет эффективно и почти в реальном времени эту атаку купировать или минимизировать её последствия. Уместно заметить, кстати, что на SOC-Форуме 2022 теме Threat Intelligence на службе в SOC'ах была уделена отдельная сессия в рамках сессии «Экспертиза SOC».

Упомянутые коллеги представляли хорошо известные ИТ-компании, давно подвизавшиеся на «ибэшном» направлении отрасли ИКТ или являющиеся «спин-оффами» известных игроков рынка информационных технологий. Помимо упомянутой PT, это были «Лаборатория Касперского», Bi.ZONE, «Перспективный мониторинг», Angara, «Ростелеком-Солар», «Информзащита», Security Vision, «Инфосистемы Джет», R-Vision, «Гарда Технологии».

Привести столь подробный список компаний, представивших доклады на сессиях «Экспертиза SOC» и «Технологии SOC», необходимо не для лишнего их упоминания, а лишь для того, чтобы наглядно продемонстрировать сколь велик набор стеков продуктов, которые позволяют автоматизировать и обогатить информацию о кибератаках в отечественных SOC'ах.

Да, некоторые компании используют отдельные компоненты разработки друг друга в стеках, стоящих на вооружении корпоративных центров кибербезопасности, но всё равно набор конечных комбинаций достаточно велик.

В рамках идеализированного представления о глобальном мирном сосуществовании и о рыночной конкуренции было бы интересно посмотреть на окончательный «топ» лучших платформ для SOC, но тревожная нестабильность нынешнего времени заставляет даже очевидных лидеров рыночной конкуренции говорить о необходимости консолидации ресурсов отечественных компаний. Об этом свидетельствует дополнение в ходе упоминавшегося «Интервью…» комментария представителя PT о платформенности современного автоматизированного инструментария SOC репликой Натальи Касперской о желательности совместной работы над разработкой требований к такой платформе и её «сборки» на основе лучших предложений отдельных компонент.

Пока же разнородность продуктовых линеек упомянутых выше компаний и «неоднородность» набора «компетенций» этих компаний приводит к тому, что сегодня можно выстроить разные платформы для «расширенного детектирования и реагирования» (Extended Detection and Response/XDR), которым предстоит противодействовать в значительной степени скоординированным проискам «коллективного киберзапада».

В этой ситуации в число проблем эксплуатации платформы конкретных SOC'ов следует включить и пресловутую «кадровую проблему», все грани которой удобнее обсуждать в рамках специальной публикации.

Здесь же уместно обратить внимание лишь на тот аспект, который сразу бросился в глаза при анализе программы SOC-Форума 2022 и уместность упоминания о котором окрепла в ходе знакомства с докладами. Речь идёт о терминах и определениях, которых следует придерживаться в отрасли и языке общения.

Примером «слабого» сигнала неблагополучия является использование слова «экспертиза» в наименовании сессии «Экспертиза SOC». Этот термин был бы уместен, если охватываемые этой сессией доклады рассказывали о проверках исполнения «ибэшных» нормативных документов, проведённых профильными регуляторами или, например, пожарными подразделением МЧС в части закреплённых за ним прав и обязанностей в сфере пожарной безопасности помещений, занимаемых SOC.

Но уместно ли использование словосочетания «экспертиза SOC» к докладам «От мониторинга к форензике и обратно» или «Как знание внешнего цифрового профиля компании помогает SOC»?

Хотя определённая польза в ненормативном использовании слова «экспертиза» и создании нового термина «экспертиза SOC» в дополнение к «технологии SOC» есть, позволяя на одной площадке рассказать об опыте коммерческого SOC в использовании технологии High Stakes EDR, а на другой – о EDR не для «чайников».

Более «сильным» сигналом является использование ядрёного печатного (на слайдах) и непечатного (в речи) слэнга в формате смешения «французского с нижегородским». Пример последнего приведён в заголовке материала.

Достаточно распространённым является мнение о том, что одним из инструментов решения «кадровой проблемы» в ИТ может стать привлечение действующих специалистов компаний к преподавательской деятельности. Но для этого уже сейчас имеет смысл пропагандировать и поощрять использование русского языка в докладах.

А «до кучи» и оформление иллюстративного материала (который мог бы стать основой учебного пособия) в традициях хорошо апробированной культуры, одним из элементов которой является аннотация доклада.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.01.2023
Хакер получил доступ к «чёрному списку» пассажиров Управления транспортной безопасности США
27.01.2023
Хакеры атакуют британских политиков и журналистов
27.01.2023
Деятельность Hive пресечена в результате совместной операции 13 стран
27.01.2023
«Магнитка» пройдёт при поддержке НКЦКИ
26.01.2023
Минцифры создаст Центр цифровой криптографии
26.01.2023
Процессы операционной надёжности должны обеспечивать не только ИБ и ИТ, но и менеджмент некредитных финансовых организаций
26.01.2023
Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка
26.01.2023
Всё о приватности — теперь в «Кибрарии»
26.01.2023
В Новосибирске UserGate в качестве разработчика первого отечественного щита от кибератак пригласили к участию в областном мультимедийном проекте
26.01.2023
FLAMAX и КГАСУ представили Рустаму Минниханову совместную разработку в сфере водоснабжения и систем безопасности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных