«Тренд Форума — взгляд на проблемы с разных сторон». Технический трек SOC-Форума 2022
Хотя «…в Национальный координационный центр по компьютерным инцидентам не поступала информация о компьютерных инцидентах, которые привели бы к катастрофическим или необратимым последствиям» (по словам замдиректора НКЦКИ Петра Белова на SOC-Форуме 2022), Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк, в рамках того же мероприятия сформулировал оценку прошедших с 24 февраля месяцев жизни отечественной цифровой экономики несколько иначе, хотя и не без известной доли дипломатичности: «95% крупных российских компаний не смогли эффективно отразить кибератаки, произошедшие в этом году».
Т. е. «пациент скорее жив, чем мёртв». Такая формулировка диагноза прозвучала в какой-то момент в известной сказке про Буратино, который, как мы знаем, в конце концов реализовал свою мечту, преодолев, однако, на этом пути многочисленные трудности и испытав многочисленные соблазны.
Если попытаться усмотреть некоторые аналогии между перипетиями упомянутой сказки и проблемами отечественной экономики, пытающейся «золотым ключиком» цифровой трансформации открыть «дверцу» в дивный мир масштабных маркетплейсов и микроскопических транзакционных издержек, то сегодня наступил тот самый момент, когда отечественному бизнесу пора помочь «выздороветь» и определиться с технологиями обеспечения безопасности использования этого самого «ключа».
Уместно заметить, что на SOC-Форуме 2022 прозвучал тревожный сигнал о том, что среди «айтишного» руководства корпоративного уровня есть ещё любители небезопасной ходьбы по граблям. В ходе блиц-интервью на сессии «Актуальные тренды угроз глазами заказчиков» на вопрос ведущего о готовности возобновить сотрудничество с зарубежными вендорами в случае готовности их раскаянного возвращения на рынок России, со стороны отвечающего прозвучали слова готовности простить и начать всё сызнова. Нет, конечно «изменники» должны быть наказаны рублём: интервьюируемой стороной было сформулированно условие возобновления сотрудничества на основе одногодичного (например) срока бесплатности услуг «возвращенцев». В этот момент на ум пришли строки известного шлягера Лисы Алисы и кота Базилио, но возможно интервьюируемая сторона не видела советского фильма про Буратино.
К счастью, на Форуме прозвучало и иное мнение.
Александр Шойтов, заместитель министра цифрового развития, связи и массовых коммуникаций РФ в своём выступлении на SOC-Форуме 2022 отметил, что это раньше собственникам информационных ресурсов требования в части ИБ предъявлялись, но их выполнение не контролировалось должным образом, ситуация пускалась на самотек, работал принцип «делай, что хочешь». «Сейчас такого нет и не должно быть. Должна быть совершенно другая система, сложно выстроенные отношения между регуляторами, компаниями ИБ, владельцами информационных ресурсов».
Контуры этой «другой системы» были очерчены в ходе регуляторного трека Форума, а возможности оперативного получения технической помощи в части доверенного оснащения департаментов информационной и кибербезопасности (ИКБ) средствами обнаружения, расследования и реагирования инцидентов были продемонстрированы в ходе пула TECH-сессий. В прошлом году этот раздел Форума именовался, похоже, техническим треком.
В этом году технический трек SOC-Форума представлял возможности и опыт лишь отечественных компаний и включал как доклады по опыту развёртывания платформенных решений для SOC, так и представление продуктов, которые помимо положительного опыта внедрения в составе платформ SOC уже получили одобрительные отзывы «просто» служб ИКБ (в качестве примера можно упомянуть доклад «Как технологии киберобмана помогают командам ИБ выявлять целевые атаки и расследовать инциденты», представленный компанией Xello).
Хотя на ряде «ибэшных» мероприятий отмечалось практически 100%-е «покрытие» отечественными продуктами потребностей современных департаментов ИКБ, в поле зрения технологического трека попала проблема возможной неудовлетворённости таких служб коммерческими предложениями. И в докладе ПАО Сбербанк «SBER NDR: Объять необъятное или разработка своей системы по детектированию и анализу сетевых атак» было рассказано, как вопрос был решён «инхаусной» разработкой.
Представитель компании Антифишинг напомнил о таком ресурсе служб ИКБ, как «внимательные сотрудники» и рассказал об инструментарии, который позволяет активировать этот ресурс. А руководитель SOC'а МТС поделился опытом того, как дополнительные инструменты для выявления инцидентов SOC может позаимствовать у ИТ-подразделений.
Представители компаний «Инфосистемы Джет» и «Ростелеком-Солар» представили подходы для анализа того, что в докладе «Инфосистемы Джет» было названо «полнотой покрытия SOC» («Как техники атакующих могут помочь оценить полноту покрытия SOC»). Доклад же «Ростелеком-Солар» назывался «Реагирование глазами Red Team».
Стартовал же технический трек SOC-Форума 2022 с сессии «Технологии угроз (взломов) 2022».
И уже первые доклады трека представили фактологию о защищённости отечественных компаний, которую экзальтированные слушатели могли бы назвать шокирующей, а вот видавшие виды докладчики просто описывали такими, например, фразами, как «Чуваки поставили файервол и забыли про него» (это про отсутствие обновлений) или «У чуваков в Интернете торчит эрдипи у которого пароль пять цифр».
Более литературные комментарии к ситуации были озвучены фразами «Плохое знание своей инфраструктуры (где какие приложения лежат, что торчит в Интернет)» и «По моим личным ощущениям 90% уязвимостей можно было бы легко избежать».
Уместно заметить, что эта интуитивная оценка хорошо «бьётся» с объективными данными зампредправления Сбербанка, приведёнными в начале этого материала.
В целом же материалы докладов «Примеры инцидентов и тенденции 2022» (Сергей Голованов, «Лаборатория Касперского») и «Почему простые приёмы хакеров до сих пор работают» (Александр Репин, Positive Technologies) могут, похоже, стать отличной заготовкой для доводки до ума «золотого ключика» ИКБ для российских компаний.
.jpg)
