Обзор московского семинара Gartner по ИБ (часть 2)

Обзор московского семинара Gartner по ИБ (часть 2)
В своей второй презентации на семинаре Gartner Антон Чувакин пытался вкратце рассказать о выпущенном недавно исследовании по SOCам (несколько десятков страниц).

наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:


и построили новую архитектуру, где в центре находится набор технологий для мониторинга - мониторинг логов на базе Splunk, мониторинг сетевого трафика на базе Cisco Stealthwatch, мониторинг активности по ПК на базе Cisco AMP for Endpoints и ряда других технологий.


При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).


На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.

Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.

Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT, увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.

Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.
Alt text

Нидерландах из-за уязвимостей в Microsoft Exchange в магазинах исчез сыр, а в США для устранения последствий взлома сотен компьютеров пришлось привлечь даже ФБР. Смотрите 13 выпуск security-новостей на нашем Youtube канале.