Некоторые впечатления от SOC-Форума v.2.0 “Практика противодействия кибератакам и построения центров мониторинга ИБ”, прошедшем в г.Москве 16 ноября 2016г.
Наблюдение 1: В докладах форума упоминание терминов “SOC” и “SIEM” распределилось примерно поровну, то есть SOC, как правило, не может существовать без SIEM, хотя на форуме приводился пример реализации SOC-а без SIEM.
Гром не грянет, мужик не перекрестится (Русск. пословица: Беспечный человек не сделает необходимого заранее, прежде, чем его не вынудят к этому обстоятельства)
Основной вывод после выступлений заказчиков, внедривших у себя SOC, решение о необходимости создания центра реагирования на инциденты принималось после случаев крупных инцидентов в этих компаниях. Киберпреступления по-прежнему являются драйверами развития отрасли ИБ.
Совершено невероятной историей поделился один банк из конца списка TOP-150.
В феврале 2015 года в результате кибератаки произошел взлом торгового терминала банка, и злоумышленники, посредством модификации информации, провели ряд несанкционированных операций на ММВБ. В итоге это привело к сильным колебаниям курса рубля в течение 14 минут, пока длилась атака и финансовым потерям банка.
Но невероятность истории не в этом. Спустя полтора года, на нынешнем SOC-Форуме выступает начальник отдела обеспечения ИБ этого банка с докладом “Эволюция в SOC”. Из доклада следует, что банк не только выполнил требования СТО БР:
-прежде всего разобрался с тактическим и стратегическим улучшениями СОИБ и преодолел дистанцию, начиная, очевидно, с "нарисованного" уровня соответствия СТО БР до рекомендованного реального уровня 4 или 5. Теперь банк, по словам руководителя ИБ, стремится придерживаться международных стандартов и “лучших практик”: COBIT, ITIL, ISO/IEC 27000.
-но этого банку показалось мало, он ещё и SOC построил, и команду 24х7 (чего им там мониторить то - банк имеет 23 офиса в 9 небольших городах, в основном, в Республике Татарстан и в Казани – очевидно, ТОТ САМЫЙ торговый терминал),
-а кроме этого создал и обосновал понятный бизнесу KPI.
А ларчик просто открывался (Русск. пословица: типа всё очевидно)
Служба ИБ банка после ТОГО инцидента занялась управлением осведомленностью пользователей и научилась общаться с бизнесом (наверное, в банке не только ИБ-начальник сменился, но и весь менеджмент банка).
А факторы успеха службы ИБ банка до смешного тривиальны:
-акционеров успокоили повышением степени непрерывности бизнеса, предоставив результаты испытаний
-менеджмент банка остался доволен соблюдением бюджета (а мы то, дураки, с какими-то непонятными ROI, ROA носимся!
-регуляторы (РКН и ЦБ) удовлетворились результатами своих проверок банка
-сотрудники резко снизили свои обращения в тех.поддержку и не заикаются больше о повышении привилегий (не были админами на своих компьютерах, нечего и начинать!).
То есть история из разряда, кто был ничем, тот станет всем (в плане процессов и технологий). Очевидно, что немаловажную роль в наведении порядка в банке сыграло и территориальное отделение ЦБ РФ по Республике Татарстан (боязнь санкций со стороны регулятора).
Наблюдение 2: Порадовало, что Александр Виноградов (КБ “Златкомбанк”) в своем докладе выделил не только сильные, но и слабые стороны Антидроп-клуба, которые практически совпали с сформулированными здесь .
Наблюдение 3: Понравился в одном докладе слайд с логами, в котором оказалось много закрытой информации и, в результате, весь слайд состоит из заретушированных полей (как бы подтверждение того факта, что отчеты, формируемые SIEM-системами, очень трудны в восприятии).
Наблюдение 4: Наиболее трезвая оценка развития SOC-ов на форуме, как мне кажется, прозвучала от Янкина Андрея (“Инфосистемы Джет”): “Если оценивать развитие SOC-ов по 5-бальной системе, то сейчас можно поставить 1, ну, максимум - 2”, “о SOC v.2.0 говорить несколько преждевременно, скорее это SOC v.1.0 на другом уровне зрелости”.
Так что зрелость растёт! Главное, чтобы в дряхлость не превратилась…
