SOC-форум

SOC-форум

11.11.15 состоялся SOC-форум , посвященный построению и развитию центров мониторинга ИБ в России. Всю повестку мероприятия можно описать тремя словами: SOC/SIEM, ГосСОПКА, Финцерт.


name='more'>
Вход для интеграторов был платный, для клиентов бесплатный. Интеграторам делали скидки, если они приводили на мероприятие своих клиентов, поэтому баланс интеграторов/клиентов/регуляторов на мероприятии был близок к идеальному. Организация мероприятия так же оказалась на высоте, всё было видно/слышно, места были (хотя залы и были почти забиты), рекламных докладов было минимум.

SOC/SIEM

По-всей видимости, термин SOC (Security Operational Center) уже прижился в лексиконе отечественных ИБшников, что нельзя сказать про его значение. Под SOC'ом участники рынка сейчас понимают совершенно разные процессы и услуги. Исторически, SOC рос вокруг SIEM, поэтому многие (например, Solar Security) считают SOC  "глазами и ушами", SIEM'ом на аутсорсинге, системой, в задачи которой входит забрать гигабайты логов и вернуть дашборд "7 инцидентов за сутки" со светофорчиками.

Лютиков (ФСТЭК) и Алексей Лукацкий считают, что SOC должен аутсорсить ещё и ответственность за ИБ в рамках тех услуг, которые предоставляет. Пропустили атаку - возвращайте деньги за услугу. Это, казалось бы, очевидное требование приведёт, по-моему мнению, SOC'и в тупик: финансовые риски сделки вырастут, маржа станет непрогнозируемой, SOC'и начнут репортить по всякому поводу лишь бы снять с себя ответственность и т.д. Лучший (единственный) гарант качества SOC'а - это его репутация и экспертиза.

ЦБ, ПТ и Касперский понимают SOC в более широком смысле как систему управления безопасностью, включающую в себя обнаружение, реагирование и предотвращение  инцидентов ИБ. Самой важной (и недооценённой) частью SOC'а являются люди. От их экспертизы целиком и полностью зависит качество и скорость работы SOC'а, а главная функция SOC'а - сконцентрировать профильную экспертизу организации в одном месте, усилить её за счёт синергии и не дать рассосаться в "мирное время" между инцидентами ИБ. Так как "мирное время" у заказчика значительно дольше, чем у специализированных компаний, то целесообразно отдавать услуги SOC'а на аутсорсинг - у интегратора/вендора значительно больше шансов собрать и сохранить сильную команду.
Возможно поэтому Артём Сычов (ЦБ) поделился успешным опытом аутсорсинга банковской ИБ "по 382-П" во внешний SOC (Solar Security). Случай беспрецедентный и революционный.

Немного удивили меня 2 вещи:
1. Директора Информзащиты и Solar Security попросили регуляторов поднять штрафы в области ИБ и усилить надзор. А как же свободный рынок?
По мнению регуляторов и вендоров о свободном рынке ИБ говорить рано: пряник мал и размер кнута должен это компенсировать.
2. Компания "Перспективный мониторинг" - дочка Инфотекса, которая прославилась тем, что закупала малварь от HackingTeam для ФСБ, предлагает услуги по защите от сетевых атак. А для государственной малвари в сигнатурах, видимо, сделано исключение..

Важный элемент экспертизы SOC'а - Threat Intelligence (разведка внешних угроз). Популярные источники информации об угрозах - хакерские форумы (у Газпромбанка так), платные фиды Касперского об активности киберпреступников (Финцерт их покупает и информирует банки), западные автоматические фиды угроз (у Алексея Лукацкого в презентации большая подборка).

В конце рассказа про SOCи и SIEM хочу привести два слайда из презентации Антона Карпова (Яндекс), с которыми я полностью согласен.

Здесь SOC/SIEM бесполезен. Большая часть внедрений SIEM не успешна именно по этой причине.

SOC требует высокой зрелости процессов ИТ, и чтобы отдать анализ событий безопасности на аутсорсинг, нужно этот анализ вначале построить.


Документ от SANS про организацию SOC'а с красивыми картинками.

ГосСОПКА

Указ Президента N 31c положил начало государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (то есть СОПКА должна была быть СОПЛКА, но что-то последний акроним не прижился..).

За создание СОПКИ отвечает 8 центр ФСБ. Региональные подразделения ФСБ не участвуют (это плохо.. такая экспертиза пригодилась бы и в регионах). Питаться событиями СОПКА будет от сети ведомственных центров мониторинга и центров мониторинга ОГВ, от gov-cert  и Финцерта, от корпоративных SOC'ов. Как частные СОКи будут взаимодействовать с СОПКОЙ совсем не ясно, ждём закон о критической инфраструктуре, который обяжет крупные частные компании заниматься ИБ и контактировать с СОПКОЙ.

ФСБ разослала письмо по ведомствам с требованием предоставить план создания ведомственных СОПОК. Конкретных требований нет, но все ТЗ на СОПКИ нужно согласовывать с 8 центром. Видимо поэтому все крупные интеграторы и вендоры засуетились с сертификацией западных решений (HP ArcSight, IBM Qradar) и разработкой собственных (некоторые из таких решений - всё тот же Qradar с ArcSight'ом, распространяемые по партнерским программам white label ). Однако эта поляна, по-моему мнению, плотно занята уже MaxPatrol SIEM. Об этом отчасти говорит тот факт, что главный доклад про ГосСОПКУ был у Бориса Симиса (Positive Technologies), который даже отвечал на вопросы из зала про ГосСОПКу вместо представителя ФСБ :). В общем, рынок у MaxPatrol SIEM будет, главное, чтобы сопки, всё-таки, не оказались курганами )


FinCERT

Он же Финцерт, или центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Задача Финсерта - собирать информацию об инцидентах ИБ в банках, предупреждать, по возможности, о готовящихся либо типовых атаках и обеспечивать взаимодействие банков и правоохранительных органов в ходе расследования инцидентов. Работа с пострадавшими физ.лицами в настоящий момент не планируется.

Штат Финцерта небольшой (по моей информации там ещё и половина - девушки!), количество банков участников Финцерта - 80 (правда обратная связь от банков практически отсутствует), количество отработанных инцидентов исчисляется всего десятками, но уже есть существенные результаты работы Финцерта - предупреждена DDoS атака, ускорены "посадки и приземления" киберпреступников по словам Руслана Стоянова (Касперский), что круто.

Информацию Финцерт принимает от всех через интернет-приёмную ЦБ или на почту fincert@crb.ru (PGP неофициально поддерживается). Если какой-то банк не желает реагировать на информацию о дыре - напишите письмо в Финцерт, должны помочь.


Общий вывод от мероприятия - тема SOC/SIEM/CERT/CSIRT для индустрии интересная, но на плато продуктивности ещё не вышла, поэтому раздувается, в основном, маркетологами вендоров и интеграторов. Серьезный толчок должны дать регуляторы, главное, чтобы бумажный вектор совпал с практическим.

SOC - это новая "безопасность АСУ ТП"!
Alt text

Артем Агеев

root@itsec.pro:~#