30 марта, 2018, BIS Journal №1(28)/2018

SOC-FORUM 2017


Воробьева Анна

корреспондент (BIS Journal)

Как отечественные SOCи держат цифровую оборону

Что помогло российским кредитно-финансовым организациям устоять против мощнейших кибератак? Будет ли введено лицензирование центров ГосСОПКА? В чем причина низкой эффективности современных SOC? Взаимодействие с госструктурами: что нас ждет? Эти и многие другие вопросы обсуждались на SOC-форуме 2017 «Практика противодействия кибератакам и построения центров мониторинга ИБ», проходившем в ноябре в Москве.

Факты о SOC-Forum:

  • За 3 года количество участников выросло в 4 раза!
  • SOC-Форум — единственная в России конференция, полностью посвящённая вопросам создания и эксплуатации центров мониторинга и реагирования на инциденты информационной безопасности;
  • SOC-Forum 2017 - самая масштабная конференция такого формата: 38 докладов, 9 сессионных заседаний, 23 выставочных стенда ведущих российских и мировых организаций по противодействию кибератакам;
  • Государственные регуляторы выступили с узконаправленными докладами и представили собственные стенды;
  • Среди участников – ИТ-компании, кредитно-финансовые организации, промышленные и образовательные структуры, операторы связи;
  • На Форуме присутствовали свыше 50 СМИ! Как специализированные, так и ведущие российские медиа.

«КИБЕРБЕЗОПАСНОСТЬ – ПРОДУКТ ВЗАИМОДЕЙСТВИЯ»

На фоне прочих конференций, связанных с ИБ, коих в России ежегодно происходит не один десяток, SOC-Forum 2017 выделяется качественным контентом и представительностью. Среди участников представители регуляторов и главы служб кибербезопасности крупных кредитно-финансовых организаций, а именно: заместитель начальника Центра ФСБ России Игорь Качалин, заместитель директора ФСТЭК России Василий Лютиков, заместитель начальника ГУБиЗИ Банка России Артем Сычев, руководитель службы кибербезопасности Сбербанка Сергей Лебедь, заместитель генерального директора компании «Информзащита» Максим Темнов и др.

Особого внимания заслуживает пленарная часть, охватившая наиболее острые вопросы SOC-сферы. Ход дискуссии направляли и задавали неудобные вопросы генеральный директор Solar Security Игорь Ляпунов и главный редактор BISA Олег Седов.

На неловкие паузы и молчание времени не было. Участники рассказали о построении качественных SOC, обсудили массовые вирусы-шифровальщики, от которых пострадали как государственные, так и коммерческие структуры. Говорилось и о том, что череда массовых атак позволила выявить реальную готовность информационных систем банков, телеком-операторов и самих регуляторов к критическим ситуациям.

По мнению выступавших, основная проблема, которая может поставить под удар безопасность любой организации — это, прежде всего, «человеческий фактор».  При этом речь идет не только о сотрудниках, открывающих подозрительные файлы, но и о ИБ-специалистах, которые, к примеру, вовремя не обновили систему. Кроме того, таким же «фактором» может стать и руководство организации, не уделяющее соответствующего внимания системам киберзащиты. Тем не менее все согласились, что в этом году ситуация значительно меняется к лучшему. И немаловажную роль тут играет само государство.  В частности, по словам Игоря Качалина, позитивные перемены сулит ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации», который был принят в июле 2017 года. При этом представитель ФСБ России заверил, что уже в ближайшее время будут приняты дополнительные законы, развивающие ИБ в более динамичном ритме.

Неоднократно отмечалось, что и с технической, и с организационной стороны есть все, чтобы обеспечить современный уровень киберзащиты и свести ущерб к минимуму или вообще исключить его. Артем Сычев рассказал о взаимодействии Банка России и ГосСОПКА, благодаря чему достигнута высокая скорость реагирования на угрозы: «В Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) скорость обработки каждой угрозы в среднем составляет от 40 до 90 минут». Также представитель регулятора отметил, что сегодня SOCи являются реальным инструментом, способным помочь в борьбе с киберинцидентами.

По словам Сергея Лебедя, специалисты Сбербанка «стали видеть все атаки в реальном времени, своевременно принимать решения. В качестве показателя эффективности могу сказать, что от компьютерных атак простои банка в этом году были ноль минут… Мы видели попытки атак на какие-то элементы нашей инфраструктуры, но не центральной».

Конечно же, остается много вопросов, поскольку пока SOC все еще находится в стадии становления. «На сегодняшний день приходит только понимание того, что мы закладываем в SOC. Ещё не существует открытых процессов, подобных ITSM, ITIL в области ИБ и операционного управления безопасностью, поскольку мы пока не готовы. Пока мы пытаемся понять, как управлять этим, что такое операционная безопасность, что такое управление на стратегическом уровне. Современный SOC, с точки зрения технологий, это набор информационных систем (SIEM, Threat Intelligence-платформы), системы мониторинга и средства защиты. Однако пока они не связаны между собой, и главный вопрос состоит в том, как объединить все эти компоненты», - продолжил руководитель службы кибербезопасности Сбербанка.

Конечно, пленарная дискуссия только разбудила аппетит к теме, хотелось копнуть еще глубже во время пресс-брифинга. Но, не знаю, к счастью или к сожалению, эта часть мероприятия оставила больше вопросов, чем ответов. Наверное, поэтому все ожидания переориентировались на тематические сессии.

SOC В РОССИИ: ОТ ТЕОРИИ К ПРАКТИКЕ

Тематическое меню сессий порадовало и даже поставило в тупик, уж очень сложно было выбирать между тремя параллельными потоками. В итоге, во всех залах не осталось ни одного свободного места.

Рассказать все, о чем удалось узнать, в коротком репортаже невозможно, поэтому остановлюсь на том, что особенно запомнилось. Сегодня SOC – это часть общего процесса управления кибербезопасностью наравне с управлением рисками, контролем утечек информации и управлением доступом. Большинство российских компаний, занимающихся построением SOC-центров, развивают эти процессы в рамках единой стратегии обеспечения информационной безопасности.

Большинство выступавших рассказывали о всевозможных вариантах решения текущих и будущих проблем ИБ и демонстрировали свои технологии и предложения, позволяющие повысить эффективность SOCа. Свой выход предложили в SolarSecurity.  К примеру, интегратор проводит с заказчиком краткое исследование-инвентаризацию в формате бизнес-интервью, чтобы понять, как выглядит инфраструктура, что реально «болит», где хранится самое важное, где возможны проблемы. Данный подход позволяет не только понять систему работы организации, но и определить какие еще нужны подсистемы, кроме базовых. Параллельно подключаются стандартные подсистемы и накладывается карта сети, а также сценарии для получения статистики. Какой результат? Уже через месяц SOC начинает видеть только то, что хочет выявлять.

Много выступлений были посвящены опыту эксплуатации центров мониторинга. Даже дилетанты в области SOC смогли уйти отсюда с приличным багажом полезной информации. К примеру, заместитель начальника управления безопасности и защиты информации РосФинМониторинг Николай Белобров отметил, что соблюдение основных условий успешного внедрения SOC (компетенция, коммуникация, ответственность) позволит создать прозрачную и контролируемую систему, способную реагировать на атомарные инциденты безопасности.

Неоднократно обсуждался вопрос: строить собственный SOC или подключаться к внешней структуре? Так, в первом случае, заказчику всегда необходим быстрый старт, а интегратор готов выполнить проект за 3-5 лет. В итоге – в проигрыше все: «у нас нет SOC ни своего, ни внешнего».

Бывает и по-другому – внешний SOC запускает огромное количество ненужных сценариев. С чем это связано? Интегратор не видит цели, «лупит из пушки по воробьям», потому что сам заказчик не компетентен в том, что выбирает, не уверен в своих решениях.

Выступления ИБ-экспертов свидетельствуют: темпы развития киберзащиты в России связаны не только с новыми нормативными актами и законами, но и с общим осознанием того, что информационной безопасностью нужно заниматься серьезно, системно выстраивая процессы. Иначе есть риск не только потерять инфраструктурные элементы, но и понести реальные финансовые убытки. 

Из выступлений представителей госструктур стало понятно, что государство тоже думает и продвигает не только меры по борьбе с киберугрозами, но разрабатывает механизмы, позволяющие укреплять сферу ИБ, совершенствовать и строить что-то новое. Так, о деятельности центров ГосСОПКА и регулировании работы центров мониторинга киберинцидентов рассказал представитель ФСБ России Андрей Раевский. В рамках его доклада были четко обрисованы все практические шаги по построению центров ГосСОПКА, охарактеризованы ближайшие нововведения, необходимые для реализации ФЗ-187.

Конечно, насколько полезными и практичными стали озвученные предложения и инициативы, мы сможем судить спустя время, и скорее всего, об этом мы поговорим на SOC-Forum 2019…

СТЕНДЫ, СТЕНДЫ, СТЕНДЫ…

Пристальным вниманием присутствующих пользовались демонстрационные стенды. Впервые свои инициативы по информационной безопасности презентовали государственные структуры: ГосСОПКА, ФСТЭК, ФинЦЕРТ Банк России. Приятно, что здесь можно было подробно пообщаться по интересующим вопросам, получить полезные материалы. К примеру, на стенде ФСБ России выдавали диски с методическими рекомендациями по ГосСОПКА, которых, кстати, в свободном доступе нет.

PositiveTechnologies и SolarSecurity презентовали совместное решение - систему управления инцидентами и взаимодействия с главным центром ГосСОПКА, а также программно-аппаратный комплекс, позволяющий создавать данные центры в минимальные сроки. Группа экспертов «Информзащиты» представила обновленный функционал SOC.

В общем, демонстрационная зона была не менее интересна, чем экспертные дискуссии: представленные ИБ-решения и услуги привлекли даже самых продвинутых и требовательных посетителей.

Если говорить в целом, то форум в очередной раз продемонстрировал серьёзное отношение к вопросам информационной безопасности в стране и понимание, в том числе и государством, того, какие проблемы необходимо решать прямо сейчас. И хотя методы работы регуляторов порой вызывают определённые опасения как среди специалистов, так и у рядовых пользователей, готовность быстро реагировать на угрозы и обсуждать свои действия на подобных мероприятиях следует воспринимать скорее в положительном ключе.