Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Про SOC.  Круглый стол заказчиков, вендоров и интеграторов

Сергей Рысин, 26/01/21

Ведущий: Сергей Рысин, эксперт по ИБ

Участники:
  • Роман Ванерке, технический директор АО “ДиалогНаука”
  • Тимур Зиннятуллин, директор Центра киберустойчивости ACRC группы компаний Angara
  • Илья Кондратьев, заместитель директора департамента ИБ АМТ-ГРУП Виктор Куратов, руководитель отдела поддержки продаж компании ESET Иван Лопатин, технический эксперт АО “ДиалогНаука”
  • Максим Павлунин, руководитель центра мониторинга Angara Professional Assistance
  • Руслан Рахметов, генеральный директор Security Vision
  • Всеслав Соленик, директор Центра экспертизы R-Vision
  • Ксения Темникова, к.э.н., доцент кафедры “Информационная безопасность” Московского политехнического университета, эксперт ООО “Профконсалт ИСМ”, консультант в области систем менеджмента информационной безопасности; систем менеджмента непрерывности бизнеса, Thomas International (РРА)
  • Никита Цыганков, руководитель направления внедрения средств защиты информации АО “ДиалогНаука”
  • Алексей Юдин, Директор центра мониторинга ISOC, Infosecurity a Softline company

Первые заказчики всегда имеют приоритет

Маркетинговые материалы, рекламирующие то или иное решение, всегда выглядят красиво, но после внедрения заказчик начинает сталкиваться с реальностью. Основное достоинство любого ИБ-сервиса – это качество услуг, оказываемых заказчику как раз после внедрения.

Главное, что требуется заказчику, – это быстрое решение проблем, существующих в данный конкретный момент. Часто возможностей SOC для этого не хватает. И выходит, что заказчик приобретает не решение с конкретным функционалом, а сервис донастройки используемого решения.

У команды, предоставляющей этот сервис, на начальном этапе могут быть очень качественные маркетологи и сырое решение, не приспособленное ко всему спектру реальных задач. Но именно работа команды, действующей после маркетологов и продаж, фактически формирует продукт, которым пользуется конечный потребитель. И конечный потребитель формирует продукт под себя, подчас независимо от того, что продавали маркетологи.

Первые заказчики всегда имеют приоритет в реализации своего видения функциональности SOC.

Комментарии экспертов

Алексей Юдин, Infosecurity a Softline company: Первые заказчики формируют основы сервиса, но не всегда имеют приоритет в реализации своих идей. Видение сервиса фиксируется в договоре между участниками, все дальнейшие доработки идут с учетом дорожной карты сервиса и взаимоотношений с заказчиком. Причем неважно, первый это заказчик или десятый, сервис может изменяться со временем в зависимости от потребностей любого заказчика. Мы, например, ко всем заказчикам относимся одинаково.

Никита Цыганков, АО "ДиалогНаука": Безусловно, первые заказчики обладают определенными привилегиями, ведь благодаря их вере и поддержке возможно дальнейшее развитие предоставляемой услуги, ее качества. Тем не менее каждый заказчик имеет свой собственный набор процессов и решений, функционирующих в его инфраструктуре. Все это формирует уникальность среды реализации SOC, и тут дело даже не в сырости и универсальности решения. Формирование SOC – это всегда процесс, а не конечная задача. Именно поэтому крайне важны процессы адаптации и донастройки после внедрения.

Илья Кондратьев, АМТ-ГРУП: Тезисы автора справедливы и могут относиться к ситуации, когда заказчик рассчитывает на универсальное решение, которое подходит всем, – это все равно что купить обувь, отталкиваясь от обещаний маркетологов, и рассчитывать, что она будет "как раз". В реальности при подключении нового клиента к сервису еще до заключения контракта целесообразно проводить сбор информации о его инфраструктуре и процессах и формировать предлагаемый пакет услуг с учетом этих ограничений. Ведь каждая инфраструктура уникальна, и даже зрелый коммерческий SOС с большим количеством клиентов не может быть заранее готов ко всем на свете особенностям.

Всеслав Соленик, R-Vision: Я бы сказал так: первые заказчики формируют стандартные подходы к решению задач. У сильного вендора в команде есть хороший менеджер продукта, который определяет логику развития решения с учетом обратной связи от заказчиков, но все же исходя из лучших практик, опыта экспертов и универсальных механизмов. Он понимает, что любая функциональность или сервис в целом должны быть полезны не одному заказчику, а всем. Поэтому важно оценивать не только функциональность универсального решения, но и наличие высококвалифицированной команды, способной его настроить и внедрить.

Виктор Куратов, ESET: Зачастую маркетологи стараются донести до заказчика ту информацию о решении, которую он хочет услышать, даже когда предлагаемое решение не обладает указанным функционалом. Поэтому процесс выбора решения должен быть правильно проработан как со стороны заказчика, так и со стороны вендора, включать демонстрации, тестирования, пилотный проект. Все это позволит добиться понимания реальных возможностей сервиса и усваиваемости решения инфраструктурой организации.

Руслан Рахметов, Security Vision: Сейчас на рынке ИБ мало компаний, которые выигрывают только за счет усилий маркетологов и продавцов. Тот, кто не оказывает качественные услуги и не создает работающий, функциональный продукт, скорее всего, быстро покинет бизнес. Вместе с тем продукты и услуги естественным образом адаптируются под требования заказчиков, особенно крупных. Но важно иметь гибкую архитектуру и конструкторский подход в предлагаемом продукте, чтобы не отклоняться от долгосрочных целей и при этом дать заказчику возможность реализовать свои задумки и уникальные для него алгоритмы работы, а не просто быть потребителем купленных продуктов.

Ксения Темникова, Московский политех: В фокусе внимания – команда, которая профессионально знает специфику ИБ-сервиса, конкретный функционал, способы донастройки используемого решения (не только техническую часть, но и коммуникации с заказчиком). Командам важно иметь системные знания об ожиданиях потребителя, мониторинге и измерении удовлетворенности потребителя. Для этого можно применять итерационный подход к доработке продукта, опираться на рекомендации ISO 10004:2018.

 

Важен личный контакт с командой SOC

Если мы используем собственный SOC, наша задача – сформировать команду.

А если используется коммерческий SOC, то мы обязаны быть на одной волне с тем коллективом, время которого мы приобретаем. В SOC критически важно взаимодействие команд сервиса и заказчика. Только в этом случае получится симбиоз, который позволит и SOC расти вместе с нами, и нам решить задачи с помощью этого инструмента.

Мы используем тот SOC, который используем, только потому, что у нас получилось наладить личный контакт с его сотрудниками за счет их правильных Soft Skills, и это дорогого стоит.

Вы можете быть техническим гением и построить коммерческий SOC с суперфункциональностью. Но ваш сервис получит только тех потребителей, с кем удастся наладить взаимопонимание и личный контакт, потому что, помимо профессиональных качеств, нужно уметь наилучшим образом модифицировать SOC под клиента.

Например, часто возникает необходимость нормализации нового класса событий. SOC может пойти по пути "это не входит в спектр решаемых задач". А можно пойти навстречу, сохранить клиента и заодно усовершенствовать свой SOC.

Комментарии экспертов

Илья Кондратьев, АМТ-ГРУП: Важно сбалансированно сочетать технические компетенции и коммуникативные навыки членов команды SOC. Что касается сервиса модификации под клиента, то это действительно очень важно, особенно в части адаптации средств автоматизации работы аналитиков SOС, что, в свою очередь, повышает скорость и качество их работы, и, как следствие, растет удовлетворенность заказчика.

Никита Цыганков, АО "ДиалогНаука": Конечный результат любого проекта всегда зависит не только от качества предоставляемой услуги и скорости реализации, но и от способности слышать заказчика. Только при работе сообща возможно достижение всех целей и задач построения SOC. Однако на потребности по той или иной доработке необходимо смотреть через призму необходимости такой доработки и ее пользы прежде всего для самого заказчика.

Алексей Юдин, Infosecurity a Softline company: Конечно, важно слышать друг друга и говорить на одном языке, чтобы быстро решать конкретные задачи, важно получать обратную связь и настроиться с командой на одну волну.

Виктор Куратов, ESET: Поддержу, что Soft Skills важны, но нужно не впадать в крайности и уметь соблюдать баланс. В сегменте SOC нужен индивидуальный подход к нуждам заказчика и профессиональная команда, которая сможет предоставить лучшее решение.

Руслан Рахметов, Security Vision: Безусловно, гибкость при решении задач и готовность подстроиться под ожидания и потребности клиентов являются очевидными преимуществами. Но стоит задуматься о целесообразности подобного подхода: инвестиции должны рано или поздно окупаться. Что действительно критически важно – это умение наладить конструктивные и доверительные отношения со всеми сотрудниками, принимающими участие в работе SOC, как со стороны исполнителя, так и со стороны клиента.

Ксения Темникова, Московский политех: Для коммерческих SOC вопрос о взаимодействии команд сервиса и заказчика является критически важным. Целесообразно проводить обучение и учения по согласованным программам с учетом требований серии стандартов ISO 270XX, стандарта ISO 22301. Это позволит командам быть на одной волне, в том числе в понимании актуальных технических и социально-психологических аспектов информационной безопасности, модифицировать и усовершенствовать функциональность SOC под клиента.

 

Зачем вам SOC

Когда я говорю, что у нас есть SOC, часто в ответ слышу: а зачем он тебе нужен? Мол, это просто выброшенные деньги.

Но ведь у вас в компании установлена круглосуточная система охраны? На машине стоит сигнализация? А почему информация, с которой вы работаете, не нуждается в таком же мониторинге?

Часто топ-менеджеры не думают об информационной безопасности до тех пор, пока не потеряют деньги. Деньги можно потерять, просто заплатив мошенникам выкуп за пароль в случае шифрования инфраструктуры. Но даже если удастся получить пароль, вряд ли получится восстановить все данные, а это уже чревато остановкой части бизнес-процессов и большими косвенными потерями.

Лоскутная информационная безопасность является большой проблемой, причем именно в России, где, к сожалению, есть грустная тенденция совершенствования механизмов обхода требований законодательства.

Есть и проблема "бумажной" безопасности. Например, бывшие военные могут хорошо наладить ИБ-делопроизводство, но зачастую не сумеют построить качественную архитектуру информационной безопасности. Для этого необходимо знание инструментария и понимание, какие классы инструментов перекрывают те или иные риски.

Кто-то просто готов отдать функциональность SOC подрядчику, желая вывести ответственность за пределы компании. Такой заказчик не хочет разбираться в происходящем внутри вверенных ему ИТ-систем и планирует просто откупиться от проблемы. А в случае возникновения инцидента начинается мучительное выяснение, кто виноват.

Комментарии экспертов

Руслан Рахметов, Security Vision: На мой взгляд, создавать собственный SOC целесообразно в случае, если поток боевых инцидентов диктует необходимость их обработки в непрерывном режиме силами выделенного подразделения. И при условии, что в компании уже создана зрелая система управления кибербезопасностью и отлажены ИБ-процессы, которые станут надежной основой эффективно работающего SOC. А аутсорсинг услуг SOC может пользоваться спросом в SMB-сегменте или при осознанной потребности в разделении части киберрисков в соответствии с договорными обязательствами.

Алексей Юдин, Infosecurity a Softline company: Проводя параллель с физической безопасностью, отмечу, что каждый заказчик сам выбирает, строить ли собственную систему физической безопасности, нанимать и обучать людей или отдать сервис в ЧОП. Ровно так же обстоят дела и с сервисом SOC.

Виктор Куратов, ESET: SOC – достаточно молодое направление в ИБ по сравнению с другими решениями. Еще несколько лет назад, приходя на SOC-форум, я видел работу команд маркетологов без каких-либо реальных Use Case и Best Practice. Сегодня уже видно развитие данного направления и то, что все больше и больше компаний смотрит в эту сторону.

Илья Кондратьев, АМТ-ГРУП: Отмечу опасность заблуждения о выводе ответственности за пределы компании в случае подключения к коммерческому SOC. Например, ответственность за инциденты ИБ сохраняется как за субъектом КИИ, так и за оператором ПДн. Просто переложить ответственность на подрядчика, оказывающего услугу SOС, не получится.

Ксения Темникова, Московский политех: Остановка части бизнес-процессов, потеря доступа к информационной системе может привести к потере бизнеса. Чтобы информационная безопасность не была "лоскутной", деятельность SOC может развиваться на основе системы менеджмента информационной безопасности (ISO/IEC 27001:2013) и системы менеджмента непрерывности бизнеса (ISO 22301:2019). Процессы мониторинга и реагирования на киберугрозы входят в топ-3 глобальных рисков для бизнеса, важно соответствовать требованиям международных стандартов. При аудите SOC могут применяться иммерсивные технологии.

Всеслав Соленик, R-Vision: На мой взгляд, SOC в широком смысле нужен в качестве инструмента достижения основной цели информационной безопасности – снижения рисков и ущерба от инцидентов. Есть целый ряд процессов и систем по предотвращению инцидентов, но они все равно рано или поздно происходят и приводят к последствиям самого разного масштаба. Как раз для выявления таких ситуаций и управления ими, включая снижение последствий, и нужен SOC.

 

SOC как вершина пирамиды

SOC – это надстройка над всей информационной безопасностью, которая, как спрут, собирает данные со всей инфраструктуры, анализирует и выдает в конечном итоге уже готовые знания. Это пограничник, который ходит по периметру компании, подходит к каждому узлу, выясняет ситуацию и выдает консолидированный отчет главе безопасности.

SOC может стоять только над зрелой информационной системой, где и ИТ-, и ИБ-ландшафты соединены в единое целое.

В небольших системах SOC точно не нужен. Когда количество элементов ИТи ИБ-инфраструктуры не превышает 20 единиц, можно обойтись системой лог-менеджмента.

Когда система становится более зрелой, когда серверов становится больше, количество обрабатываемых в системе данных стремительно растет. В этом случае необходимо думать не только о логировании событий, но и об их корреляции.

А с некоторого момента этого роста – там, где над данными нужно думать, – ответить на вопросы о том, что происходит, сможет только SOC.

SOC – это вершина ИБ-пирамиды.

Комментарии экспертов

Всеслав Соленик, R-Vision: Это популярное мнение, но важно, что именно мы называем SOC. По факту даже отдел из трех человек, вручную обрабатывающих инциденты – это уже Security Operations Center. Но если под SOC подразумевать выделенное ИБ-подразделение с процессами высокого уровня зрелости и автоматизацией, то, конечно, такое решение требует и затрат, и компетенций, а значит целесообразно только при больших масштабах инфраструктуры. При этом зрелость процессов является не показателем потребности в SOC, а скорее критерием его качества.

Алексей Юдин, Infosecurity a Softline company: SOC нельзя считать вершиной ИБ, но он является важной частью процессов ИБ, сильно зависящей от смежных процессов. Замечу также, что даже для небольшой, но высококритичной инфраструктуры в 20 серверов обычного логирования может оказаться недостаточно.

Тимур Зиннятуллин, группа компаний Angara: На практике SOC может начаться и с трех инженеров, защищающих небольшую инфраструктуру, но предоставляющих оценку актуальных угроз и рисков, информацию о злоумышленниках и их активностях, позволяющую самим защитникам и их организации снизить возможный ущерб благодаря более корректному принятию решений. А в теории – с пяти понятных, но непростых шагов: выбора "свой или outsource", набора услуг и задач, полномочий, ситуационной осведомленности, PDCA по всем направлениям деятельности.

Никита Цыганков, АО "ДиалогНаука": Несомненно, задумываться о создании SOC следует, только достигнув определенного уровня зрелости компании в выстраивании процессов управления и реагирования на инциденты, повышении компетентности персонала и пр.

Илья Кондратьев, АМТ-ГРУП: Соглашусь, что с ростом обслуживаемой инфраструктуры эффект от SOС становится все более ощутимым. При этом становится целесообразным применение средств автоматизации процессов, за счет чего появляется возможность концентрации аналитиков на узкоспециальных задачах.

Роман Ванерке, АО "ДиалогНаука": На мой взгляд, автор немного запутался. С одной стороны, корректен вывод о том, что если инфраструктура невелика, то корреляция не нужна, а скорее нужен грамотный ИБ-специалист, который сможет закрыть большую часть вопросов. С другой стороны, у автора прослеживается некорректная мысль, что SOC = SIEM (корреляция). SOC – это не только SIEM, но и множество других подсистем информационной безопасности, каждая из которых выполняет свою задачу в рамках реализованных в SOC процессов (киберразведка, аналитика, расследование и т.д.).

Руслан Рахметов, Security Vision: Не будем забывать, что SOC – это люди, процессы и технологии. Безусловно, для решения ограниченного числа задач в малых масштабах подойдет и система лог-менеджмента, и SIEM. Но по достижении определенного уровня сложности процессов ИБ в SOC, в частности при обработке киберинцидентов, нужны будут уже IRP/SOAR-решения. Можно сказать, что показателем зрелости центра SOC будет осознанная потребность в таких продуктах, позволяющих существенно ускорить обработку инцидентов и упростить решение рутинных задач ИБ. У нас есть авторская точка зрения на развитие систем автоматизации информационной безопасности, где SIEM – это начальная точка зрелости и впереди большой путь развития, вплоть до автоматического контроля и роботизации ИБ и ИТ.

Ксения Темникова, Московский политех: Команда SOC выдает готовые знания, этими знаниями необходимо управлять. То есть в системе финансовой и нефинансовой мотивации команды SOC важно предусмотреть участие каждого члена этой команды в формировании системы управления знаниями. Это критически важно как для удержания тех, кто сейчас работает в SOC, так и для формирования кадрового резерва.

 

SOC и ситуационные центры

Есть такая проблема: поскольку мы работаем над информационной безопасностью, мы не видим очередь событий из систем физической безопасности – видеокамер, входных турникетов, периметровой защиты и т.д.

Например, событие прохода человека в офис по чужой карточке не отразится в SOC. А ведь эта информация крайне важна для целей информационной безопасности. Именно эту брешь используют системы физического пентеста.

Еще один пример. Нынешняя эпидемиологическая ситуация подталкивает к тому, что необходимо централизованно мониторить температуру у персонала. На сегодняшний день температура измеряется градусниками или бесконтактными термометрами, но это отнимает время и предполагает прямой контакт с людьми. Эту же задачу можно было бы решить с помощью тепловизоров с последующей передачей результатов в SOC, дополняя информацией о ношении человеком маски.

Вендорам и маркетологам, которые продвигают только информационную безопасность, нужно выйти из зоны комфорта и переквалифицировать базовую систему, добавив в SOC элементы классического ситуационного центра.

В свое время ситуационный кризис-центр, созданный министерством атомной энергии, умел решать весь спектр задач, и в части информационной, и в части ситуационной, физической безопасности.

Комментарии экспертов

Алексей Юдин, Infosecurity a Softline company: Я считаю, что сравнивать подобные вещи некорректно, так как ситуационные центры не заменяют собой полноценный сервис SOC. Ситуационный центр решает больше задачи физической безопасности и только отчасти затрагивает вопросы ИТ и ИБ.

Никита Цыганков, АО "ДиалогНаука": К сожалению, многие специалисты ИБ упускают физическую безопасность из вида. Как следствие, угрозы, стоящие на стыке физической и информационной безопасности, остаются невыявленными, что ведет к возможным инцидентам. Одни и те же события, которые по отдельности не будут являться инцидентами, после корреляции от различных типов источников уже будут ими являться. Классический пример инцидента: событие аутентификации с учетной записью сотрудника на АРМ (события домена) при отсутствии самого сотрудника в здании офиса (информация от СКУД).

Ксения Темникова, Московский политех: Добавить в SOC элементы классического ситуационного центра 24 х 7 заставят конкуренция и требования зарубежных деловых партнеров.

Илья Кондратьев, АМТ-ГРУП: Современная SIEM-система, являющаяся ядром SOС, уже сейчас позволяет подключать самые разнообразные источники данных. И в этом направлении важно сохранить баланс, дабы не перегрузить SOС информацией о событиях, с которыми специалисты по ИБ все равно не смогут ничего сделать: например, информация о температуре у сотрудника слабо коррелирует с его действиями как пользователя ИТ-системы. Скорее, необходимо обеспечить агрегацию информации из SOС и отправку ее в том виде, который позволит ситуационному центру более эффективно выполнять свои функции.

Руслан Рахметов, Security Vision: Заведение в SOC разнородных событий от всего спектра источников в масштабной гетерогенной среде решается техническими средствами, которые получают и обрабатывают машиночитаемую информацию, будь то температура сотрудника или факт его прохода и присутствия на территории офиса. Современные SIEM/SGRC-решения интегрируются с системами СКУД, видеонаблюдения, специализированными системами телеметрии, выдавая информацию для аналитики в программное ядро SOC. IRP/SOAR-решения полноценно и автоматически отрабатывают сценарии реагирования.

 

Кадры для SOC

Многое упирается в подготовку кадров. Специалистов много, а работать некому, поэтому для того, чтобы найти человека на вакантную позицию, приходится провести собеседование больше чем с сотней человек! Иной раз знаний не хватает, другой раз эго кандидата не вмещается в условия работы.

Образовательной системе в части ИБ не хватает гибкости. Преподаватели зачастую рассказывают просто о классах систем, и то не обо всех. В результате выпускники толком не умеют работать ни в одной системе и не понимают, как и какие задачи эти системы решают.

В этом видна недоработка и самих SOC: они не идут в вузы готовить кадры для своих систем.

Комментарии экспертов

Всеслав Соленик, R-Vision: Личностные качества развиваются сложнее, чем компетенции. Знания можно нарастить, но человек редко меняется с точки зрения Soft Skills и отношения к работе. Опыт показывает, что готовых специалистов практически не бывает, их нужно выращивать, но это в итоге оказывается даже выгоднее. Ведь всегда есть определенная специфика организации, инфраструктуры, подходов и процессов. Нужно не бояться обучать людей, дотягивать до нужного уровня, брать на вырост и давать им задачи чуть выше текущей квалификации, стимулируя таким образом их развитие.

Максим Павлунин, Angara Professional Assistance: Действительно, ситуация с подготовкой кадров для подразделений SOC достаточно сложная. Вузы, как правило, не имеют в штате преподавателей с большим опытом работы в ИБ и, в частности, в подразделениях SOC, из-за чего не могут давать студентам актуальные знания по данному направлению. При этом технологии развиваются, появляются новые угрозы, усложняются системы защиты информации. Разрыв между фактическими знаниями выпускников и требованиями работодателей растет. Устранение данного разрыва невозможно без участия самих SOC. Для обеспечения потребностей в кадрах необходимо как сотрудничество с вузами для обмена практическим опытом, так и выстраивание внутренних программ обучения молодых специалистов.

Илья Кондратьев, АМТ-ГРУП: Согласен, кадровый голод в ИБ наблюдается уже давно, но тем не менее проблему надо решать. У нас, к примеру, есть многолетний опыт сотрудничества с вузами в части организации практики для студентов. И это дает свои плоды – многие практиканты приходят потом на работу: сначала на полставки, потом на полный день, и к моменту выпуска уже становятся способными выполнять "боевые" задачи, конечно, с обязательным наставничеством со стороны более опытных коллег. Кто-то из ребят трудится в проектных подразделениях, а кто-то в смене TAС и в SOC.

Руслан Рахметов, Security Vision: На помощь приходят технологии: оркестровка и автоматизация рутинных операций позволяют специалистам высвобождать время для развития и решения стратегических вопросов ИБ. Однако фундаментальные знания и практические навыки специалистам по-прежнему необходимы. В помощь подготовке кадров мы разработали авторский курс и лабораторные работы по дисциплине "Автоматизация процессов управления информационной безопасностью". Наши эксперты читают его в крупнейших профильных вузах.

Ксения Темникова, Московский политех: Подготовка кадров для SOC – это прежде всего целенаправленная работа с вузами, в которых развита проектная деятельность с первого курса. Наряду с этим большие возможности имеются в формировании программ дополнительного профессионального образования. Разработаны программы ДПО "Система менеджмента непрерывности бизнеса в соответствии с требованиями ISO 22301:2019 в условиях цифровизации", которая учитывает специфику SOC (объем 16 часов, 40 часов, 72 часа). Кроме того, создана специальная магистерская программа для обучения команд SOC в течение двух лет.

 

Редтиминг и ретроспективный анализ

Хороший SOC обязан проверять свою готовность и квалификацию редтимингом. Приведу случай из практики: в этом году мы проводили пентест информационной системы. SOC не был предупрежден о планируемом мероприятии и, обнаружив атаку, начал оперативно информировать нас о действиях пентестеров в информационной системе, вплоть до информации о создаваемых подключениях и движении пакетов.

После завершения пентеста собрались мы, пентестеры, специалисты SOC и провели ретроспективный анализ, сравнив действия и тайминг каждой из сторон. Такое взаимодействие должно быть поставлено на регулярную основу, ведь это позволяет SOC профессионально расти, а информационным системам оставаться защищенными.

Комментарии экспертов

Алексей Юдин, Infosecurity a Softline company: Мы согласны с тезисом о регулярности тестировании работы SOC, особенно когда тестирование проводится сторонними компаниями. Но следует учитывать, что SOC не всегда контролирует всю инфраструктуру организации, что в итоге может сыграть против него самого. Реальный анализ результатов такого тестирования показывает пробелы не только в сервисах SOC, но и в инфраструктуре заказчика и используемых мерах защиты.

Иван Лопатин, АО "ДиалогНаука": Как сказал один из наших заказчиков, "найм Red Team в штат – это лучшая покупка". "Пурпурные команды" повышают уровень любого SOC. Но следует учитывать, что необходимо использовать современные методы атак и эксплуатации уязвимостей, так как в Blue Team всегда несколько запаздывает развитие собственного контента и выявление угроз, и Red Team должны выступать важным катализатором развития SOC.

Илья Кондратьев, АМТ-ГРУП: Добавлю, что при регулярных мероприятиях подобного рода стоит приглашать различные команды пентестеров, чтобы реализовать большее разнообразие используемых технических и тактических приемов.

Ксения Темникова, Московский политех: Существуют методики проведения учений команды SOC и заинтересованных сторон с учетом требований ISO/IEC 27001:2013, 22301:2019, рекомендаций ISO 10004:2018 и лучших практик. Применение таких методик позволит отработать взаимодействие участников, команде SOC – профессионально расти, превращаясь в сплоченный, подготовленный и мотивированный коллектив, информационным системам – оставаться защищенными.

Руслан Рахметов, Security Vision: Без сомнения, киберучения, работа команд Red и Blue Team, анализ выученных уроков и последующее внесение изменений в процедуры реагирования на инциденты важны, как и любые тренировки. Не менее важно осознавать, что масштабные утечки и кибератаки происходят порой из-за простого несоблюдения базовых правил кибербезопасности. Поэтому не следует забывать о непрерывном совершенствовании системы управления ИБ, включая банальный патч-менеджмент, минимизацию полномочий, сегментирование сети и обучение сотрудников.

 

Темы:SOCЖурнал "Информационная безопасность" №5, 2020

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...