Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Второй день SOC-Форума: кадры решают все

21/11/19

Подошел к концу второй, завершающий день SOC-Форума – одного из крупнейших событий в сфере информационной безопасности, организованного ФСБ России и ФСТЭК России и проходящего при поддержке Банка России. Второй день мероприятия традиционно посвящен практическим аспектам деятельности SOC и собирает ключевых экспертов в этой сфере. Однако, что примечательно, в этом году через большинство докладов красной нитью проходила тема дефицита человеческих ресурсов и формирования кадрового резерва.

СОК-1

Программу открыла «АнтиПленарка» с участием Дмитрия Гадаря («Тинькофф Банк»), Владимира Дрюкова (Solar JSOC, «Ростелеком-Солар»), Алексея Лукацкого (Cisco Systems) и Муслима Меджлумова (BI.ZONE). Активная дискуссия экспертов, которую модерировал Алексей Качалин (Сбербанк), затронула сразу несколько самых полемичных вопросов, касающихся деятельности SOC: можно ли обойтись без центра мониторинга? Может ли существовать SOC без SIEM? Нужна ли первая линия? Дискуссии на эти темы породили ряд интересных выводов.

Например, участники «АнтиПленарки» сошлись в том, что первая линия – необходимая составляющая SOC, однако ее функции трансформируются: базовые задачи категоризации и приоритизации инцидентов автоматизируются, а аналитическая деятельность постепенно сущностно приближается ко второй линии.

Также, по словам участников дискуссии, практически все центры мониторинга частично они используют opensource-технологии. Однако, помимо определенных преимуществ, это требует серьезных ресурсов, непрофильных для деятельности SOC, для доработки и кастомизации ПО. Поэтому массового перехода центров мониторинга на свободное ПО в ближайшее время ждать не стоит.

В рамках сессии «SOC как сервис: практические кейсы» о своем опыте взаимодействия с центрами мониторинга рассказали представители HeadHunter, «Юнистрим» и «Юнипро». Сессию открыл Антон Юдаков (Solar JSOC, «Ростелеком-Солар»), который представил обзорный доклад, включающий различные кейсы взаимодействия с заказчиками и описал общий подход и методологию подключения компаний к услугам коммерческого SOC.

Виталий Терентьев (HeadHunter) отметил, что компания решила прибегнуть к услугам стороннего центра мониторинга, поскольку этот вариант оказался более экономически выгодным, а также позволил получить ИБ-компетенции, не наращивая собственный штат.

Сергей Коханько («Юнистрим») в ходе совместного доклада с Оксаной Васильевой (Angara Technologies) рассказал о том, что подключение сервисов мониторинга в рамках проекта заняло не больше месяца. Заказчик подчеркнул, что сервисы ACRC не только решают задачи информационной безопасности, но и предоставляют данные для нужд ИТ-службы банка.

В заключение тематической сессии Виктор Пенский («Юнипро») вместе с Антоном Юдаковым рассказали об опыте кастомизации сервиса, нацеленном на повышение скорости оповещения заказчика о критичных инцидентах: в течение 5 минут клиент получает информацию об атаке, в течение следующих 30 проводится дополнительное расследование для уточнения причин и выработки рекомендаций по реагированию.   

В рамках SOC-Форум 2019 вопросам кадрового обеспечения центров мониторинга была посвящена отдельная сессия, что само по себе иллюстрирует актуальность проблемы. Мария Сигаева («Ростелеком-Солар») поделилась практическими советами по выстраиванию взаимодействия с вузами и формированию микроклимата в территориально распределенной команде. По ее словам, компания уделяла много внимания данным направлениям деятельности еще до вхождения в «Ростелеком», и во многом именно это помогло сохранить и укрепить команду во время стремительного роста.

Александр Пушкин («Перспективный мониторинг») подчеркнул, что нехватка ИБ-специалистов сегодня является ключевой угрозой организациям. Однако не менее важным является повышение квалификации и аудит навыков. Александр Пушкин рассказал о том, как «Перспективный мониторинг» решает ее с помощью платформы Ampire для обучения специалистов заказчиков новым способам противодействия кибератакам.

В кадровом разрезе одной из часто обсуждаемых проблем является эмоциональным выгоранием сотрудников. Причинам этого явления и методам борьбы с ним посвятил свое выступление Сергей Злобин (СО ЕЭС). Ключевым «рецептом», помогающим справляться с этой проблемой, выступающий назвал переключение сотрудников на другие внутренние проекты в рамках их функциональных обязанностей.

В секции «SOC в промышленных предприятиях» ключевым стал доклад Яна Сухих (Schneider Electric), посвященный методологии создания защищенной АСУ ТП, которая включает использование продуктов со встроенными функциями ИБ, их безопасное внедрение, а также применение наложенных средств защиты. «Мы используем аутсорсинговый SOC, поскольку это помогает нам решать задачи кибербезопасности, в том числе в отношении устаревших систем, при нехватке кадров», – добавил он. Эту тему развил Владимир Карантаев («Ростелеком-Солар»), рассказавший о концепции zero-trust architecture, появившейся в АСУ ТП 10 лет назад.

Дмитрий Даренский (Positive Technologies) сообщил, что «несмотря на закупленный в промышленный сектор MaxPatrol SIEM и число активированных лицензий, опыт все же показывает, что практически ни одна АСУ ТП в системе мониторинга не подключена. Уровень экспертизы в промышленном секторе остается недостаточным, поэтому логичным шагом мы считаем перейти от поставок «конструкторов» к поставкам экспертизы».

Однако некоторые промышленные предприятия уже тестируют возможности центров мониторинга в сфере защиты АСУ ТП. Так, Евгений Баландин (ГК «Содружество») рассказал о проекте по привлечению Solar JSOC к обеспечению безопасности сегментов АСУ ТП на одном из предприятий Группы компаний. Помимо базовой работы по подключению сегмента потребовалась существенная адаптация логики и назначения сценариев инцидентов, была создана специализированная система визуализации. В дальнейших планах было обозначено масштабирование проекта как на другие площадки.

Завершением SOC-Форума стали две технические сессии, посвященные реагированию на инциденты и оценке эффективности SOC. С техническими докладами выступили Яна Анджелло (Angara Technologies), Алексей Кривоногов («Ростелеком-Солар»), Алексей Лукацкий (Cisco Systems), Кирилл Михайлов («Лаборатория Касперского») и Тимур Хеирхабаров (BI.ZONE).

Темы:Пресс-релизОтрасльSOC-Форум
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...