Второй день SOC-Форума: кадры решают все

Подошёл к концу второй, завершающий день SOC-Форума - одного из крупнейших событий в сфере информационной безопасности, организованного ФСБ России и ФСТЭК России и проходящего при поддержке Банка России. Второй день мероприятия традиционно посвящен практическим аспектам деятельности SOC и собирает ключевых экспертов в этой сфере. Однако, что примечательно, в этом году через большинство докладов красной нитью проходила тема дефицита человеческих ресурсов и формирования кадрового резерва.

Программу открыла "АнтиПленарка" с участием Дмитрия Гадаря ("Тинькофф Банк"), Владимира Дрюкова (Solar JSOC, "Ростелеком-Солар"), Алексея Лукацкого (Cisco Systems) и Муслима Меджлумова (BI.ZONE). Активная дискуссия экспертов, которую модерировал Алексей Качалин (Сбербанк), затронула сразу несколько самых полемичных вопросов, касающихся деятельности SOC: можно ли обойтись без центра мониторинга? Может ли существовать SOC без SIEM? Нужна ли первая линия? Дискуссии на эти темы породили ряд интересных выводов.

Например, участники "АнтиПленарки" сошлись в том, что первая линия - необходимая составляющая SOC, однако ее функции трансформируются: базовые задачи категоризации и приоритизации инцидентов автоматизируются, а аналитическая деятельность постепенно сущностно приближается ко второй линии.

Также, по словам участников дискуссии, практически все центры мониторинга частично они используют opensource-технологии. Однако, помимо определенных преимуществ, это требует серьезных ресурсов, непрофильных для деятельности SOC, для доработки и кастомизации ПО. Поэтому массового перехода центров мониторинга на свободное ПО в ближайшее время ждать не стоит.

В рамках сессии "SOC как сервис: практические кейсы" о своем опыте взаимодействия с центрами мониторинга рассказали представители HeadHunter, "Юнистрим" и "Юнипро". Сессию открыл Антон Юдаков (Solar JSOC, "Ростелеком-Солар"), который представил обзорный доклад, включающий различные кейсы взаимодействия с заказчиками и описал общий подход и методологию подключения компаний к услугам коммерческого SOC.

Виталий Терентьев (HeadHunter) отметил, что компания решила прибегнуть к услугам стороннего центра мониторинга, поскольку этот вариант оказался более экономически выгодным, а также позволил получить ИБ-компетенции, не наращивая собственный штат.

Сергей Коханько ("Юнистрим") в ходе совместного доклада с Оксаной Васильевой (Angara Technologies) рассказал о том, что подключение сервисов мониторинга в рамках проекта заняло не больше месяца. Заказчик подчеркнул, что сервисы ACRC не только решают задачи информационной безопасности, но и предоставляют данные для нужд ИТ-службы банка.

В заключение тематической сессии Виктор Пенский ("Юнипро") вместе с Антоном Юдаковым рассказали об опыте кастомизации сервиса, нацеленном на повышение скорости оповещения заказчика о критичных инцидентах: в течение 5 минут клиент получает информацию об атаке, в течение следующих 30 проводится дополнительное расследование для уточнения причин и выработки рекомендаций по реагированию.

В рамках SOC-Форум 2019 вопросам кадрового обеспечения центров мониторинга была посвящена отдельная сессия, что само по себе иллюстрирует актуальность проблемы. Мария Сигаева ("Ростелеком-Солар") поделилась практическими советами по выстраиванию взаимодействия с вузами и формированию микроклимата в территориально распределенной команде. По ее словам, компания уделяла много внимания данным направлениям деятельности еще до вхождения в "Ростелеком", и во многом именно это помогло сохранить и укрепить команду во время стремительного роста.

Александр Пушкин ("Перспективный мониторинг") подчеркнул, что нехватка ИБ-специалистов сегодня является ключевой угрозой организациям. Однако не менее важным является повышение квалификации и аудит навыков. Александр Пушкин рассказал о том, как "Перспективный мониторинг" решает ее с помощью платформы Ampire для обучения специалистов заказчиков новым способам противодействия кибератакам.

В кадровом разрезе одной из часто обсуждаемых проблем является эмоциональным выгоранием сотрудников. Причинам этого явления и методам борьбы с ним посвятил свое выступление Сергей Злобин (СО ЕЭС). Ключевым "рецептом", помогающим справляться с этой проблемой, выступающий назвал переключение сотрудников на другие внутренние проекты в рамках их функциональных обязанностей.

В секции "SOC в промышленных предприятиях" ключевым стал доклад Яна Сухих (Schneider Electric), посвященный методологии создания защищенной АСУ ТП, которая включает использование продуктов со встроенными функциями ИБ, их безопасное внедрение, а также применение наложенных средств защиты. "Мы используем аутсорсинговый SOC, поскольку это помогает нам решать задачи кибербезопасности, в том числе в отношении устаревших систем, при нехватке кадров", - добавил он. Эту тему развил Владимир Карантаев ("Ростелеком-Солар"), рассказавший о концепции zero-trust architecture, появившейся в АСУ ТП 10 лет назад.

Дмитрий Даренский (Positive Technologies) сообщил, что "несмотря на закупленный в промышленный сектор MaxPatrol SIEM и число активированных лицензий, опыт все же показывает, что практически ни одна АСУ ТП в системе мониторинга не подключена. Уровень экспертизы в промышленном секторе остается недостаточным, поэтому логичным шагом мы считаем перейти от поставок "конструкторов" к поставкам экспертизы".

Однако некоторые промышленные предприятия уже тестируют возможности центров мониторинга в сфере защиты АСУ ТП. Так, Евгений Баландин (ГК "Содружество") рассказал о проекте по привлечению Solar JSOC к обеспечению безопасности сегментов АСУ ТП на одном из предприятий Группы компаний. Помимо базовой работы по подключению сегмента потребовалась существенная адаптация логики и назначения сценариев инцидентов, была создана специализированная система визуализации. В дальнейших планах было обозначено масштабирование проекта как на другие площадки.

Завершением SOC-Форума стали две технические сессии, посвященные реагированию на инциденты и оценке эффективности SOC. С техническими докладами выступили Яна Анджелло (Angara Technologies), Алексей Кривоногов ("Ростелеком-Солар"), Алексей Лукацкий (Cisco Systems), Кирилл Михайлов ("Лаборатория Касперского") и Тимур Хеирхабаров (BI.ZONE).

www.itsec.ru