В первый день зимы, 1 декабря 2020 года, состоялся самый смелый и грандиозный телепроект в российской отрасли информационной безопасности — SOC-Форум Live. Гибридный проект задал новую планку для онлайн-мероприятий — по количеству участников и уровню их вовлечения в события в студии, по реализации оригинальных форматов и интерактивов для всех участников. На онлайн-платформе форума и в соцсетях СМИ трансляцию смотрели свыше 9 тысяч человек.

Участников форума ждали 2 канала вещания, более 17 часов эфира, 26 докладов и 4 дискуссии, а также множество интерактивных форматов — викторины, опросы, квизы и разминка не только для ума, но и для тела.

Говорят первые лица

Программу первого канала открыла ключевая дискуссия «Новый мир и безопасность». Участие в ней приняли высокопоставленные представители регулирующих органов и крупнейших коммерческих банков.

По словам модератора дискуссии вице-президента по информационной безопасности ПАО «Ростелеком» Игоря Ляпунова, изменение мира произошло не только под ударами пандемии.

«Мне кажется необходимым — и это цель нашей сегодняшней дискуссии, — чуть глубже в эту проблему посмотреть. Ведь на фасаде, да, у нас пандемия, но за фасадом есть гораздо более сложные и глубокие процессы. Где-то это может быть экономическая турбулентность, где-то — внешнеполитические вызовы, а в ряде случаев это действительно шаг в серьезную цифровизацию, который обострил, высветил новые угрозы и риски, о которых мы сегодня поговорим. Но чтобы понимать, куда двигаться дальше, нам нужно понять, а что же произошло, что является драйверами, факторами развития», — отметил во вступлении Игорь Ляпунов.

Так, первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев рассказал об уроках пандемии для финансовой отрасли, которые всем пришлось очень быстро выучить. Первым из них стало то, что «поспешность выведения на рынок финансовых продуктов, поспешность выведения на рынок сервисов без учётов требований безопасности, без учёта самых элементарных мер, которые должны соблюдаться в части программирования, приводит к тому, что [злоумышленники] очень быстро находят "дырку"». Второе — при быстром переходе на удалённый режим работы большинство кредитно-финансовых организаций не подумали о том, насколько персональные данные клиентов, которые так или иначе попадают на удалённые рабочие станции сотрудников, защищены. И третье — Банку России следует существенно пересмотреть приоритеты в вопросах, которые он регулирует и которыми он управляет с точки зрения ИБ.

Также Артем Сычев заявил, что требования по безопасности логичнее и правильнее передавать в распоряжение отраслевых центров, имея при этом некоторый координирующий орган, представляющий интересы государства.

А заместитель председателя правления ПАО «Сбербанк» Станислав Кузнецов в ходе дискуссии высказался за ужесточение наказания за киберпреступления, отметив, что экспертное сообщество уже давно заявляет о необходимости такого шага. Кроме того, он поделился своим видением того направления, в котором будет развиваться SOC. По его словам, к 2023 году SOC станет «кибер-фьюжн-центром..., который будет управлять разными видами рисков, и не только киберрисками: информационными, рисками управления процессами по смежным направлениям деятельности из других бизнес-направлений».

SOC-cast

Наиболее информативным и богатым практическим содержанием стал доклад руководителя центра компетенций по анализу защищённости «Лаборатории Касперского» Александра Зайцева, который рассказал о проведении симуляции целевых атак (Red Teaming). Эксперт объяснил, как выстроить процесс Red Teaming, чем эта практика отличается от пентеста и киберучений, и дал пошаговую инструкцию к проведению такой симуляции.

Выступления руководителя отдела расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» Игоря Залевского и директора экспертного центра безопасности Positive Technologies Алексея Новикова были интересны с другой стороны — оба рассказали о проектах, реализованных за минувший год, и полученном за это время опыте.

Так, Игорь Залевский подробно описал несколько случаев, когда компании становились жертвами главных киберугроз 2020 года: инсайдеров, шифровальщиков и APT-группировок.

Алексей Новиков подвёл итоги The Standoff — соревнований на киберполигоне, прошедших незадолго до SOC-Форума Live . По словам эксперта, соревнования наглядно показали, что командам нападения («злоумышленникам») достаточно 4 шагов для того, чтобы реализовать тот или иной бизнес-риск в инфраструктуре. На каждую атаку в среднем уходит всего 19 минут, и даже когда команды защитников «выбивали» хакеров с их позиций, спустя 27 минут те восстанавливали контроль над захваченным объектом.

«Купите Дмитрия Гадаря!»

Самой ожидаемой и непредсказуемой сессией всего форума стала АнтиПленарка 2:0, по условиям которой участники должны были «прожаривать» своих коллег, громко не соглашаться с их тезисами и спорить до хрипоты. Трек действительно получился жарким, особенно после выступления CISO Тинькофф Банк Дмитрия Гадаря, который пламенно убеждал коллег в том, что SIEM-ам больше не место в SOC-ах. Пожалуй, именно эта фраза вызвала бурю эмоций и больше всего споров, искры которых перенеслись впоследствии и на выступления других участников сессии. По словам ведущего, «Дмитрий порвал аудиторию, в худшем случае — помял». На всём протяжении АнтиПленарки зрители подливали масла в огонь дискуссии, присылая свои едкие комментарии, а под занавес голосованием большинства выбрали Дмитрия Гадаря не только самым жаропрочным выступающим (50,96% голосов), но и лучшим прожарщиком (48,19% голосов).

Выступление Алексея Новикова из Positive Technologies также вызвало шквал споров и остроумных замечаний. Один из основных посылов: «Регуляторы молодцы! Сейчас, мне кажется, им надо пойти дальше — прийти и прям зарегулировать operations, а ещё все SOC-и жёстко проверять, каждый год, чтобы посмотреть, действительно этот SOC может что-то обнаруживать, действительно ли он в состоянии не допустить реализацию бизнес- рисков».

Алексей Новиков выдвинул и ещё один «горючий» тезис: если компания хочется называться лидером, она обязана делиться экспертными знаниями. В ответ коллеги «разродились» серией шуток, связанных с именем Дмитрия Гадаря и его экспертными знаниями. Ведущие подытожили обсуждение ироничной максимой о том, что «надо покупать не средства защиты, а Дмитрия Гадаря».

Важным выводом из споров на АнтиПленарке стала мысль о том, что в теме SOC уже давно пора всё стандартизировать и формализовать. То есть после 6 лет дискуссий на SOC-Форуме пора переходить к созданию рабочей инструкции, по которой смогут функционировать подавляющее большинство российских SOC-ов.

«Штатный тролль-комментатор первого канала трансляции», бизнес-консультант по ИБ Cisco Алексей Лукацкий, подводя общий итог сессии, также отметил, что отрасли уже давно нужна некая стандартизация в сфере SOC. Но это должны быть не малопонятные документы от регуляторов, а свод практик от непосредственных участников процесса.

Аутсорсинг

Тема аутсорсинга красной нитью проходила через весь форум. Но ярче всего она проявилась в выступлениях трека «Клиентский опыт построения и эксплуатации SOC-ов» на первом канале. Так, начальник управления ИБ ПАО «ГТЛК» Сергей Рысин описал ситуацию, в которой при наличии инструментария мониторинга угроз ощущалась острая нехватка квалифицированных кадров для ведения такой работы. Решать проблему, как сообщил Сергей Рысин, можно путём найма персонала (если есть такая возможность), либо покупкой услуг Managed SIEM, либо же переходом на аутсорсинговый SOC. Последний вариант и был выбран ГТЛК.

Начальник управления средствами защиты ИТ-инфраструктуры «Трубной металлургической компании» (ТМК) Антон Кокин рассказал об организации мониторинга ИБ в своей компании. В ТМК выбрали гибридную модель SOC, при которой часть функций была развёрнута на собственной инфраструктуре, а другая часть было возложена на аутсорсинговый SOC.

На «второй кнопке» SOC-Форума Live тема аутсорсинга также постоянно возникала в выступлениях докладчиков. Доклады под названиями «За чем приходят, когда ищут себе SOC» («Ростелеком-Солар») и «Есть ли жизнь между собственным и аутсорсинговым SOC’ом? Третья альтернатива», а также выступления представителей компаний Fortinet, R-Vision, КРОК и «Инфосистемы Джет» неумолимо внушали зрителям идею о полном или хотя бы частичном аутсорсинге услуг SOC.

Практика SOC

Второй канал вещания SOC-Форума Live почти полностью был посвящён практике SOC. Аудитория внимательно выслушала доклад представителя НИП «Информзащита» о том, как составлять техническое задание на услуги по созданию SOC, и выступление специалиста Cisco, посвящённое работе SOC-а при различных сценариях «удалёнки».

Необходимость в разъяснении основ написания ТЗ объясняется просто: за последние 30 лет было фактически утрачено понимание того, что техническое задание — это краеугольный камень жизненного цикла ИТ-системы, а не дань бремени «комплаенса». А актуальность доклада от Cisco связана с массовым переходом на «удалённую работу», которая пока не спешит уходить в прошлое. Проблемы кибербезопасности, возникшие в результате перевода большого количества подчинённых в «домашние офисы», требуют новых знаний, которыми со зрителями поделился докладчик.
Не менее своевременным стал доклад представителя НКЦКИ о сервисах в интересах участников ГосСОПКА. Спикер разъяснил, каким образом регуляторные предписания разделяются на обязательные требования и на рекомендации для добровольного исполнения, которые направлены на борьбу с общими киберугрозами.

Промышленный SOC

Среди многообразия тем и форматов отдельного внимания заслужил Круглый стол «Промышленный SOC. Необходимость, функции, векторы развития», на котором разгорелась нешуточная дискуссия. Пропонентами создания промышленного центра мониторинга инцидентов ИБ выступили модератор — представитель компании «Ростелеком-Солар», а также эксперт CIGRE и специалист «Лаборатории Касперского». А руководитель практики промышленной кибербезопасности Positive Technologies и руководитель ИБ «Трубной металлургической компании» оказались в противоположном лагере, высказав коллегам ряд основательных возражений. В обсуждении участвовали и зрители — они направляли модератору вопросы и комментарии, а также голосовали в опросе на тему перспективных направлений развития промышленного SOC.