Специалисты Solar JSOC рассказали в НИУ ВШЭ о качественном переходе от SIEM к SOC

Руководитель направления аутсорсинга информационной безопасности (ИБ) Solar Security Эльман Бейбутов и старший аналитик Solar JSOC провели семинар для студентов первого и второго курсов магистерской программы «Управление информационной безопасностью» Школы бизнес-информатики Национального исследовательского университета Высшей школы экономики.

Эльман Бейбутов рассказал, как перейти от применения SIEM-систем только в качестве инструмента мониторинга к созданию в организации полноценного ситуационного центра – SOC (Security Operations Centre). Также он представил слушателям самые популярные SIEM-системы, подробно остановился на их архитектуре и задачах, которые они решают, а также коснулся возможности расширения их функций для получения максимального эффекта.

В рамках семинара были затронуты самые острые вопросы: какими компетенциями должна обладать служба ИБ для эффективного внедрения и эксплуатации SIEM-системы как центрального звена передачи информации в SOC? При каком уровне зрелости организация понимает необходимость аутсорсинга ряда функций ИБ? Какие риски появляются перед организацией в случае передачи такого чувствительного компонента как мониторинг ИБ во вне? Отвечая на вопросы, Эльман поделился интересными примерами из своего профессионального опыта, а также рассказал о практике заключения соответствующих соглашений между клиентом и MSSP-провайдером (SLA), предусматривающих определенный уровень оказания сервиса.

Продолжил выступление на семинаре старший аналитик Solar JSOC с рассказом о том, как проходит внедрение SIEM-систем на примере решения HP ArcSight. Отдельное внимание было уделено средствам и методам сбора информации из источников о событиях ИБ, Дмитрий рассказал, как происходит выгрузка данных и ввод их в SIEM-систему, о специализированных программах-коннекторах, которые служат «мостиком» для взаимодействия между источником данных и ядром системы. В завершении участники семинара обсудили варианты реального применения (use cases) SIEM для нужд ИБ.

Петр Александрович Баранов, доцент ВШЭ и преподаватель курса, отметил: «В целом за этот день слушателям предоставлено большое количество актуальной и детальной информации о том, как сейчас производится работа с данными о состоянии ИБ в современных компаниях. Понимание роли инфраструктурных систем и сервисов ИБ в организации – важный шаг на пути становления специалистов ИБ, которыми мы видим наших будущих выпускников».

Solar Security является активным партнером кафедры Информационной безопасности НИУ ВШЭ, специалисты компании читают лекции в рамках обучающих курсов.