SOC-Форум: ключевые процессы и проблемы в сфере информационной безопасности с точки зрения регуляторов, вендоров и бизнеса21.11.2019
19-20 ноября в Москве в пятый раз прошла конференция - SOC-Форум 2019, одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России при поддержке Банка России. Генеральным партнером мероприятия выступила компания «Ростелеком-Солар». Центральной темой пленарной дискуссии, давшей официальный старт SOC-Форуму, стала роль центров мониторинга в современной системе информационной безопасности РФ. Мнениями по этому вопросу обменялись Игорь Качалин (ФСБ России), Виталий Лютиков (ФСТЭК России), Артём Калашников (ФинЦЕРТ Банка России), Сергей Лебедь (ПАО Сбербанк) и Денис Бережной (Департамент информатизации и связи Краснодарского края). Регуляторы прокомментировали результаты анонимного опроса среди заказчиков о том, как изменилась отрасль за 5 лет. Усложнение атак, рост дефицита специалистов, принятие 187-ФЗ – все это, с одной стороны, помогло объяснить бизнесу важность информационной безопасности, с другой – поставило перед игроками рынка новые вызовы. Виталий Лютиков сообщил, что количество объектов КИИ за год увеличилось почти в 2 раза до 45410, база данных выросла до 23545 записей. Оценивая итоги 5 лет, Игорь Качалин рассказал, что с момента вступления в силу закона заключено 42 соглашения о взаимодействии с НКЦКИ, еще 192 организации запросили методические рекомендации и находятся в стадии принятия решения о создании центров мониторинга. Игорь Ляпунов, вице-президент ПАО «Ростелеком» по информационной безопасности, генеральный директор «Ростелеком-Солар»: «В отличие от того, что было раньше, законодательство в сфере безопасности КИИ и ГосСОПКА впервые предъявляет требования к организации процесса выявления, реагирования и расследования инцидентов, а не к наличию сертифицированных средств защиты. Это важный шаг, отражающий общее понимание рынка, что создание абсолютно неуязвимого периметра – это утопия, от которой пора отказаться. Ключевой задачей сегодня является раннее выявление и локализация кибератак с тем, чтобы принять необходимые меры противодействия до того, как злоумышленники нанесут ущерб организации». На более прикладном уровне эта тема получила развитие в рамках трека «Технологии SOC». Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков рассказал о том, как действия современных злоумышленников остаются незамеченными для средств защиты. Атакующая сторона непрерывно совершенствуется, мгновенно используя новые уязвимости, создавая сложные методы атак, среди которых вредоносное ПО, способное обходить антивирусы и песочницы, бесфайловое ПО, использование систем туннелирования при взаимодействии с C&C-серверами. Владимир Бенгин, директор департамента поддержки продаж компании Positive Technologies, привел статистику, согласно которой среднее время незаметного присутствия злоумышленника в инфраструктуре составляет 206 дней, при этом в половине компаний сетевой периметр можно преодолеть за один шаг. По мнению Вениамина Левцова, вице-президент по корпоративным продажам «Лаборатории Касперского», перед компаниями сегодня стоят такие вызовы, как необходимость в исследовании подозрительных активностей в инфраструктуре и использовании продвинутых технологий выявления атак при ограниченности ресурсов ИБ и недостатке специалистов узкого профиля. Все это приводит к росту популярности сервисной модели, которая в сложившихся условиях становится едва ли не единственным выходом. И конечно, ожидаемо высокий интерес у посетителей SOC-Форума вызвала сессия с участием регуляторов «Требования 187-ФЗ и опыт их выполнения», которую вели Сергей Корелов (НКЦКИ ФСБ России) и Елена Торбенко (ФСТЭК России). Елена Торбенко и Андрей Раевский (НКЦКИ ФСБ России) представили подробные доклады, разъясняющие вопросы нормативно-правового регулирование вопросов категорирования объектов критической информационной инфраструктуры (КИИ) и обмена информацией о компьютерных инцидентах, а также ответили на ряд практических вопросов из зала. Представители регуляторов сошлись во мнении, что сегодня одной из наиболее острых проблем как в коммерческом, так и в государственном секторе является недостаток взаимодействия между ИТ-, ИБ- и другими функциональными подразделениями. Андрей Раевский добавил, что до сих пор во многих организациях нет четкого понимания, того, какие у них есть информационные системы. Он также отметил, что в дополнение к Приказам ФСБ России №196, 281 и 282 в ближайшее время планируется создание национальных стандартов по процессам реагирования на компьютерные инциденты. Вторая часть сессии была отведена докладам представителей российского государственного и коммерческого сектора, которые поделились практическим опытом категорирования и защиты объектов КИИ, а также подключения к ГосСОПКА, организации процессов выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ. Дмитрий Хижкин (ПАО «Россети») рассказал о ходе процесса категорирования объектов КИИ в организации. Из 6500 объектов 14 была присвоена первая категория. План ПАО «Россети» - до 2023 года привести все значимые объекты КИИ в соответствие с требованиями регуляторов. За 2018 год «Россети» отразили более 9 млн компьютерных атак, за 3 квартал 2019 года – более 4 млн. Ни одна из киберугроз на ПАО «Россети» не реализовалась. Валерий Комаров (Департамент информационных технологий г. Москвы) рассказал, как департамент реализовал процесс оповещения НКЦКИ об инцидентах информационной безопасности в соответствии с предписаниями регулятора, которые требуют предоставления информации в течение 24 часов. Однако он также отметил проблему дефицита квалицированных кадров, подчеркнув, что в регионах этот вопрос стоит особенно остро. Примечательно, в этом году через большинство докладов красной нитью проходила тема дефицита человеческих ресурсов и формирования кадрового резерва. Программу второго дня конференции открыла «АнтиПленарка» с участием Дмитрия Гадаря («Тинькофф Банк»), Владимира Дрюкова (Solar JSOC, «Ростелеком-Солар»), Алексея Лукацкого (Cisco Systems) и Муслима Меджлумова (BI.ZONE). Активная дискуссия экспертов, которую модерировал Алексей Качалин (Сбербанк), затронула сразу несколько самых полемичных вопросов, касающихся деятельности SOC: можно ли обойтись без центра мониторинга? Может ли существовать SOC без SIEM? Нужна ли первая линия? Дискуссии на эти темы породили ряд интересных выводов. Например, участники «АнтиПленарки» сошлись в том, что первая линия – необходимая составляющая SOC, однако ее функции трансформируются: базовые задачи категоризации и приоритизации инцидентов автоматизируются, а аналитическая деятельность постепенно сущностно приближается ко второй линии. Также, по словам участников дискуссии, практически все центры мониторинга частично они используют opensource-технологии. Однако, помимо определенных преимуществ, это требует серьезных ресурсов, непрофильных для деятельности SOC, для доработки и кастомизации ПО. Поэтому массового перехода центров мониторинга на свободное ПО в ближайшее время ждать не стоит. В рамках сессии «SOC как сервис: практические кейсы» о своем опыте взаимодействия с центрами мониторинга рассказали представители HeadHunter, «Юнистрим» и «Юнипро». Сессию открыл Антон Юдаков (Solar JSOC, «Ростелеком-Солар»), который представил обзорный доклад, включающий различные кейсы взаимодействия с заказчиками и описал общий подход и методологию подключения компаний к услугам коммерческого SOC. Виталий Терентьев (HeadHunter) отметил, что компания решила прибегнуть к услугам стороннего центра мониторинга, поскольку этот вариант оказался более экономически выгодным, а также позволил получить ИБ-компетенции, не наращивая собственный штат. Сергей Коханько («Юнистрим») в ходе совместного доклада с Оксаной Васильевой (Angara Technologies) рассказал о том, что подключение сервисов мониторинга в рамках проекта заняло не больше месяца. Заказчик подчеркнул, что сервисы ACRC не только решают задачи информационной безопасности, но и предоставляют данные для нужд ИТ-службы банка. В заключение тематической сессии Виктор Пенский («Юнипро») вместе с Антоном Юдаковым рассказали об опыте кастомизации сервиса, нацеленном на повышение скорости оповещения заказчика о критичных инцидентах: в течение 5 минут клиент получает информацию об атаке, в течение следующих 30 проводится дополнительное расследование для уточнения причин и выработки рекомендаций по реагированию. В рамках SOC-Форум 2019 вопросам кадрового обеспечения центров мониторинга была посвящена отдельная сессия, что само по себе иллюстрирует актуальность проблемы. Мария Сигаева («Ростелеком-Солар») поделилась практическими советами по выстраиванию взаимодействия с вузами и формированию микроклимата в территориально распределенной команде. По ее словам, компания уделяла много внимания данным направлениям деятельности еще до вхождения в «Ростелеком», и во многом именно это помогло сохранить и укрепить команду во время стремительного роста. Александр Пушкин («Перспективный мониторинг») подчеркнул, что нехватка ИБ-специалистов сегодня является ключевой угрозой организациям. Однако не менее важным является повышение квалификации и аудит навыков. Александр Пушкин рассказал о том, как «Перспективный мониторинг» решает ее с помощью платформы Ampire для обучения специалистов заказчиков новым способам противодействия кибератакам. В кадровом разрезе одной из часто обсуждаемых проблем является эмоциональным выгоранием сотрудников. Причинам этого явления и методам борьбы с ним посвятил свое выступление Сергей Злобин (СО ЕЭС). Ключевым «рецептом», помогающим справляться с этой проблемой, выступающий назвал переключение сотрудников на другие внутренние проекты в рамках их функциональных обязанностей. В секции «SOC в промышленных предприятиях» ключевым стал доклад Яна Сухих (Schneider Electric), посвященный методологии создания защищенной АСУ ТП, которая включает использование продуктов со встроенными функциями ИБ, их безопасное внедрение, а также применение наложенных средств защиты. «Мы используем аутсорсинговый SOC, поскольку это помогает нам решать задачи кибербезопасности, в том числе в отношении устаревших систем, при нехватке кадров», – добавил он. Эту тему развил Владимир Карантаев («Ростелеком-Солар»), рассказавший о концепции zero-trust architecture, появившейся в АСУ ТП 10 лет назад. Дмитрий Даренский (Positive Technologies) сообщил, что «несмотря на закупленный в промышленный сектор MaxPatrol SIEM и число активированных лицензий, опыт все же показывает, что практически ни одна АСУ ТП в системе мониторинга не подключена. Уровень экспертизы в промышленном секторе остается недостаточным, поэтому логичным шагом мы считаем перейти от поставок «конструкторов» к поставкам экспертизы». Однако некоторые промышленные предприятия уже тестируют возможности центров мониторинга в сфере защиты АСУ ТП. Так, Евгений Баландин (ГК «Содружество») рассказал о проекте по привлечению Solar JSOC к обеспечению безопасности сегментов АСУ ТП на одном из предприятий Группы компаний. Помимо базовой работы по подключению сегмента потребовалась существенная адаптация логики и назначения сценариев инцидентов, была создана специализированная система визуализации. В дальнейших планах было обозначено масштабирование проекта как на другие площадки. Завершением SOC-Форума стали две технические сессии, посвященные реагированию на инциденты и оценке эффективности SOC. С техническими докладами выступили Яна Анджелло (Angara Technologies), Алексей Кривоногов («Ростелеком-Солар»), Алексей Лукацкий (Cisco Systems), Кирилл Михайлов («Лаборатория Касперского») и Тимур Хеирхабаров (BI.ZONE). Пресс-служба «Ростелеком-Солар» Тема:О том, о сём |
© 2014. ИТ-Текст. Все права защищены.