В последнее время проблемы кибербезопасности все чаще на слуху, достаточно вспомнить, что как раз накануне SOC-Forum прошла волна DDoS-атак на крупнейшие российские банки. Есть место вопросам информационной безопасности и в большой политике (так, большое внимание уделялось активности хакеров во временя проведения президентских выборов в США), поэтому повышенный интерес к форуму объясним. Об актуальности темы и росте популярности этого события свидетельствуют цифры: в этом году форум собрал 800 специалистов – на 300 больше, чем в прошлом году.
Основными темами для обсуждения в рамках форума стали: подходы к построению центра мониторинга и его правильная дальнейшая эксплуатация, системы информирования об инцидентах, современные технологии, применяемые для построения эффективных SOC, а также измерение их эффективности.
Интересную и насыщенную программу форума отметили все участники. Так Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет», подчеркнул: «В этом году стало всего больше: участников, экспертов, секций, интересных узкоспециализированных тем. Тема SOC совершенно логично с каждым годом набирает обороты. В первую очередь, это связано с тем, что российский рынок информационной безопасности достиг определенного уровня зрелости. Причем это не выдуманная интеграторами или вендорами маркетинговая история, импульс идет именно от заказчиков, которые хотят правильно противостоять растущему количеству угроз».
В этом году существенно разрослась выставочная часть форума. Ведущие отечественные и зарубежные вендоры и интеграторы ИБ представили свои решения и услуги, в их числе: Solar Security, Positive Technologies, компании «Информзащита», «Перспективный мониторинг» и «Лаборатория Касперского».
Представитель компании «ЭЛВИС-ПЛЮС» Денис Прохоров заметил, что системы класса SOC – не панацея от атак. «Наличие SOC не избавляет от необходимости использовать все прочие системы информационной безопасности. Отрадно, что на рынке появляется все больше решений для построения центров мониторинга, причем многие разработчики утверждают, что их решениям нет аналогов. И хорошо, что нет: если бы существовало одно универсальное решение, вопрос выбора вообще бы не стоял», – подчеркнул Денис.
Если год назад участники первого SOC-Forum с жаром обсуждали, что такое SOC, то в этом году вектор обсуждения сместился в практическую сторону. Участников форума больше интересовал опыт построения и эксплуатации Security Operations Center.
Олег Глебов, руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского», выступивший модератором сессии, посвященной эксплуатации центров мониторинга ИБ, отметил: «На мой взгляд, проблематика информационной безопасности подошла к порогу, когда нужно принять решение, как дальше развиваться. Сегодня требуется повышение уровня зрелости как специалистов, так и технологий. Думаю, на будущее стоит сделать больший акцент на практических кейсах, которые бы позволили участникам мероприятия разобраться, что такое SOC, как его правильно внедрять и измерять его эффективность. Сессия, в которой я был сегодня модератором, показала явный интерес к таким вопросам со стороны аудитории».
С его мнением согласен Дмитрий Мананников, директор по безопасности SPSR Express: «Мероприятие расширилось и стало более структурированным, но качественного скачка в освещении темы мы, к сожалению, пока не наблюдаем. Думаю, это связано с тем, что сама тема SOC еще не всем до конца ясна, не устоялась терминология, и, самое главное, различаются ожидания участников. На мой взгляд, конференции не хватает докладов со стороны заказчиков, уже получивших реальный опыт использования SOC, будь то опыт удачный или неудачный».
Одним из немногих заказчиков, согласившихся поделиться собственным опытом эксплуатации SOC, стал Максим Наумов, менеджер по информационной безопасности СТС Медиа. Он рассказал о практике использования SOC в крупном российском медиахолдинге: «Время SOC пришло. При современном развитии технологий отбиться от киберугроз традиционными средствами проблематично: периметр корпоративной сети размывается, сотрудники компаний работают по всему миру, и им нужен постоянный доступ ко внутренним ресурсам, равно как и сотрудникам в офисах – доступ к огромному количеству внешних систем. В таких условиях разработка комплекса правил безопасности, покрывающих все возможные варианты развития ситуации, – утопия, этим можно заниматься бесконечно, потому что правила будут быстро утрачивать актуальность. Подход SOC, базирующийся на мониторинге инцидентов, позволяет получать реальную картину состояния информационной безопасности в компании».
Как показал прошедший форум, тема измерения эффективности SOC остается одной из самых актуальных. Другим не менее насущным вопросом являются подходы к использованию SOC: что выгодней, строить свой центр мониторинга или использовать услуги коммерческого SOC? Коммерческие провайдеры услуг управления ИБ (MSSP) могут существенно упростить задачу по защите информации в компании, ведь они готовы оказывать услуги по постоянному мониторингу систем заказчика в режиме реального времени. Но такой путь доступен не всем клиентам. Об этом говорит Роман Кобцев, директор по развитию бизнеса компании «Перспективный мониторинг»: «Не все заказчики могут использовать преимущества аутсорсинга. Например, наши заказчики, в большинстве своем представители государственного сектора, не могут полностью отдать свою информационную безопасность на откуп аутсорсеру, потому что требования, которые предъявляет к ним государство, обязывают их создавать свои центры мониторинга. Но полноценных средств, а главное, человеческих квалифицированных ресурсов, зачастую не хватает. Тут нужно искать некий компромисс, когда заказчик стpоит свой собственный центр мониторинга, но при этом использует дополнительные сервисы по модели аутсорсинга».
Несмотря на то, что коммерческий SOC может значительно упростить жизнь, принятие решений по инцидентам остается на стороне заказчика. Поэтому специалисты собственных служб ИБ, безусловно, должны обладать достаточной экспертизой. По этим вопросам SOC-Forum является прекрасной площадкой для обмена опытом.
«SOC Forum – одно из немногих мероприятий, сфокусированных на конкретной теме. В этой аудитории нет необходимости еще раз говорить о трендах и напоминать о современных угрозах. Можно прямо переходить к сути и рассматривать с разных сторон практический вопрос. Думаю, именно это и привлекает участников», – считает Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Cisco.