Алексей Новиков надеется, что коммерческие и корпоративные SOC'и будут добровольно подключаться к системе ГосСОПКА
Алексей Новиков надеется, что коммерческие и корпоративные SOC’и будут добровольно подключаться к системе ГосСОПКА

Медиагруппа «Авангард» провела 16 ноября конференцию SOC-Forum v.2.0, на которой анализировалось современное состояние на рынке инструментов создания центров оперативного реагирования на компьютерные инциденты (SOC). На мероприятии подробно обсуждали государственную систему оперативного реагирования на компьютерные инциденты – ГосСОПКА – и центральный элемент этой системы GovCERT, созданный в недрах ФСБ.

Однако вначале несколько слов о целях и задачах SOC на предприятиях. Подробная классификация идеологии построения центров реагирования на компьютерные инциденты была представлена в докладе Даниеля Гольдберга, директора по продажам и развитию компании Cyberbit. Он разделил все SOC на три поколения. Первое – просто SIEM-система, которая позволяет обрабатывать все сообщения об инцидентах и фиксировать проблемы. Реагирование и расследование в таких SOC’ах находятся в зачаточном состоянии и обычно выполняются вручную.

Во втором поколении добавляется аналитический компонент – Threat Intelligence, который обеспечивает автоматизацию процесса расследования инцидентов. Эта технология позволяет переходить от реагирования к предсказанию инцидентов, однако оперативное реагирование по-прежнему остается «за скобками». Такие SOC  могут предупредить службу эксплуатации о потенциальной опасности еще до нападения, хотя перенастраивать систему защиты придется вручную.

Продукты третьего поколения, которые можно назвать CERT (Computer Emergency Response Team – команда экстренного реагирования на инциденты), позволяют не только фиксировать и анализировать, но и автоматизировать реагирование на инциденты. Продукты этого поколения должны содержать сценарии реакции на атаку, которые оперативный сотрудник центра реагирования должен только подтвердить. Такие продукты позволяют в минимальные сроки защититься от атаки, не требуя от операторов высокой квалификации. Данные продукты наиболее сложные и дорогие в настройке и эксплуатации, поэтому использовать их стоит пока только на критически важных объектах.

Собственно центры реагирования на компьютерные инциденты уже давно создаются  на государственном уровне. В России сейчас формируется целая система таких центров под названием ГосСОПКА во главе с государственным GovCERT, который поддерживается ФСБ и подключен  к международной системе национальных CERT’ов.  По словам Алексея Новикова, руководителя GovCERT, центр реагирования был построен пять лет назад и принимал участие в защите сочинской Олимпиады. В частности, во время ее проведения GovCERT зафиксировал расположение центров управления зомби-сетями на территории пяти стран. Взаимодействие с CERT’ами соответствующих стран позволяло подавлять эти центры управления в течение 5 часов.

Сейчас в рамках создания ГосСОПКА разработаны и находятся на утверждении в Минюсте регламенты обмена информацией между GovCERT и другими государственными, ведомственные и корпоративными центрами реагирования – SOC’ами. Планируется, что в следующем году данный регламент в виде указа Президента РФ будет утвержден, и тогда начнется публичное подключение к ГосСОПКЕ коммерческих и корпоративных SOC’ов. Предполагается, что для ФОИВ и критически важных объектов инфраструктуры России подключение будет обязательным и завершится до 2020 г. – необходимые нормативные документы для этого также готовятся. Для остальных подключение к ГосСОПКЕ будет доступно, но уже на добровольной и безвозмездной основе. «Мы рассчитываем, что наши сервисы будут полезны для компаний, и они самостоятельно будут подключаться к ГосСОПКЕ», – пояснил Алексей Новиков.

Собственно, один отраслевой центр реагирования уже есть – FinCERT, который интегрирован в эту систему. Банкам такое взаимодействие очень полезно для предотвращения мошенничества и кибератак. По словам Игоря Ляпунова, генерального директора Solar Security, «информация, получаемая от FinCERT, в разы полезнее, чем приобретаемая у иностранных поставщиков Threat Intelligence». Связано это с тем, что GovCERT, а через него и FinCERT, получают информацию о готовящихся нападениях, в частности, путем мониторинга хакерских ресурсов. Алексей Новиков отметил, что неделю назад активизировались хакеры из группировки Anonimous, которые возобновили операцию OpRussia (информацию по ней можно найти в Twitter с помощью поиска по тегу #OpRussia), которая действовала во время Олимпиады в Сочи.

На SOC-Forum обсуждались и проблемы коммерческих SOC, которые появились в связи с постановлением Правительства №541. Этим постановлением деятельность по мониторингу безопасности включена в список лицензируемых видов. В результате после 1 июля 2017 г. представление услуг SOC по мониторингу событий информационной безопасности будет уже вне закона. Пока четкие требования к лицензиатам не установлены, однако в самом постановлении указано, что они будут касаться квалификации специалистов, помещения компании, оборудования и принятых в компании документов. Скорее всего, постановление приведет к консолидации и окончательному формированию рынка коммерческих SOC. Правда, как всегда, остается юридическая проблема – ни в одном законодательном акте не определено, что такое мониторинг информационной безопасности, поэтому мелкие конторы, скорее всего, будут называть это по-другому, например, администрированием SIEM. Тем не менее, установление правил игры всегда полезно, в том числе и для клиентов.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку