В начале декабря медиа-группа «Авангард» провела первый SOC-Форум Live, трансляцию которого посмотрели свыше 9 тыс. человек. Участников форума ждали 2 канала вещания, более 17 часов эфира, 26 докладов и 4 дискуссии, а также множество интерактивных форматов — викторины, опросы, квесты и разминка не только для ума, но и для тела. Чтобы разнообразить перерывы между сессиями, а также помочь участникам взбодриться и размяться, программу вещания дополнили «интерактивными блоками» с элементами «киберЗОЖа». За полчаса до официального начала SOC-Форума Live профессиональные фитнес-тренеры провели физическую разминку для зрителей. А в середине дня тренер научил «узников домашних офисов» полезным упражнениям, укрепляющим спину и шею. Ещё во время одного из первых перерывов зрители наблюдали за приготовлением «Сока жизни» — бодрящего и полезного коктейля, ингредиенты для которого они выбирали в прямом эфире. Для дистанционных мероприятий такие вкрапления оказались приятным дополнением к основной программе, которые позволяют легче перенести многочасовое сидение за компьютером.
Пленарка
Программу первого канала открыла ключевая дискуссия «Новый мир и безопасность», участие в которой приняли высокопоставленные представители регулирующих органов и крупнейших коммерческих банков. По словам модератора дискуссии вице-президента по информационной безопасности ПАО «Ростелеком» Игоря Ляпунова, изменение мира произошло не только под ударами пандемии: «Ведь на фасаде у нас пандемия, но за фасадом есть гораздо более сложные и глубокие процессы. Где-то это может быть экономическая турбулентность, где-то — внешнеполитические вызовы, а в ряде случаев это действительно шаг в серьезную цифровизацию, который обострил и высветил новые угрозы и риски».
Заместитель председателя правления ПАО «Сбербанк» Станислав Кузнецов в своем небольшом выступлении выделил четыре поколения центров мониторинга ИБ (SOC), которые у себя строил «Сбер». Первое поколение было построено в 2016 год, когда появились первые SOC, которые начали работать достаточно эффективно. Они уже позволяли хеджировать риски и управлять ими, а также обеспечивать предотвращение атак. В это время сотрудники «Сбера» научились обрабатывать до 200-300 млн риск-событий в сутки. Однако уже в 2018 году пришлось строить второе поколение SOC, основой которого стали автоматизированные системы высокого уровня. Для этого пришлось изменить платформу решения, чтобы появилась возможность обрабатываться до нескольких млрд событий в день. Третье поколение — это современный SOC, который научился реагировать на современные угрозы, защищая от преступлений. Сейчас SOC «Сбера» составляет основу противодействия кибер-преступлениям и кибермошенничеству — он анализирует в день 38 млрд риск- событий в день. Однако «Сбер» уже задумал SOC четвертого поколения, который к 2023 году будет составлять основу киберустойчивости инфраструктуры «Сбербанка» и всей финансовой инфраструктуры России. Из него предполагается сделать «кибер-фьюжн-центр», который будет управлять «не только кибер-рисками, но и информационными рисками и рисками управления процессами», — пояснил Станислав Кузнецов. Строящийся SOC должен будет объединить в себе возможности по реагированию одной большой компании или даже целой отрасли.
В этой же дискуссии заместитель директора Департамента информационной безопасности Банка России Артем Сычев рассказал об уроках пандемии для финансовой отрасли, которые всем пришлось очень быстро выучить. Первым из них стало то, что «поспешность выведения на рынок финансовых продуктов и сервисов без учёта самых элементарных мер безопасности, которые должны соблюдаться в части программирования, приводит к тому, что злоумышленники очень быстро находят уязвимости». Второе — при быстром переходе на удаленный режим работы большинство кредитно-финансовых организаций не подумали о том, насколько персональные данные клиентов, которые так или иначе попадают на удаленные рабочие станции сотрудников, защищены. Это при том, что по его словам 70% банков бесшовно перешли на удаленную работу. И третье — Банку России следует существенно пересмотреть приоритеты в вопросах, которые он регулирует и которыми он управляет с точки зрения ИБ. Также Артем Сычев заявил, что требования по безопасности логичнее и правильнее передавать в распоряжение отраслевых центров, имея при этом некоторый координирующий орган, представляющий интересы государства.
Антипленарка
Самой ожидаемой и непредсказуемой сессией всего форума стала “АнтиПленарка 2:0”, по условиям которой участники должны были «прожаривать» своих коллег, громко не соглашаться с их тезисами и спорить до хрипоты. Трек действительно получился жарким, особенно после выступления CISO Тинькофф Банк Дмитрия Гадаря, который пламенно убеждал коллег в том, что SIEM-ам больше не место в SOC-ах. Пожалуй, именно эта фраза вызвала бурю эмоций и больше всего споров, искры которых перенеслись впоследствии и на выступления других участников сессии. Выступление Алексея Новикова из Positive Technologies также вызвало шквал споров и остроумных замечаний. Один из основных его посылов был таков: «Регуляторы молодцы! Сейчас, мне кажется, им надо пойти дальше — жестко проверять операторов SOC-ов каждый год, чтобы посмотреть, действительно ли она могут что-то обнаруживать и не допустить реализацию бизнес-рисков». Однако основной темой антипленарки всегда были практические вопросы обеспечения безопасности.
В этом году практическим аспектам SOC был посвящен трек «Клиентский опыт построения и эксплуатации SOС», где директора по информационной безопасности делились своим опытом использования ситуационных центров по ИБ. Так начальник управления информационной безопасности ПАО «ГТЛК» Сергей Рысин рассказал о поиске коммерческого SOC для своей компании — в результате этих поисков была выбрана компания «Инфосекьюрити». Одним из важных критериев выбора стала гибридная реализация мониторинга на базе продукта PT SIEM. Причем, «ГТЛК» при переходе на удаленную работу помог как раз коммерческий SOC — он обеспечил контроль удаленных сотрудников и непрерывность бизнеса.
Опытом построения SOC также поделился начальник управления средств защиты ИТ-инфраструктуры «ТМК» Антон Кокин, который рассказал о своем ситуационном центре по ИБ — он стал одним из шести элементов стратегии кибербезопасности «ТМК». Компания также решила опереться на коммерческий SOC, в качестве которого был выбран Solar JSOC компании «Ростелеком-Солар». На стороне «ТМК» в обеспечении безопасности участвует 14 человек, причем ногда они даже проводят имитацию фишинговых рассылок, чтобы научить персонал правильно на них реагировать.
О жизни своего SOC рассказал также и начальник управления информационной безопасности ДИТ Москвы Артем Кунгурцев. Он отметил, что «ДИТ Москвы в этом году живет в режиме дикого Agile — сопровождение площадки электронного голосования по поправкам, работа в рамках защиты от пандемии COVID-19 и другие работы, которые приходится делать быстро и в больших масштабах». ДИТ пришлось в спешном порядке модернизировать центр мониторинга безопасности, поэтому для поддержки также был выбран внешний коммерческий SOC, однако и собственный центр реагирования пришлось модернизировать — сейчас ДИТ занимается построением отраслевого SOC и выполнением всех необходимых требований по его функционированию. При этом в ДИТ не заметили изменения количества инцидентов во время пандемии, хотя им удалось раньше разработать методику защиты от атаки через домашние компьютеры сотрудников.
Заключение
В перерывах между треками участники SOC-Форума Live также отвечали на непростые вопросы о центрах мониторинга в «Нашей игре Live Edition», победители которой завоевали ценные призы. А в другой телеигре — «Голос истины: 1 против 100» — зрители сопереживали соперничающим командам «Кибервикингов» и «Кибервалькирий». Команды зарабатывали баллы, отвечая на каверзные вопросы то от лица «безопасников», то от лица рядовых «юзеров». Во время всех докладов были еще задания на внимательность — показывались скрытые элементы, которые должны быть сложиться в ключевую фразу, за которую можно было получить подарок. Весь чат форума был забит обсуждениями этих заданий. Перед заключительным этапом деловой программы участники SOC-Форум Live смогли перевести дух с помощью искромётного онлайн-стендапа про «удалёнку», пандемию и бытовую кибербезопасность.
