Пойти на SOC- forum меня сподвиг исключительно конкурс от Андрея Прозорова на лучший отчет о форуме (если вдруг будет голосование, голосуйте). ;) Надо сказать, что на различных мероприятиях по ИБ я бывал достаточно. Например, 9 лет подряд ходил на Infosec (теперь уже нет).
Мероприятия эти делятся на три вида: общей направленности (тот же инфосек), вендорские, маркетинговые или партнерские. SOC- forum был вендорским мероприятием, маскирующимся под общую направленность. Почему вендорским? Потому что главным спонсором выступала компания Solar Security, она же держала большой стенд и читала львиную долю докладов. Только не подумайте ничего плохого (Денис, все норм).
В общем, все это я примерно представлял, и пошел туда в новом качестве. В качестве блоггера. Что значит быть блоггером? Это значит надо везде ходить и все слушать. Я так и делал.
Начнем с организационной части – она отвратная. Насколько хорошо на BISA форумах, настолько плохо на SOC. Начнем с того, что заплатив деньги, я так и не смог ничего съесть. Обед вообще прошел мимо меня, кофе-машины работали через одну, добавку никто не приносил. Как вариант — пригласили слишком много людей, на это бы можно было закрыть глаза, если бы я пришел на халяву. Итого – жирный минус.
Раздаточный материал странный, блокнота не дали (было три листа для заметок в программке), зато дали 2 ручки. Все началось с опозданием на 10 минут, так и катилось до конца. Залы совсем не были приспособлены для подобного шоу, экраны как-то странно расположены – если сидеть по центру, то голову свернуть можно. И навязчивая реклама по центру. Я сам был на пленарке и секции Андрея Прозорова. У Алексей Лукацкого зал был в 3 раза меньше, и все не поместились. А так ничего – на троечку с минусом организовали.
По содержанию. Это тихий афиг. В демагогии есть такой контрприём: чтобы поймать демагога – надо за ним записывать. По идее им еще пользуются журналисты, а блоггер почти журналист. Вот я и записывал.
Главный вывод по конференции – все собрались, потусовали, но дельного ничего не сказали. Конференция прошла впустую. Человек неподготовленный не смог даже узнать, что такое SOC. Пленарку вообще начали со срача. Лукацкий и Маннаников на предложение утвердить определение SOC хором сказали «НЕТ!». Но зал в лице представителя Дипакадемии надавил (уважение). И все стали пытаться дать определение. Виталий Лютиков попытался перевести разговор в научно-техническую точку зрения (и в целом говорил интересные вещи про процессы в соках, но мало).
Самое дельное по определению «Что такое SOC?» сказал Иван Мелехин: как переведем Operation в SOC, так сразу сложится картинка — лиибо управление, либо мониторинг.
Настала первая очередь всех высказаться. Игорь Ляпунов начал сразу с рекламы Solar. Иван Мелехин спросил «а существуют ли SOC , или это новый маркетинговый ход»?
А потом все свалилось вообще в Ад. Кстати, ни один заявленный вопрос пленарного заседания так и не получил ответа. Хотя голос разума иногда возобладал. Что удивительно – это было со стороны регуляторов, за что им респект. Все заспорили о… госрегулировании соков. Не буду описывать, лишь цитаты:
Ляпунов: госрегулирование – хорошо, разумное вдвойне хорошо.
Мананников: нужен пряник, необходимо сертифицировать SOC.
Лукацкий: Игорю (Ляпунову) необходимо регулирование, чтобы продавать свои услуги.
Лютиков: создайте свой стандарт по SOC, не ждите регуляторов.
Финогенов: Я еще не знаю, что такое SOC. В начале практика, затем регулирование.
Следующим кругом ада стало обсуждение ответственности соков перед Заказчиками. Опять только цитаты:
Ляпунов: Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера.
Лютиков: включайте в договора солидарную ответственность.
Лукацкий: у нас и за ЗПД никто ответственности не несет, у нас не защита персданных, а защита о регляторов.
И поговорили немного про банки.
Сычев: Отслеживает ли DLP унесенную базу дропперов? А надо.
Курило: Инциденты в банке могут не возникать годами. SOC – это армия в постоянной боеготовности.
По итогу пленарное заседание потерпело фейл. Сокрушительный. А надо было изменить всего лишь малость, уменьшить количество экспертов. Я бы с удовольствием послушал, например, регуляторов – Виталия Лютикова (ФСТЭК) и Дмитрия Финогенова (ФСБ). Крайне разумный подход к проблеме. Я отдельно послушал бы критику Лукацкого и Мананникова. Отдельно – представителей вендоров. Но всех вместе – это фейл «клуба любителей SOC» и Авангарда.
Затем начались секции…
Я был на «Тематическое заседание 1 «Опыт построения и эксплуатации SOC». Сам я сделал чуть-чуть SOCов, поэтому было интересно услышать опыт коллег. Тут не буду подробно описывать – презентации можно посмотреть в интернете, напишу лишь свои записи к каждому из выступающих. Это те вопросы, которые у меня возникли к ним, и которые я старался задать (два раза меня прокатили, хотя уже держал микрофон в руках). Кстати, всю секцию я один практически вопросы и задавал – блоггер, что с меня возьмешь?
Опыт построения и эксплуатации центра мониторинга ИБ в ОАО «РЖД»
Александр Глухов, заместитель начальника Департамента безопасности ОАО «РЖД»
Рассказывали, как ЦБИ внедрило SOC в РЖД.
Агентская технология? Сертифицирован ли агент? НДВ? Является ли агент угрозой и точкой отказа? Какие контроли используются? Все теперь делают геопривязку. РЖД еще не подключено с СОПКЕ.
Вопрос про агент задал разработчикам. Получил ответ, что 1 версия была сертифицирована, сейчас 3, и когда-нибудь ее сертифицируют. Получил интересное мнение, что если ЦБИ является сертифицирующей лабораторией, то софт пишет без НДВ.
<слухи mode on>
Уже в перерыве конкуренты открыто говорили, что решение у ЦБИ не работает.
<слухи mode off>
Опыт построения и эксплуатации коммерческого SOC
Владимир Дрюков, руководитель департамента JSOC Solar Security
Время на остановку атаки (с) – оно есть?
Готовы ли вы нести солидарную ответственность? Этот вопрос так и не дали задать :(
Технологии и опыт реализации распределенного SOC
Роман Назаров, начальник отдела систем управления рисками ЗАО НИП «Информзащита»
Информзащита тоже внедрила SOC в РЖД… Так и не понял, как они сферы влияния с ЦБИ попилили.
Сделали несколько территориально распределенных центров обработки инцидентов. Единой мастер ноды и корреляции нет. Разделено по инцидентам.
Опыт построения и эксплуатации центра мониторинга компьютерных атак и управления инцидентами
Алексей Васильев, руководитель центра мониторинга, ЗАО «Перспективный Мониторинг»
Была и дочка Инфотекса. Нишевой продукт для сетей VipNet.
Могут ли использоваться другие IPS? В какие SIEM/ SOC других вендоров вы передаете информацию? Инцидент, описываемый по ГОСТу? Вы заменяете собой антивирус? Много слов «будет» и «будущего времени»
Цитата: SIEM из коробки.
SOC: от идеи к результату
Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
Хороший теоритический доклад.
Цитата: 46 функций SOC, но еще никто их не реализовал.
Эффективный SOC для критической инфраструктуры. Знания и инструменты
Евгений Генгринович, советник Генерального Директора АО «ITD Group»
Как иностранный GRC применять в РФ? Правильно ли, что вы предлагаете «консультант» с практиками по ИБ? Как происходит обновление фидов в сегменте АСУ ТП без интернета?
Фундамент для построения SOС
Руслан Бялькин, директор по продажам комплексных решений, SAFEDATA
Цитата: ЦОД и SOC не различаются с точки зрения инфраструктуры.
На секции у Лукацкого в каждом докладе была реклама себя любимых и тех решений, что они продают. Отличился только Positive, сказав, что не делает SOC и SIEM.
Дальше уже не мог быть, поехал по делам своего SOCa.
Итоги:
- Организаторам жирный минус. Секции были забиты рекламой чуть менее, чем полностью. Из интересных и умных экспертов можно было сделать 10 интересных секций.
- Минус в карму тем, кто рекламировал себя вместо просвещения аудитории.
- Ни один заявленный вопрос конференции не был рассмотрен должным образом. Все неслись галопом по европам.
Идти или не идти в следующий раз? Если вас приглашают бесплатно – конечно, идти. А вот деньги за такое платить не стоит.
P. S. Усе, ухожу из блоггеров. Неблагодарная это работа. Андрею и Алексею по службе положено везде бывать и выступать. Грусть видна в их глазах. Не хочу так. Лучше я буду по-простому – графоманить на тему безопасности, и на конференции особо не ходить.