Архив метки: Андрей Прозоров

Нечего читать, или страх тишины

no_readЗнаете, как одним словом назвать разницу между поколением Y (это те, кто родился с 1980 по 2000 год) и поколением X (которые родились пораньше)? Шум.

Мы уже органически не можем терпеть одиночество. Вы включаете что-нибудь для фона, когда занимаетесь домашними делами? Телевизор, киношечку, музычку?

Как-то я провел 34 дня по колено в грязи с лопатой, кайлом и кувалдой в качестве компаньонов. Из всех развлечений у меня было старенькое радио с тремя каналами (Русское Радио, Европа Плюс и Радонеж). Это был адский пиздец, доложу я вам. Вы знали, что на радио оригинальной дорожки и песен часа на 3-4, а остальное повторы?

Мы боимся остаться с сами собой наедине, мысли всякие лезут же в голову. Время монотонно растягивается. Вы начинаете замечать разное, чтобы просто занять мозг. Вам даже алкоголь не поможет, т.к. бухать в тишине – это за гранью добра и зла. Именно поэтому так популярны тайм-киллеры – игры, соцсети и т.п. Поиграл в игрушечку перед сном, глядишь — два часа прошло.

Обратной стороной этого становится предубеждение, что новое является чем-то важным. Но все это ботва: чтобы отыскать что-то качественное, надо сильно постараться. Мы читаем новости, мы интересуемся, что нового у коллег и подчиненных. А уж как нас телепает, если мы этого нового дать не можем. Бывало у вас, что на очередной планерке начальник у вас спрашивает, что нового? И надо срочно что-то придумать, а то у всех сложится впечатление, что вы нифига не делаете и зря получаете зарплату. Ставьте лайк, если бывало.

А уж в сфере информационной безопасности с этим совсем беда. Внутренняя беда – вариации из примера с совещанием. Внешняя беда – что читать нечего.

Я уже писал о плачевном состоянии СМИ по информационной безопасности. Но на выходных мне открылась другая грань.

В силу личной самодисциплины (хотя какая нафиг самодисциплина, если я два года не мог этого сделать?) удалил половину игр с телефона и 2/3 подписок на каналы в Youtube. Времени освободилось… как раз, чтобы поближе ознакомиться с ресурсами по ИБ. Их у нас три, точнее два, т.к. маленьких не бьют – BISA и Securitylab. SecurityLab оказалась платформой Positive Technologies, таким образом у нас нет вообще ни одной независимой платформы. Половина разделов не обновлялась давно, из свежего – блоги и новости. Поэтому-то все общение у нас происходит в фейсбуке и твитере.

Другая проблема в авторах. Все мы – блогеры, а не журналисты. А блогер должен писать все с оглядкой, иначе его потом на работу никуда не возьмут. Я думаю, что в Positive Technologies мне уже никогда не работать:) На 10 рекламных и проплаченных материалов – 1 независимый. Смелость иногда проглядывает, но сильно эпизодически. Вот, например, Алексей Лукацкий  как-то прочитал презентацию «Как обманывают интеграторы» на конференции Информзащиты.

Другая проблема – время. Блогеры все-таки где-то работают, и никому из них не платят за ведение блога. Я думал, что хотя бы Адрею Прозорову, но нет. А это сильно ограничивает по времени. У меня, например, еще в декабре была задумка крутого материала, я связался с людьми, встретился, начал собирать информацию. Думал, на январских напишу. Щаз. В лучшем случае в апреле (кстати, это анонс).

Именно поэтому я пишу по 40 минут в день 1-3 раза в неделю, и так долго тянутся заявленные рубрики. Кушать хочется :) У нас даже невозможно монетизироваться.

Во-первых, наш рынок сам по себе маленький, как следствие –  небольшая аудитория (например, меня читает всего 40 человек – всем читающим уважение).

Во-вторых, у нас не принято платить за контент. Ни на конференциях, ни тем более за контент. Об этом много и часто говорит Алексей Лукацкий. Причем найти спонсора совсем не вариант.

В-третьих, цена вопроса. Чем меньше подписчиков, тем больше ежемесячный платеж. Нормальная цена для человека – не более 300 рублей в месяц, понятно, что надо минимум 500 подписчиков. Чтобы их собрать, надо 50 000 пользователей в аудитории. Такого количества просто нет в безопасности.

Из-за этого всего страдают все – и авторы, и читатели, и рынок в целом. Вот и я сидел в выходные,  листал редкие посты в фейсбуке и грустил. Наверно, поэтому у нас все разбираются в политике и футболе, что почитать нечего…

Всего вам доброго.

У Камина с Рустемом Хайретдиновым

Сегодня решил посидеть у камина с Рустемом Хайретдиновым и понекропостить его заметку аж от 1 марта. Вы спросите: Дима, какого хрена? Что за рандомный набор тем? А я отвечу: есть у меня блокнотик, куда я записываю идеи для своего потока сознания, и, если нет ничего насущного, подглядываю туда. Сегодня как раз ничего насущного. Заметьте, никакого тайм-менеджмента.

fireplace_main

Так как это запись на Фейсбуке, приведу ее полностью:

Помня, что после слов «никого не хотел обидеть» можно обижать кого угодно, вброшу, пожалуй.

Так вот, никого в действительности не хочу обидеть, но дописал в требования к вакансии к «статьи в профильных и бизнес-изданиях — плюс» фразу «собственный блог — минус». Раньше я думал, что популярный блог — это плюс для работодателя: человек активно делится идеями, имеет устойчивую аудиторию, которой будет доносить наши ценности. Но несколько раз столкнулся с тем, что блогер — отдельное состояние души, блог требует постоянного внимания, регулярных публикаций, подсчёта посещений и т.п. Блогер зависит от блога, его аудитории, позитивных откликов, рейтинга и т.п. чуть ли не больше, чем от работодателя и конфликт между ценностями компании и ценности своей аудитории будут чаще решаться блогером в пользу последней. А работодателю это не надо.

Статьи в прессе создают доверенное имя, аудиторию и уважение, но не создают зависимости от аудитории. Что скажешь, [нет разрешения на обработку персональных данных ]?

*Речь здесь идет только о тех, для кого ведение блога — не часть профессии, то есть этот пост не про топ-менеджеров, консультантов и PR-специалистов, а про специалистов и средний менеджмент.

Рустем, да полноте вам. Блогеру не нужно делиться идеями и иметь устойчивую аудиторию для донесения ценностей. Если блог корпоративный — так там этим и так занимаются (см. блог любой компании). И никакого конфликта тут нет. Все зависит от целей человека.

Буквально недавно разговаривал с молодым блогером, который рассказывал мне, что «есть тусовка «старых блогеров», которая никого к себе не пускает и гоняет молодняк ссаными тряпками». Тут цели и тех и других понятны — главное застолбить местечко в кругу гуру и скопом скидывать всех остальных с вершины. Ну, а тех, кто пролез, придется терпеть. Но таких единицы.

Именно в тусовке важно внимание, рейтинг и отклики. Хотя какие уж в ИБ отклики? У Алексея Лукацкого в среднем 3 комментария на пост. А это не какой-то там блогер, титан! Что уж говорить про все остальных? Нет, отклики и рейтинги не так важны.

А все почему? Потому что люди блогом не зарабатывают денег (во всяком случае в ИБ). Даже косвенно. Вот, возьмем меня. Предположим, меня переклинило, я стал вести блог. И что в моей жизни изменилось? Как был бомжующим босяком, так и остался. Разве что теперь могу вам об этом рассказать :) (Где тот добродетельный меценат, готовый меня спонсировать? Совершу переворот в медиа-пространстве. Готов работать за еду.) Понятно, к корпоративным блогам это не относится. Но и души в них нет, так, пресс-релизы.

Блогер – это состояние души. Но какой может быть конфликт интересов между работником и компанией? Допустим, Рустем собеседует человека – он отличный специалист и человеческие качества у него хорошие. Но что изменится, если этот человек блогер? Понято, что ничего, так как его блог является следствием профессиональных и человеческих качеств. А не наоборот. Я, например, использую обсценную лексику. Понятно, что нам с работодателем будет сложно общаться, пытаясь не называть мудака мудаком. Мне ближе конкретика и точность высказывания, а кому-то дипломатические кружева. И то же самое будет в моем блоге.

Никто ведь не возражает против ведения личных блогов. А там и аудитория, и рейтинги, и отклики. У меня целый блог личной графомании (не этот). Хочешь – читай, не хочешь – не читай. Я от этого никак не изменился, это все во мне, это все я и есть. Именно поэтому со мной общаются или не общаются люди.

И так с каждым. Ну, будет человек вести блог под псевдонимом, кому лучше-то? Вот Андрей Прозоров – наглядный пример моего тезиса. Он разве потерял квалификацию от того, что в своем блоге писал когда-то про прямого конкурента? Я думаю, это даже плюс для Solar был.

Единственный вариант для конфликта – если в блоге поливают грязью родную компанию. Да, такое есть. Конфликт на лицо.

Так что блогеры тоже люди, как и графоманы :)

Всего вам доброго.

СМИ по информационной безопасности, или «глубина 12000 м, спуск нормальный»

Вот и закончились праздники, все неспешно вышли на работу. Хотя какая сейчас работа? Некоторые еще в отпусках, остальные плавно входят в новый год. И только я вынужден херачить заявки на конкурсы :) Но я о другом. Аккурат 31 декабря посмотрел я в нашу песочницу (которая информационная безопасность) и понял, что все грустно.

kladbishche_11

Вообще, печаль моя велика. Но особое место в ней занимают СМИ по информационной безопасности, или говоря обще – наше инфополе. Что это такое? Это некий набор тем (мемов, паттернов, называйте, как хотите), которые позволяют отличить одну группу профессионалов от другой. Если вы попадете на медицинскую выставку (даже если она будет по ИТ или ИБ), вы заметите это. Специфические темы, проблемы, термины. И так у всех: у бухгалтеров, строителей, даже у ичаров. А у безопасников нет. Конечно, это уже более глобальная проблема для отдельного разбирательства, но посмотрите на частности. Нам банально нечего почитать, все темы заезжены, жизнь теплится лишь в социальных сетях вокруг небольшой стайки. Не согласны? Смотрите, что получается.

Телевидение и видео-блоги

Этого у нас нет. Были отдельные попытки «показать про безопасность», но все они упирались в одно – деньги. Делать это на энтузиазме некому – студенты не тянут по уровню, а старикам не хватает времени.

Подкасты

Тут признаки жизни все же есть. Например, вот список от Андрея Прозорова по Подкастам.

  1. Securit13 Podcast (жив)
  2. Диалоги #поИБэ (1 год был в коме, обновился вчера на «модную тему» SOC – как будто других тем нету)
  3. Открытая безопасность (умер. Аркадий!!)
  4. Радио-Т (про ИТ)
  5. Noise Security Bit (скорее умер – 5 выпусков за прошлый год, причем 4 из них с января по апрель).
  6. Kaspersky Lab (про вирусы и не обновляется)
  7. 100% Virus Free Podcast (умер).

Итого 1 из 7. Есть еще «Квант Безопасности», где Евгений Бабицкий и Никита Ремезов пытаются обсуждать новости в два голоса. Но я про подкаст узнал случайно, потому что Никита упомянул меня в фейсбуке, а потом Евгений ринулся защищать PCI DSS. 24 выпуска за полгода – отличный результат. Но подкастер – это не спринтер, а марафонец.

Можно сказать, что и тут по нулям. Все обсуждают новости и всякие избитые темы, подхватывая что-нибудь модное, чтобы «быть в тренде».

Журналы

Журналов по информационной безопасности всегда было достаточно, штук 5 точно. Я и сам больше года печатался в «Information Security/Информационная безопасность». Есть и электронные журналы, и по подписке (например, «Проблемы информационной безопасности. Компьютерные системы»). Но у них всех две проблемы:

  1. «Кошмар Алексея Лукацкого». Это журналы, размещающие статьи в рекламных целях. Кто-то больше, кто-то меньше. У кого-то это завуалировано, а кто-то лупит в каждой фразе название своей компании или продукта. Как жбахнул кризис, так доля коммерческих материалов резко выросла.
  2. «Академичность». Пишутся как диссертации в миниатюре. С тоже структурой, тем же языком. На тысячи и тысячи знаков…

И знаете что? У нас нет ИБ-журналистики. У нас не задают острых вопросов, у нас на круглых столах все друг другу улыбаются, подтрунивая друг над другом в кулуарах. Все эти статьи пресны, как манка без сгущенки.

T_intro1

Блоги

Блоги вообще странно относить к СМИ. Блог — это личная площадка, где автор куражится в меру сил и способностей. Но именно блоги (твитеры, фейсбуки и т.п.), двигают все инфополе «по ИБ». У нас это удел каких-то одиночек, которые создают инфоповоды. Посмотрите на блог Алексей Лукацкого: даже такому титану шибко не о чем писать, если новостей нет. Отсюда значительное количество постов «по мотивам вчерашних твитов».

И комьюнити, которое хотя бы комментарии пишет, довольно небольшое. У Алексея на 20 последних постов в среднем 3,5 комментария. Это у топ1 блогера. Я думаю, есть большой пласт безопасников, которым некогда читать все подряд, чтобы найти интересное. А когда они попадают на конференцию, их ждет куча рекламы

Так и живем. Всего вам доброго.

 

Тайм-менеджмент, как секта

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.

SOC-forum как квинтэссенция отечественных конференций

Пойти на SOC- forum меня сподвиг исключительно конкурс от Андрея Прозорова на лучший отчет о форуме (если вдруг будет голосование, голосуйте). ;) Надо сказать, что на различных мероприятиях по ИБ я бывал достаточно. Например, 9 лет подряд ходил на Infosec (теперь уже нет).

Мероприятия эти делятся на три вида: общей направленности (тот же инфосек), вендорские, маркетинговые или партнерские. SOC- forum был вендорским мероприятием, маскирующимся под общую направленность. Почему вендорским? Потому что главным спонсором выступала компания Solar Security, она же держала большой стенд и читала львиную долю докладов. Только не подумайте ничего плохого (Денис, все норм).

SOC-forum в глазах слушателей

SOC-forum в глазах слушателей

В общем, все это я примерно представлял, и пошел туда в новом качестве. В качестве блоггера. Что значит быть блоггером? Это значит надо везде ходить и все слушать. Я так и делал.

Начнем с организационной части – она отвратная. Насколько хорошо на BISA форумах, настолько плохо на SOC. Начнем с того, что заплатив деньги, я так и не смог ничего съесть. Обед вообще прошел мимо меня, кофе-машины работали через одну, добавку никто не приносил. Как вариант — пригласили слишком много людей, на это бы можно было закрыть глаза, если бы я пришел на халяву. Итого – жирный минус.

Раздаточный материал странный, блокнота не дали (было три листа для заметок в программке), зато дали 2 ручки. Все началось с опозданием на 10 минут, так и катилось до конца. Залы совсем не были приспособлены для подобного шоу, экраны как-то странно расположены – если сидеть по центру, то голову свернуть можно. И навязчивая реклама по центру. Я сам был на пленарке и секции Андрея Прозорова. У Алексей Лукацкого зал был в 3 раза меньше, и все не поместились. А так ничего – на троечку с минусом организовали.

По содержанию. Это тихий афиг. В демагогии есть такой контрприём: чтобы поймать демагога – надо за ним записывать. По идее им еще пользуются журналисты, а блоггер почти журналист. Вот я и записывал.

Главный вывод по конференции – все собрались, потусовали, но дельного ничего не сказали. Конференция прошла впустую. Человек неподготовленный не смог даже узнать, что такое SOC. Пленарку вообще начали со срача. Лукацкий и Маннаников на предложение утвердить определение SOC хором сказали «НЕТ!». Но зал в лице представителя Дипакадемии надавил (уважение). И все стали пытаться дать определение. Виталий Лютиков попытался перевести разговор в научно-техническую точку зрения (и в целом говорил интересные вещи про процессы в соках, но мало).

Самое дельное по определению «Что такое SOC?» сказал Иван Мелехин: как переведем Operation в SOC, так сразу сложится картинка — лиибо управление, либо мониторинг.

Настала первая очередь всех высказаться. Игорь Ляпунов начал сразу с рекламы Solar. Иван Мелехин спросил «а существуют ли SOC , или это новый маркетинговый ход»?

Лучшее место, что бы слушать и задавать вопросы

Лучшее место, чтобы слушать и задавать вопросы

А потом все свалилось вообще в Ад. Кстати, ни один заявленный вопрос пленарного заседания так и не получил ответа. Хотя голос разума иногда возобладал. Что удивительно – это было со стороны регуляторов, за что им респект. Все заспорили о… госрегулировании соков. Не буду описывать, лишь цитаты:

Ляпунов: госрегулирование – хорошо, разумное вдвойне хорошо.

Мананников: нужен пряник, необходимо сертифицировать SOC.

Лукацкий: Игорю (Ляпунову) необходимо регулирование, чтобы продавать свои услуги.

Лютиков: создайте свой стандарт по SOC, не ждите регуляторов.

Финогенов: Я еще не знаю, что такое SOC. В начале практика, затем регулирование.

Все слушают пленарное заседание

Все слушают пленарное заседание

Следующим кругом ада стало обсуждение ответственности соков перед Заказчиками. Опять только цитаты:

Ляпунов: Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера.

Лютиков: включайте в договора солидарную ответственность.

Лукацкий: у нас и за ЗПД никто ответственности не несет, у нас не защита персданных, а защита о регляторов.

И поговорили немного про банки.

Сычев: Отслеживает ли DLP унесенную базу дропперов? А надо.

Курило: Инциденты в банке могут не возникать годами. SOC – это армия в постоянной боеготовности.

По итогу пленарное заседание потерпело фейл. Сокрушительный. А надо было изменить всего лишь малость, уменьшить количество экспертов. Я бы с удовольствием послушал, например, регуляторов – Виталия Лютикова (ФСТЭК) и Дмитрия Финогенова (ФСБ). Крайне разумный подход к проблеме. Я отдельно послушал бы критику Лукацкого и Мананникова. Отдельно – представителей вендоров. Но всех вместе – это фейл «клуба любителей SOC» и Авангарда.

Затем начались секции…

Я был на «Тематическое заседание 1 «Опыт построения и эксплуатации SOC». Сам я сделал чуть-чуть SOCов, поэтому было интересно услышать опыт коллег. Тут не буду подробно описывать – презентации можно посмотреть в интернете, напишу лишь свои записи к каждому из выступающих. Это те вопросы, которые у меня возникли к ним, и которые я старался задать (два раза меня прокатили, хотя уже держал микрофон в руках). Кстати, всю секцию я один практически вопросы и задавал – блоггер, что с меня возьмешь?

Top3 блоггер, на секции по опыту построения SOC

Top3 блоггер на секции по опыту построения SOC

Опыт построения и эксплуатации центра мониторинга ИБ в ОАО «РЖД»

Александр Глухов, заместитель начальника Департамента безопасности ОАО «РЖД»

Рассказывали, как ЦБИ внедрило SOC в РЖД.

Агентская технология? Сертифицирован ли агент? НДВ? Является ли агент угрозой и точкой отказа? Какие контроли используются? Все теперь делают геопривязку. РЖД еще не подключено с СОПКЕ.

Вопрос про агент задал разработчикам. Получил ответ, что 1 версия была сертифицирована, сейчас 3, и когда-нибудь ее сертифицируют. Получил интересное мнение, что если ЦБИ является сертифицирующей лабораторией, то софт пишет без НДВ.

<слухи mode on>

Уже в перерыве конкуренты открыто говорили, что решение у ЦБИ не работает.

<слухи mode off>

 

Опыт построения и эксплуатации коммерческого SOC

Владимир Дрюков, руководитель департамента JSOC Solar Security

Время на остановку атаки (с) – оно есть?

Готовы ли вы нести солидарную ответственность? Этот вопрос так и не дали задать :(

 

Технологии и опыт реализации распределенного SOC

Роман Назаров, начальник отдела систем управления рисками ЗАО НИП «Информзащита»

Информзащита тоже внедрила SOC в РЖД… Так и не понял, как они сферы влияния с ЦБИ попилили.

Сделали несколько территориально распределенных центров обработки инцидентов. Единой мастер ноды и корреляции нет. Разделено по инцидентам.

 

Опыт построения и эксплуатации центра мониторинга компьютерных атак и управления инцидентами

Алексей Васильев, руководитель центра мониторинга, ЗАО «Перспективный Мониторинг»

Была и дочка Инфотекса. Нишевой продукт для сетей VipNet.

Могут ли использоваться другие IPS? В какие SIEM/ SOC других вендоров вы передаете информацию? Инцидент, описываемый по ГОСТу? Вы заменяете собой антивирус? Много слов «будет» и «будущего времени»

Цитата: SIEM из коробки.

 

SOC: от идеи к результату

Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

Хороший теоритический доклад.

Цитата: 46 функций SOC, но еще никто их не реализовал.

 

Эффективный SOC для критической инфраструктуры. Знания и инструменты

Евгений Генгринович, советник Генерального Директора АО «ITD Group»

Как иностранный GRC применять в РФ? Правильно ли, что вы предлагаете «консультант» с практиками по ИБ? Как происходит обновление фидов в сегменте АСУ ТП без интернета?

 

Фундамент для построения SOС

Руслан Бялькин, директор по продажам комплексных решений, SAFEDATA

Цитата: ЦОД и SOC не различаются с точки зрения инфраструктуры.

 

На секции у Лукацкого в каждом докладе была реклама себя любимых и тех решений, что они продают. Отличился только Positive, сказав, что не делает SOC и SIEM.

Дальше уже не мог быть, поехал по делам своего SOCa.

Итоги:

  • Организаторам жирный минус. Секции были забиты рекламой чуть менее, чем полностью. Из интересных и умных экспертов можно было сделать 10 интересных секций.
  • Минус в карму тем, кто рекламировал себя вместо просвещения аудитории.
  • Ни один заявленный вопрос конференции не был рассмотрен должным образом. Все неслись галопом по европам.

Идти или не идти в следующий раз? Если вас приглашают бесплатно – конечно, идти. А вот деньги за такое платить не стоит.

P. S. Усе, ухожу из блоггеров. Неблагодарная это работа. Андрею и Алексею по службе положено везде бывать и выступать. Грусть видна в их глазах. Не хочу так. Лучше я буду по-простому – графоманить на тему безопасности, и на конференции особо не ходить.

«Топим лед» по Прозорову

Что-то не оставляет меня тема блоггерства. Пошел почитать, что пишут. Заглянул к Прозорову, последняя запись о фразах, которые «топят лед» в общение с безопасниками. Посмотрим предметней:

— Сколько человек в подразделении ИБ, кому подчиняется?

"Ломая лед" по Андрею Прозорову
С места в карьер. Вы бы еще про бюджеты спросили.

— Имеется ли перечень критичных ИС и в каком виде?

И сразу вопрос про КИС (или по старому КСИИ). Учитывая, что в 99% заказчиков КИС нет, вопрос в пустоту.

— Сколько документов регламентируют ИБ, где хранятся актуальные версии, как часто пересматриваются?

Второй вопрос начинающийся со «сколько». Тут явно не хватает еще «сколько у вас денег в этом году». Что интересно, не задается более актуальный вопрос – что это за документы. А уж место хранение актуальных документов… оно нам зачем?

— Используются ли мобильные устройства для работы, как они защищаются?

Solar продает MDM решения? Или ведет разработку VPN клиента с ГОСТОм? Мы явно чего-то не знаем.

— Каким образом регламентируется и контролируется использование съемных носителей?

Этот вопрос из арсенала продавцов DLP. Что-то я не слышал, что бы у Solar был такой функционал, или это бытность памяти по Infowatch?

— Что с правами администратора для рядовых пользователей?

Как-то хаотично скачем. Нумерации в списке нет, но думаются они стоят по уменьшению приоритета. Вопросы съемных носителей и админских прав, это, конечно, проблема, но не самая первая.

— Каким образом пересматриваются и изменяются права доступа пользователей к ИС?

Вопрос для продажи IDM от Solar =)

— Есть ли SIEM, кто настраивает правила корреляции?

Кто настраивает правила… кто настраивает… Если SIEM есть, то специалисты заказчика. Если нет, то никто. Продаем сервис от Solar.

— Кто проводит сканирование уязвимостей, как часто, каким средством?

Странно, как-то сформулирвоан вопрос. Почему нет вопроса – провдиться ли вообще сканирвоание?

— Где и как фиксируются инциденты ИБ?

Слово «фиксируются» имеет значение: заносить в журнал факт. Про выявление инцидентво ни слова. Solar inView только фиксирует инциденты? =)

— Насколько выполняете требования Приказа 21?

Надо понимать, другие требования 152-ФЗ выполнять не надо ;) Или они не выполняются продуктами Solar?

— Какие грифы конфиденциальности проставляются на документах?

«Какие грифы» — а их несколько? Знаю три грифа по гостайне, по конфиденциальности в лучшем случае ставиться один – конфиденциально. Или речь идет о форме, крючк там, или плюсик ставиться? Очень информативный вопрос.

— Проводились ли проверки регуляторами и каковы их итоги?

99% заказчиков не сталкивалось с проверками по безопасности.

— Каким образом проводится обучение и повышение осведомлённости пользователей?

Норм вопрос, но задача не в первой сотне.

— Какие крупные инциденты ИБ происходили за последние пару лет?

Андрей, а вы NDA подписали, что бы вам такое рассказывали?

— Начали ли что-то делать по теме импортозамещения?

Андрей, продаете ArcSight под маркой Solar? ;)

— Что запланировано по ИБ на этот и следующий год?

Уже не плохо.

 

Как видно, нет ряда ключевых вопросов. Один из них – а какие насущные проблемы есть сейчас?

Всего вам доброго.

Как Лукацкий накинул на Царева, или обзор российской блогосферы по информационной безопасности

Вокруг любой области, насколько бы она не была узка, формируется культурный ареал. Люди любят общаться себе подобными, обсуждать общие проблемы и делиться успехами. В начале все начинается с пиваса на поинтовке, потом перерастает в специальные конференции. Естественно формируются вокруг этого различные специализированные СМИ и блогеры.

Лукацкий накинул на Царева

Кто такой блоггер? Человек ведущий блог. Блог может быть личным, или специализированным. Специализированные в основном ведут специально нанятые люди по заказу больших компаний. Данные блоги интересные специалистам в этой и смежной плоскостях. Зачастую такие блоги унылы более, чем полностью. Нанятый аноним, часто не является профессионалом в заданной области, и постит репосты и унылые корпоративные брифинги.

Личные блоги интересно читать, если харизма автора не подводит и сам он не слишком увлекается этим самым личным. Где-то между ними и помещается «идеальный блог».

Зачем заводят личный блог? По многим причинам. Например, вы графоман и вам есть о чем сказать. Вас наняли вести этот самый блог за деньги. И самая распространенная причина, для личного пиара.

Пиар вещь обоюдоострая. С одной стороны она позволяет протолкнуть личный бренд, или товар заказчика. Вас станут чаще приглашать на конференции, и вы станете известны узкому кругу лиц. Вы даже сможете уйти на повышение в крупную западную фирму. Но это требует уйму времени. Которое можно было бы потратить с большей пользой. Если вы занимаетесь более-менее чем-то реальным, у вас не найдется времени ездить на конференции каждую неделю и строчить по 5 постов в день (плюс Твиттер). Как только цель пиара бывает достигнута, блог умирает.

И в какое место рейтинга тогда включать этого «писаку»?

Я сам редко читаю блоги по ИБ. И совсем уж не слежу за медийной движухой, кто с кем дружит/не дружит, куда ушел, куда перешел. Заставил меня оглядеться вокруг пост Алексея Лукацкого, где он создал свой рейтинг блогов в ответ на другой рейтинг другого блоггера, который создал … (рекурсия, такая рекурсия).

Заметка делиться на две части. В одной Лукацкий накидывает на Женю Царева, у которого больше фоловеров в Твиттере (почти, 6000), который уже 200 дней ничего не пишет, а до этого писал одни репосты и « Ни одной адекватной и интересной мысли» (с). Почему же спрашивает Алексей – количество фоловеров не уменьшается? Ответ наверняка, я лишь предполагаю, кроется в том, этих фоловеров купили на какой-то площадке по раскрутке блогов. Деньги уплачены по прайсу, поэтому пиши не пиши, а подписчики будут висеть.

Во второй, Алексей говорит, что необходимо оценивать контент, а не количество просмотров или записей. Давайте, так и поступим. Пройдемся по топу отечественных блогеров по информационной безопасности.

Обращаю внимание, это не рейтинг, а обзор, который является личным мнением автора. Информация взята из открытых источников.

Алексей Лукацкий «Бизнес без опасности»

Алексей, человек заслуженный, давно присутствует в ареале информационной безопасности (ходит на все конференции, везде выступает и т.п.). Блог ведет с 2007 года, и как утверждает его автобиография написал пару книжек и более 400 статей по ИБ. Работает в компании CISCO, где помимо личного блога, пишет для корпоративного – 20% статей с пиаром работодателя, еще 10% про слияния и поглощения.

Остальные 70% поделены между новостями об изменении в законодательстве, и рассуждениях автора о том, как же все будет после этого плохо. Я лично отслеживаю новинки в нормативке в этом блоге. Для этого и держу его в закладках, увы, времени отслеживать изменения самостоятельно – нет. Надо отдать должное работоспособности Алексея, отслеживать столько всего и, до кучи, участвовать в многочисленных рабочих группах – это круто.

А вот с аналитикой по изменениям, бывают серьезные накладки. Надо понимать, что Алексей работает в крупном западном вендоре, и не может отклоняться от линии партии – есть плохие темы «импортозамещение, сертификация, персональные данные», есть хорошие – по перечню продаваемой продукции, особенно продукция для банков и BYOD.

Помниться был серьезный косяк за Алексеем, когда, еще в бытность четверокнижия и приказа трех, он утверждал, что не бывает типовых систем, а только специализированные (отчасти правда), и что классифицироваться эти системы должны как просто «специальные». Я в то время, плотно общался с регуляторами по методическим рекомендациям Минздрава и Депортамента образования и знал их позицию, и она в корне расходилась с позицией Алексеея. Потом я встречал много заказчиков, которые повелись на поводу у авторитета и попали впросак. Но каждый должен думать своей головой.

Читать стоит, но осторожно.

Волков Алексей «Безопасность для понимающих и не очень»

Пример умирающего блога человека, у которого стало мало времени. Алексей заведует эксплуатацией средств защиты и удостоверяющим центров в Северстали. Раньше писал много, и был активным участником блогосферы и Твиттера. Отметился многими достижениями (например, перевел еще первый nmap), и является больше практиком, чем теоретиком.

Сейчас читать нечего.

Прозоров Андрей  «Жизнь 80 на 20»

«Жизнь 80 на 20» — это пример классического пиара корпоративного блога. Какое-то время Андрей работал в компании InfoWatch (и пиарил соответствующее DLP), а в этом году ушел в Solar Security (и пиарит теперь другое DLP – что на мой взгляд полный провал, как теперь в глаза людям смотреть? «Я раньше предлагал вам какашечное решение, а теперь конфеточное?»).

В блоге 30% репостов, 30% о книгах, которые Андрей прочел, и остальное пиар продуктов текущего работодателя. Встречаются ссылки на хитрые западные стандарты, методики и аналитику, под соусом «изучу подробнее».

Андрей адепт тайм-менеджмента и личной эффективности, в узком ее понимании – а-ля «как заработать много денег не работая». На конференциях часто выступает модератором, а не спикером.

Читать можно, если вам необходимы обзоры новых книг.

Вот, такой он топ блогосферы. Два корпоративных пиар блога, и человек , у которого все меньше времени что бы свой блог вести. Как я говорил в начале, это довольно частое явление. Тот же Евгений Царев забил на блог, когда устроился в представительство западного вендора, Аркадий Прокудин – аналогично. Очень мало энтузиастов у нас.