В Нур-Султане прошел SOC Day 2019

Евгений Питолин, управляющий директор «Лаборатории Касперского» в Центральной Азии, открывая форум, замечает: «Вопросы построения центров ОЦИБ (оперативный центр безопасности — прим. редакции) — это, пожалуй, сегодня самый важный вопрос. И люди, которые будут „ставить“ его — это тоже важный вопрос. И все это — в фокусе форума». По его словам, ситуация в области информационной безопасности вызывает вполне резонные опасения, оттого тема SOC, точнее, вопрос о том, как выстроить «правильный» SOC, становится еще более значимой. «Сегодня мы презентуем свежий отчет по кибербезопасности в Казахстане. И он не очень „веселый“. Вот несколько цифр: каждый седьмой пользователь в Казахстане столкнулся с мошенничеством на веб-сайтах, республика находится на втором месте по атакам мобильных вымогателей. Можно вкладывать миллионы в технологии, но не менее важно — вкладывать в людей. И мы [„Лаборатория Касперского“] идем здесь в тренде, запуская платформу обучения пользователей, причем, локализовали ее на казахский язык», — говорит он.

Руслан Абдикаликов, заместитель председателя Комитета по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан (МЦРОАП), как представитель регулятора констатирует: в республике всего два сертифицированных ОЦИБа, что для страны, где зарегистрировано около 150 тысяч доменов, а порядка 80 тысяч организаций используют интернет как часть каких-то бизнес-процессов, — крайне недостаточно. С другой стороны, меры, предпринятые в рамках программы «Киберщит», позволили Казахстану резко вырасти в глобальном индексе кибербезопасности Международного союза электросвязи (МСЭ) — текущее место 40-е. Сегодня, по словам Руслана Абдикаликова (это к вопросу о человеке как важнейшем элементе в системе кибербезопасности — тезис, заданный ранее Евгением Питолиным), идут переговоры с Министерством образования и науки Республики Казахстан о том, чтобы ввести уроки по ИБ в школах, обучая детей определенным навыкам уже за школьной партой.

Но вернемся к «Киберщиту». Здесь, по словам заместителя председателя Комитета по информационной безопасности МЦРОАП, заложены довольно сильные и более того — фундаментальные вещи, которые способны поднять Казахстан в упомянутом индексе кибербезопасности МСЭ к 2022 году почти на 50% — это соответствует показателю 0,6 против 0,3 в 2018 году. Интересно, что в этом же документе фигурируют планы поднять долю местного содержания в части продуктов в области ИБ до 50% к 2022 году против 10% в 2018 году.

Из жизни ОЦИБа

Программа SOC Day 2019 — это 21 доклад. И многие делегаты в кулуарах говорили о том, что он скорее похож на мастер-класс, где есть возможность получить если не пошаговое руководство на пути к своему идеальному SOC, то интересные лайфхаки и компетенции. В частности, Гани Надирханов, директор департамента информационной безопасности АО «Национальные информационные технологии», рассказывает о том, как строился ОЦИБ для госорганов. Очень актуально, ведь, по его словам, в прошлом году на инфраструктуру госорганов совершено около 1,5 млн кибератак. Арман Абдрасилов, директор ЦАРКА, возвращается к «сверхидее» — кадрам (это красная нить всего SOC Day 2019). Сегодня, по его словам, главная задача — это рост местной квалификации. «Несмотря на то, что в этот вопрос вкладывается много сил и денег, роста квалификации пока не происходит, по крайней мере, у меня такого ощущения — нет», — поясняет он.

Олег Вяткин, директор по развитию продуктов InfoSecurity (Softline), дает реальный кейс о создании SOC, а генеральный директор Tengri Security Тимур Имамбаев рассказывает свою версию через некую философскую призму. Можно ли мониторить хаос? — задается он вопросом, и выносит на поверхность противоречия, которые неизбежно возникают при функционировании ОЦИБа.

Еще больше кейсов — наполняя SOC

В этом разделе SOC Day 2019 много говорили о технологиях и кейсах. Например, Сергей Солдатов, руководитель SOC в «Лаборатории Касперского», говорил о сервисе SOCaaS (Managed Protection), Рустэм Хайретдинов (CEO Attack Killer) — об использовании технологии Machine Learning в ОЦИБах, Кирилл Ильганаев (региональный менеджер по СНГ Palo Alto Networks) в очередной раз задается вопросом об идеальном SOC и более того — дает некоторые рецепты. Эстафету берет Александр Скоркин, главный инженер по ИБ в BiZone, и поднимает вопрос особенностей взаимодействия с заказчиками. А Олег Биль, главный архитектор-разработчик (руководитель) Лаборатории исследования вредоносного кода РГП «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан, завершает блок, приводя несколько кейсов в стиле «найти атаку в стоге сена».

Защищая SOC

Вопрос защиты самих ОЦИБов — не праздный. Сделать атаку на SOC и «обесточить» защиту для тысяч ресурсов выглядит логичным шагом для злоумышленников, тем, что приходит в голову в первую очередь. Сверхцентрализация здесь, понятно, имеет свою обратную сторону. И этот блок SOC Day 2019 был призван показать кейсы и решения в части снижения этих рисков. Сергей Солдатов, к примеру, поднявшись на сцену SOC Day 2019 во второй раз, говорит о матрице MITRE ATT@K в повседневной работе ОЦИБа. Мария Воронова, директор по консалтингу InfoWatch, поднимает вопросы методик и процессов внутри SOC при реагировании на инциденты утечки информации. Андрей Бешков, независимый эксперт по информационной безопасности, говорит о том, как выжить ИБ в эпоху DevOps. «„Безопасники“ не очень любят DevOps, но на самом деле — это друг. И если относиться ко всему как к коду, то, как только мы эти принципы применяем, то все это начинает работать», — замечает он.

Блок продолжает Лев Шумский, директор по информационной безопасности Ассоциации «Финтех», и Станислав Гонтаренко, директор по ИБ «Мандарин Банка», с кейсом обеспечения безопасности с помощью ossec & wazuh (механизм обнаружения, просмотра и сравнения соответствия безопасности с открытым исходным кодом).

О пентестах. В последнее время об этом много говорят, и Даурен Базарбеков, специалист ЦАРКА, а также Данияр Касенов, архитектор информационной безопасности Inova Tech, уходят глубоко в эту тему с презентацией «Пентестим SOC — как и зачем?». «Один из главных вопросов здесь таков — у вас есть SOC, и нужно понять действительно ли он вас защищает?», — поясняет Даурен Базарбеков. Завершает блок Виталий Казанцев, директор научно-консультационного центра Национальной телекоммуникационной ассоциации, генеральный директор юридической компании «IT-LAW». «У нас в законодательстве нет понятия „пентест“, нет понятия „теста на проникновение“. И это не аудит — ничего подобного, потому что процедуры аудита четко установлены. Я хочу напомнить, что для привлечения к уголовной ответственности в Казахстане не важны последствия — важен сам факт использования вредоносного ПО», — говорит он, охлаждая «горячие» головы.

SOC — это люди

Завершающий блок SOC Day 2019 посвящен людям — тем, кто этот ОЦИБ, собственно, делает. И здесь Илья Борисов, руководитель по информационной безопасности Thyssen Krupp Industrial Solutions в странах СНГ, в презентации «Эволюция Red, Blue и Purple teams. Как не стать ИБ-дальтоником?» вспоминает вьетнамскую войну и говорит, что именно оттуда в ИБ пришли эти понятия — «синяя» и «красная» команды. «Например, для „синей“ характерны навыки, аналитические знания, глубокие знания защитных мер и т. д. А вот „красная“ команда — это нестандартное мышление, глубокие знания, кругозор и т. д. Но есть проблемы — мотивация», — говорит он, завершая сакраментальной фразой, что «то, что происходит в CERT, мало кто понимает».

Александр Мазикин, руководитель направления Threat Intelligence в «Лаборатории Касперского», в своей презентации говорит о профессиональном обучении команды SOC, а завершает форум Рустэм Хайретдинов, CEO Attack Killer и первый вице-президент ГК InfoWatch, который говорит о «выгорании» людей. «Среднее время работы на мониторинге и отражении атак вне столиц — 9 месяцев. Люди — дефицитный и ненадежный ресурс», — избавляет он от иллюзий.

Вместо резюме

Значительная часть экспертов так или иначе останавливается на кадровом вопросе, на людях, которые работают в SOC, делают его. И тут приходит понимание, что дела здесь обстоят не очень-то хорошо, в отличие от зрелой регуляторной среды. Арман Абдрасилов, например, говорит о том, что пентесты стоят дорого — на эту работу приходиться привлекать специалистов из-за рубежа — таковых в Казахстане крайне мало, можно пересчитать по пальцам. Это определенно тормозит саму идею — с одной стороны, количество угроз растет, с другой ответить (если понимать SOC как ответ на текущие вызовы) нечем. И все-таки свет в конце тоннеля есть: в последние несколько лет в системе высшего образования резко возрос заказ на специалистов в области ИБ, и вузы ответили на этот спрос. Но, учитывая, что система образования имеет определенный лаг (5-6 лет), это значит, что приток специалистов на рынок начнется лишь через 2-3 года. В общем, нам бы ночь простоять, да день продержаться. А потом будет легче.

Посмотреть фоторепортаж с конференции SOC Day 2019

Видеозапись конференции: