Тема центров мониторинга киберугроз и реагирования на инциденты у меня в блоге является если не самой основной, то одной из них. Множество заметок, видео, подкастов, статей посвящено различным аспектам проектирования и функционирования SOC. И вот грядет очередная порция материалов, которые приурочены к проходящему в Москве и в онлайне 7-8 декабря SOC Forum 2021.
Во-первых, в журнале BIS Journal, бумажная версия которого будет распространяться на SOC Forum, у меня вышло сразу две статьи. Первая, «Что надо знать, если вы решили применить машинное обучение при мониторинге угроз?«, является кратким введением в тему искусственного интеллекта в деятельности SOCов. Какие сценарии применения ML в SOC существуют? Как формируется датасет для обучения ML и можно ли его найти в Интернете? Как и зачем размечиваются данные для работы ML? Какие признаки (атрибуты) могут быть при анализе вредоносности файла или анализе сетевого трафика или анализе DNS-запросов и ответов? Как выбираются модели ML? Можно ли самостоятельно создать подсистему ML в своем SOC и какие неудобные вопросы надо задавать ИБ-вендору, который заявляет о том, что у него ИИ в полный рост применяется в решениях по ИБ? Про это и многое другое я попробовал рассказать в статье. Дополнительно к статье, я бы рекомендовал еще посмотреть видео, которые записано по результатам моего выступления по этой теме на Уральском форуме по банковской ИБ.
Вторая статья, «Какую модель функционирования SOC выбрать?«, является расширенной версии моего выступления на прошлогоднем SOC Forum LIVE, видео которого тоже можно посмотреть у меня на сайте. Ее идея заключается в том, что очень часто противопоставляются две модели организации SOC – целиком собственный и внешний, коммерческий, которому функция мониторинга передаётся на аутсорсинг. Но ведь существуют и иные популярные модели. Это и использование облачной SOC-платформы, с которой работают ваши аналитики, и применение чужих рук для приобретенного уже технологического стека SOC. У каждой из этих моделей есть свои преимущества и свои недостатки, свои особенности и нюансы. Участвуя в проектирование и аудите SOCов в России и странах СНГ, я могу сказать, что сегодня нет явного лидера в какой-то из моделей. Разве что модель «Managed SIEM» популярна менее остальных, но есть примеры ее применения и у нас.
А в следующей заметке я напишу о тех выступлениях, которые у меня будут на SOC Forum завтра и послезавтра и которые будут транслироваться онлайн (для тех, кто не сможет присутствовать на мероприятии очно).
