Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось — все-таки задача семинара была совсем в другом.
Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:
При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).
На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится — отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей 🙁 Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.
Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим — их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.
Еще одним «откровением» стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что «выгнать» злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT, увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.
Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.
