Что я не услышал на SOC Forum 2.0

На днях Денис Батранков написал заметку о том, что он увидел в презентациях с SOC Forum 2.0 хотя на самом форуме его не было 🙂 Я решил не отставать и написать о том, чего я в презентациях не увидел, хотя на самом форуме был. Лично для меня не хватило практики; и не важно с чьей стороны — заказчиков, интеграторов или поставщиков услуг SOC. Да, заказчиков было мало и причины этого я уже пытался анализировать, но остальные?.. Нечего сказать или отсутствует желание делиться информацией с коллегами? Причин не знаю. Но в итоге мы вновь вернулись к тому, от чего хотели отойти в прошлом году — к рассказам о том, что такое SOC и зачем он нужен, но не о том, как выстраивать те или иные процессы SOC и какие подводные камни могут быть на пути к тому или иному уровню зрелости центров мониторинга. Кстати, об уровнях зрелости не упоминал только ленивый, но вот к себе почему-то его никто не примерял, а если примерял, то «малость» завышал оценку 🙂

Но вернемся к теме заметки. Так сложилось, что я имею некоторое представление о том, что рассказывают на западных, в частности, американских мероприятиях по SOC. Там есть ежегодный SOC Summit, там есть мероприятия по Threat Hunting, по Digital Forensics, по Incident Response. Поэтому, сравнение пока не в пользу нашего SOC Forum. Ну да это понятно — бизнес-модель упомянутых западных мероприятий совсем иная. Там мероприятие платное для участников и поэтому они хотят видеть что-то конкретное и полезное, а не просто рассуждения на тему «Что такое SOC?» или «Какой уровень зрелости должен быть у SOCа на втором году жизни?». Итак, вот мой список того, что я не увидел на SOC Forum в этом году и что хотелось бы:

• Больше докладов от заказчиков, которые делятся не только своими достижениями, но и своим негативным опытом, который тоже полезен. Как минимум, он позволяет не наступать на грабли последователям. А как максимум, показывает уровень зрелости компании, готовой делиться не только своими успехами. Очень мне понравился доклад от самого ЦБ об опыте работы внутреннего центра мониторинга. Нет, речь не о FinCERT, а о том, как ЦБ борется с угрозами внутри себя. Это вообще редкость, когда регулятор делится опытом собственной защиты. На моей памяти это вообще первый публичный случай. Мы эту тему обсуждали в программном комитете еще в прошлом году и вот первый результат, который вышел не комом. У ФСБ тоже есть СОПКА (а не только ГосСОПКА) и было бы интересно (хотя я понимаю, что это малореально) послушать об их опыте самозащиты.
• Не хватало реальных кейсов поимки кого-либо или чего-либо. Большинство докладов фокусировалось на том, что такое SOC, какие функции он решает, какие процессы в нем есть и т.п. Но есть ли какая-то польза от него? Помог ли он решить те задачи, для которых его создавали. Даже если дистанцироваться от темы эффективности, было бы интересно посмотреть примеры обнаружения APT, поимки инсайдера и т.п. Такой доклад был только у JSOC и то, потому что у них, как у генеральных спонсоров, было целых три доклада. А если бы не было трех докладов? Выбрали бы рекламу себя или обмен опытом?
• Не хватало реальных кейсов оценки эффективности деятельности SOC. Кроме доклада  Газпромбанка и банка «Санкт-Петербург» по сути никто так и не привел метрик оценки своей эффективности даже вскользь. И возникает классический вопрос — так стоит ли овчинка выделки? Надо ли тратить немало ресурсов на создание того, что сложно оценить в конкретных показателях? Понятно, что тема эта непростая, но все-таки. Сюда же относится и демонстрация показателей TTD/TTC/TTR (Time-to-Detect/Time-to-Contain/Time-to-Response). Эти показатели звучали на SOC Forum только один раз — у меня в презентации в качестве примера метрик оценки эффективности SOC. У той же Информзащиты и JSOC в презентациях говорилось о времени реакции (это TTD, TTC или  TTR?). При этом были указаны какие-то запредельные показатели в «15 минут» у Информзащиты и «10 минут» у JSOC (у них еще упоминались «30 минут» как время противодействия). Фантастические показатели, если честно. У того же Cyberbit в презентации были показаны более реальные значения — 80% инцидентов закрываются в течении 6 часов. А вот пример из нашего собственного SOC компании Cisco.

• Про финансовую оценку эффективности и говорить не приходится. Тема не звучала в принципе. Правда, справедливости ради, надо признать, что и на западных мероприятиях она мало звучит. Как и тема обоснования руководству необходимости SOC.
• Не хватало рассмотрения таких важнейших тем, как визуализация (об этом упомянул только Эшелон, но на примере своего решения) и подготовка отчетов (об этом говорил НТЦ Вулкан, но опять же на примере своего продукта). А хотелось бы услышать чуть больше советов о том, какие формы визуализации и для каких инцидентов подходя, какие отчеты и для каких целевых аудиторий нужны? От этого очень многое зависит в том, как будет воспринимать руководство построенный SOC.
• С технической точки зрения практически полностью отсутсовали рассказы о Threat Hunting, расследовании инцидентов, реагировании на них, приоритезации событий, применении современных методов анализа данных — машинном обучении (кроме доклада Открытых технологий), нейросетях и т.п. А ведь именно эти сервисы/процессы отличают SOC от банального применения SIEM. 
• Ну и конечно была упущена тема персонала для SOC, а точнее тех знаний и компетенций, которыми должен обладать специалист SOC (например, аналитик). Вкратце об этом говорил представитель моей альма-матер (МИРЭА), рассказав о том, как они готовят специалистов для ГосСОПКА. Но этого явно было недостаточно и не каждый готов пойти вновь за институтскую скамью, чтобы получать нужные знания.