Посмотрите на эту картинку:
Она иллюстрирует упрощенную модель зрелости процесса управления журналами регистрации (log management). На каком уровне вы находитесь? Ответье честно сами себе. Если вы не достигли финального, пятого уровня (то, что находится в самом низу — это нулевой уровень), то о каком SOC может идти речь? Впору задуматься о SIEM, системе мониторинга ИБ. Кстати, неслучайно в нормативных документах той же ФСТЭК говорится о сборе событий безопасности, а не о мониторинге; это высший пилотаж, который могут потянуть далеко не все. Да, отсутствие NTA, EDR, UEBA, IRP (SOAR), CASB и других технологий тоже говорит, что вам пока рано думать о SOC, но управление логами — это основа основ мониторинга ИБ.
Я уже не раз писал, что в России не хватает фокусных мероприятий по тем или иным темам. Да, есть SOC Forum, целиком посвященный центрам мониторинга ИБ. Но в нем, по сути, мы перескочили через базу — через системы мониторинга (SIEM), без которых SOC не построишь. Хотя вон “Перспективный мониторинг” везде говорит, что у них в SOC нет SIEM, а все базируется на системе TIAS собственной разработки. Кстати, собственные разработки в области SIEM — это один из трендов российского рынка. Как раньше все разработчики создавали DLP-решения, так сейчас пришла пора для систем мониторинга, нужда в которых есть, а применять решения зарубежные боязно. Кто-то санкций боится, кому-то и вовсе запрещено применять иностранное, а кому-то нужно решение сертифицированное.
И вот на фоне этих обстоятельств и родилось еще одно мероприятие, которое пройдет 21-го ноября в Москве. Речь идет о научно-практической конференции “Мониторинг информационной безопасности — проблемы построения и эксплуатации”, проводимой ЦБИ. Когда я узнал об этом мероприятии (а меня пригласили модерировать одну из его секций), то у меня возник закономерный вопрос. 22-го же ноября проходит SOC Forum; не будет ли пересечения у этих двух событий, посвященных схожей теме? Но внимательно посмотрев на предварительную программу и пообщавшись с организаторами, я склоняюсь к мысли, что пересечений у конференции ЦБИ и SOC Forum будет немного.
Во-первых, мероприятие ЦБИ фокусируется на системах (SIEM), а не центрах (SOC) мониторинга. На нем будут говорить про масштабирование SIEM, работу с разными источниками данных, их нормализацию, оценку полноты данных и т.п. То есть речь пойдет одновременно и о научных аспектах, и о практических. Во-вторых, конференция “Мониторинг информационной безопасности” организована известным российским вендором со сложившейся клиентской базой. Поэтому предположу, что целевые аудитории у двух мероприятий будут разные. Кстати, это будет не совсем моновендорная конференция — в программе заявлены представители разных игроков рынка — Microsoft, РТ-Информа, Кода безопасности, НТЦ Вулкан, НИИАС, Infowatch, Крока, СолидЛаб, Газинформсервиса, ГНИВЦ ФНС и т.п. (это помимо ряда крупных заказчиков, которые будут делиться своим опытом применения систем мониторинга ИБ). В третьих, у мероприятия ЦБИ заявлено еще два интересных момента — объявление грантов на инновационные разработки в области мониторинга ИБ и сбор и формулирование предложений по совершенствованию нормативной базы в области мониторинга ИБ. Учитывая активную работу ЦБИ с отечественными регуляторами, может получиться донести до ФСТЭК, начавшей лицензирование SOC, и ФСБ, планирующей аккредитацию центров ГосСОПКИ, определенные правильные мысли. А если вспомнить, что на отдельных слайдах ФСТЭК в свое время проявлялась тема разработки требований по сертификации SIEM, то становится еще интереснее…
Так что мероприятие планирует быть интересным. Я буду модерировать секцию про стандарты и протоколы обмена информацией об инцидентах, угрозах, событиях безопасности и т.п., о чем я уже не раз писал. Учитывая, что у нас до сих пор еще не определены протоколы по обмену данными с ГосСОПКОЙ (а от этого зависит и взаимодействие финансовых организаций с ФинЦЕРТом), а в методических рекомендациях ФСБ по созданию ведомственных и корпоративных центров ГосСОПКА говорится, что формат описания инцидента определяется индивидуально с каждым, то дискуссия на конференции «Мониторинг информационной безопасности — проблемы построения и эксплуатации» обещает быть жаркой.
Здорово был начат пост, правильные мысли излагались…
Но начиная со второй трети все свелось к рекламе еще одного мероприятия 🙁
На котором можно продолжить дискуссию 🙂