Что нового в SOC?

На чтение 2 мин Просмотров 9 Опубликовано 16/11/2015

По результатам моей заметки про SOC Forum мне многие написали, что ничего нового в теме SOCов нет и что примеры работающих SOCов известны уже не первый год. И что? Где в информационной безопасности вообще что-то новое? Сканеры безопасности? Так тот же SATAN был в начале 90-х разработан и что с тех сильно поменялось? IDS, которые сейчас все кому ни лень в России пишут (на базе open source)? Ну так первые сетевые IDS появились также в начале 90-х. Поведенческие анализаторы? Первые решения так и вовсе в 80-м году были представлены миру. NBAD? Тоже в 80-х. Да та же «инновационная» квантовая криптография была предложена еще в 70-х. Анализаторы кодов? Так первые решения в конце 70-х стали использоваться.

Что нового в SOC? Ничего. Командные и штабные центры в войсках были с незапамятных времен. Но тогда еще компьютеров не было, чтобы собирать с них сигналы тревоги. В АНБ первый SOC появился в 1968 (тогда он еще назывался центром наблюдения (National SIGINT Watch Center), а в 1973 его переименовали в национальный SOC.

Что вообще совсем нового у нас в ИБ есть? Ничего. Только уровень автоматизации задач повышается, да интерфейсы удобные разрабатываются, да некоторые дополнительные функции добавляются. Вот и вся новизна. Но это же не значит, что про это не надо говорить и проводить конференции, посвященные тому или иному направлению.

ЗЫ. Вообще, человеку свойственен эгоцентризм — он всегда ставит себя и свое мнение в центр Вселенной и считает, что именно его мнение является единственно верным. Например, анализируя документы регуляторов, специалист по ИБ часто думает «Вот же бред, кто это мог придумать», не задумываясь о мотивах авторов. А ведь они есть и могут отличаться от мнения специалистов. Или многие часто спрашивают, когда я сплю, если у меня часто заметки в блоге публикуются в 5 утра. Но… это 5 утра в Москве. А, например, в Калифорнии в это время 6 вечера — самое продуктивное время 🙂 А на Дальнем Востоке в это время разгар рабочего дня. Но мы не привыкли смотреть на вопрос с позиции другого человека. Отсюда, зачастую, и все проблемы в общении и коммуникациях.

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Александр Бодрик 16/11/2015 в 18:07

Новое за 5 лет
1) user behavioral analysis solutions
2) security intelligence
3) corporate sandboxes
4) security service buses (e.g. McAfee TIE etc)
5) corporate threat intelligence management platforms

Ответить
Алексей Лукацкий 16/11/2015 в 19:10

Разочарую. UBA появились в 80-х. Песочницы — это появились в Java в 90-х. TI — может быть и новое

Ответить
Александр Бодрик 18/11/2015 в 16:10

Корпоративных песочниц ранее не было.
Пример корпоративных решений по UBA есть?

Ответить
Алексей Лукацкий 18/11/2015 в 16:30

Так и корпоративных антивирусов раньше не было.

Ответить
Sergey Gordeychik 23/11/2015 в 13:08

>4) security service buses (e.g. McAfee TIE etc)

С светлой грустью вспоминаю прекрасную линейку ISS Proventia, которая и в сетевой, и у узловой, и в корреляционной и в операционной (привет TI от X-Force) составляющей несла огромный для своего времени потенциал… Не хватало немного AppSec и NetFor (не путать с продуктом) ну и возможно SandBox и была бы машина будущего вообще. Хотя в те времена компы только подошли к мощностям, достаточных для массового использования этих технологий…

Ответить
Алексей Лукацкий 23/11/2015 в 15:00

Да, IBM убил классные решения ;-(

Ответить