Помимо статей, подготовленных к SOC Forum и о которых я написал в предыдущей заметке, у меня будет и активная спикерская активность на мероприятии. Во-первых, я приглашен к участию в АнтиПленарку, ведомую Алексеем Качалиным (так и хочется добавить, «Советский Союз»). В рамках пленарных дискуссий, а на SOC Forum будет и такая, уполномоченные представители организаций и регуляторов озвучивают утвержденную позицию по актуальным вопросам за последние 1–2 года, отвечают на вопросы зала (если захотят). На АнтиПленарке — всё наоборот. Узнаваемые представители ИБ-сообщества говорят о возможном будущем, имеющем отношение к SOC, мотивации и идеях в отрасли и в профессии, отстаивают свою личную позицию, а чаще — в формате мозгового штурма используют весь свой опыт, чтобы обосновать позицию, предложенную ведущим.
Как мониторить результаты биохакинга, когда число инноваторов, внедривших в свои тела кардиостимуляторы с подключением к Интернет, аудиоимпланты, встроенные токены, ключи от квартир, платежные карты, увеличится и они станут мишенью для мошенников? Это, кстати, большая проблема не только для мониторинга, но и при расследовании киберпреступлений, о чем я тоже рассказывал в рамках обновленного курса по киберпреступности. Когда у нас появятся Fusion-центры, которые будут мониторить не только традиционные киберугрозы, но и различные фейки (в том числе и дипфейки, секцию по которым, я модерировал на Antifraud Russia 2021 несколько дней назад)? И куда пойдут олдскульные ИБшники, которые не смогут перестроиться на новые требования к компетенциям и будут выгнаны ссаными тряпками из профессии. Вот об этом и поговорим на АнтиПленарке.
Также, во второй день форума у меня будет целых три выступления в основной и дополнительной программе. В основной программе я выступаю с докладом «Как мониторить ИБ изолированной от внешнего мира производственной площадки? 3 практичных сценария» (8 декабря, 16.20 — 16.40), в котором расскажу об опыте мониторинга кибербезопасности АСУ ТП, которые не подключены ни к Интернет, ни к офисной сети, и не могут передавать данные об угрозах в SOC. Или все-таки могут? Приходите и узнайте!
Кстати, потоки будут транслироваться в Интернет и если вы не сможете присутствовать лично, то сможете посмотреть все удаленно.
Наконец, в рамках отдельного интерактивного потока, который будет организовывать Cisco 8-го декабря с 12.00 до 15.00, у меня будет два выступления:
- «Сколько стоит SOC создать?» Когда вы созреваете до создания SOCа вас, наверное, смущает стоимость в миллионы долларов, о которых говорят анонимные коллеги в различных чатиках и закрытых группах? Вы не знаете с чего начать – с найма квалифицированных аналитиков или покупки дорогостоящих игрушек для вашего SOC? Вы выбираете между технологическим стеком на базе open source и коммерческих решений? Вы не знаете, сколько плазм 4К вам нужно в пересчете на каждого аналитика SOC? Вы не знаете, во сколько вам обойдется обучение ваших аналитиков и сколько заложить на поддержание их профессионального уровня? Вы выбираете между собственной командой Threat Intelligence и аутсорсингом данной функции, не зная, что вам обойдется дешевле на длинной дистанции? В конце концов, вы мечтаете о калькуляторе, который позволит вам быстро прикинуть стоимость вашего SOC? Ответ вы найдете в моем выступлении, где я попробую разложить по полочкам все статьи затрат современного SOC и поделюсь с вами калькулятором, который позволит вам быстро оценить различные варианты построения центра мониторинга ИБ.
- «21 ошибка при создании SOC: опыт проектов в России и странах СНГ«. Я участвовал в проектировании и построении своего первого SOCа в далеком 1998-м году (тогда это еще не было модным и хайповым). С тех пор мне удалось поучаствовать в проектировании, построении, аудите или улучшении полутора десятков SOC в России и странах СНГ, а за счет доступа к богатейшей базе знаний компании Cisco, получить доступ к информации о практике SOCостроительства по всему миру. Небольшой частью из этой практики я и поделюсь в рамках своего выступления и расскажу о типовых ошибках, которые встречаются в компаниях, которые строят собственный SOC или выбирают аутсорсинговую модель. Почему количество плазм не играет никакой роли? Почему иерархическое деление на линии L1-L3 не так уж и правильно? Почему без сервисного каталога SOC не взлетит? Почему SOC на базе open sourceлучше коммерческого и почему хуже? Почему простые правила корреляции неэффективны и чем их можно заменить? Почему автоматизация – это ключ к современному SOCу? На эти и другие вопросы можно будет услышать ответы в моем выступлении.
Для подключения к потоку Cisco SOC Live и участию в его интерактивной программе с возможностью выигрыша призов никакой регистрации не требуется. Достаточно просто зарегистрироваться на мероприятие и в назначенное время, а именно в 12.00 8-го декабря, перейти в нужное окно просмотра на главной странице форума.
Вместе со мной на потоке Cisco SOC Live будет выступать Руслан Иванов, который поделится своим видением «пирамиды зрелости мониторинга ИБ или какие источники вам в первую очередь нужны для SOC» и расскажет о том «как проверить свои процессы и навыки в SOCостроении, не тратя ни копейки«.
Наиболее активные участники этой онлайн-сессии смогут уйти после неё обогащенные не только полезными и практичными знаниями, но и подарками, подготовленными компанией Cisco. Среди подарков не только модные гаджеты, например, умные колонки от Яндекса, но и различный Cisco’вский мерч, а также книги консультантов Cisco про построение SOC. Кстати, в рамках выступлений мы расскажем о том, как можно использовать умную колонку в деятельности SOC (и это будет не банальное «Алиса, поставь что-нибудь бодрое, чтобы не заснуть»).
Правила розыгрыша призов очень просты. Во время эфира Cisco SOC Live будет показано 10 QR-кодов (это не те, QR-коды, которые выдает портал Госуслуг привитым гражданам). Все участники эфира открывают QR-коды и видят кусок текста, собрав 10 частей которого, можно будет угадать ключевую фразу, которую нужно будет отправить через официального чат-бота SOC Forum (с тегом «CISCO» в начале). Адрес чат-бота — https://t.me/socforum_bot. Первые (важна еще и скорость ответа) 10 правильно ответивших участника и будут названы победителями (после эфира в чат-боте), которые получат призы (не все призы одинаковые). Чат-бот работает на платформе Telegram. Если вы планируете смотреть эфир со смартфона, то заранее определитесь, как вы будете одновременно смотреть эфир, фотографировать QR-коды и пользоваться чат-ботом.
