На следующей неделе мы ожидаем 2 замечательные конференции, посвященные SOCам, мониторингу ИБ, вопросам построения ГосСОПКА, "охоте на угрозы" и всему такому. Это я говорю про « Мониторинг информационной безопасности – проблемы построения и эксплуатации » (21.11) и SOC Forum 2017 (22.11).
И чтобы не заскучать на презентациях (если будет много маркетинговых), решил сделать несколько таблиц типа bullshit-bingo.ru . Первую назвал Real-SOC-Bingo ("дело говорят, понимают актуальные проблемы, стоит к ним прислушаться"), а вторую - Psevdo-SOC-Bingo ("что-то тут не то, один маркетинг, стоит насторожиться, наверное, это пока не работает").
Общий подход к различию представлен в короткой таблице:
У игры простые правила:
- Перед каждой презентацией распечатываем таблицы.(они ниже).
- Затем, когда слышим какое-нибудь слово из таблицы — зачеркиваем его.
- Как только 5 слов по вертикали, горизонтали или диагонали оказались зачеркнуты в таблице Real-SOC-Bingo, то встаем и кричим "Я хочу этот SOC!".
- Как только 5 слов по вертикали, горизонтали или диагонали оказались зачеркнуты в таблице Psevdo-SOC-Bingo, то встаем и кричим "Такой SOC нам не нужен!".
- Как только будут зачеркнуты 15 слов в таблице Real-SOC-Bingo, то встаем и кричим "Это очень круто, хочу такой SOC, куда нести деньги?".
- Как только будут зачеркнуты 15 слов в таблице Psevdo-SOC-Bingo, то встаем и кричим "Что за бред, кыш со сцены!".
А вот, собственно, сами таблицы для игры:
Давайте играть :)))
name='more'> P.S. Из редких терминов напомню вот эти (кстати, Алексей Лукацкий сделал неплохой глоссарий ):
- CMDB - Configuration Management Database
- EDR - Endpoint Detection and Response
- ISAE - International Standard on Assurance Engagements (ISAE 3402 / SOC1, SOC2, SOC3)
- IOC - Indicator of Compromise
- IRP - Incident Response Platform
- JSON - JavaScript Object Notation
- SIC - Security Intelligence Center
- SOAR - Security Orchestration, Automation and Response
- TLP - Traffic Light Protocol
P.P.S. Кстати, вы обратили внимание. что нет слов типа SIEM , "log management", "vulnerability management", MSSP, CASB, NTA? На мой взгляд, сами по себе они не сильно говорят ни о реальности, ни об эфемерности SOCа, однозначно не идентифицируют...
P.P.P.S. Наверное, у вас появятся вопросы типа "а почему. например, славный искусственный интеллект добавлен в таблицу псевдо-SOC, ведь это же модно и современно?!", "а почему IRP в real-SOC, а GRC в psevdo?". Пишите их в комментариях, если их наберется много, то подробнее расскажу по каждому пункту свое мнение, но предлагаю перед этим еще раз посмотреть первую таблицу-сравнение, может уловите мою мысль сами...
