В своей второй презентации на семинаре Gartner Антон Чувакин пытался вкратце рассказать о выпущенном недавно исследовании по SOCам (несколько десятков страниц).
Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось - все-таки задача семинара была совсем в другом.
Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR ). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:
При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).
На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.
Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.
Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT , увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.
Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.
Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось - все-таки задача семинара была совсем в другом.
Но было сделано несколько интересных замечаний, о которых мне хотелось бы поведать. Во-первых, Антон начал с фразы: "Когда я вижу, что компания продает SOC, я начинаю нервничать" :-) Таким образом Антон в очередной раз вернул многих продавцов SOCов с небес на землю, указав, что SOC - это процессы, люди и только потом технологии. Когда в 2007-м году мы в Cisco только выходили на рынок услуг по мониторингу ИБ, мы тоже говорили об этом - сначала процессы и люди, а уж потом различные продукты по мониторингу и аналитике. Да, без них сложно выстроить современный SOC, но не с них надо начинать этот длинный путь.
На семинаре специально не стали вдаваться в долгую терминологическую дискуссию, что такое SOC, сразу дав свое определение, от которого Gartner и отталкивается. Но самое главное, что надо помнить, задумываясь о SOC, - это то, что он требует определенного, и немаленького, уровня зрелости. Сегодня только ленивый не задумывается о том, что у себя в компании не назвать купленный ArcSight или скачанный OSSIM SOCом, но... повторюсь. SOC - это процессы, люди и только потом технологии. Если в компании нет процессов (или они приобретены у крупного консалтера без понимания их сути) - к SOCу компания не готова. Если в компании есть только МСЭ на периметре и антивирус на персоналках - к SOCу компания не готова. Нужно дозреть и только наткнувшись на невозможность решить возникающие проблемы текущими средствами, можно задумываться о переходе на новый уровень. Как мне кажется, с аутсорсингом та же ситуация.
Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR ). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:
и построили новую архитектуру, где в центре находится набор технологий для мониторинга - мониторинг логов на базе Splunk, мониторинг сетевого трафика на базе Cisco Stealthwatch, мониторинг активности по ПК на базе Cisco AMP for Endpoints и ряда других технологий.
При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).
На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.
Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.
Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT , увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.
Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.
