12.05.2017

Обзор московского семинара Gartner по ИБ (часть 2)

В своей второй презентации на семинаре Gartner Антон Чувакин пытался вкратце рассказать о выпущенном недавно исследовании по SOCам (несколько десятков страниц).


Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось - все-таки задача семинара была совсем в другом.


Но было сделано несколько интересных замечаний, о которых мне хотелось бы поведать. Во-первых, Антон начал с фразы: "Когда я вижу, что компания продает SOC, я начинаю нервничать" :-) Таким образом Антон в очередной раз вернул многих продавцов SOCов с небес на землю, указав, что SOC - это процессы, люди и только потом технологии. Когда в 2007-м году мы в Cisco только выходили на рынок услуг по мониторингу ИБ, мы тоже говорили об этом - сначала процессы и люди, а уж потом различные продукты по мониторингу и аналитике. Да, без них сложно выстроить современный SOC, но не с них надо начинать этот длинный путь.

На семинаре специально не стали вдаваться в долгую терминологическую дискуссию, что такое SOC, сразу дав свое определение, от которого Gartner и отталкивается. Но самое главное, что надо помнить, задумываясь о SOC, - это то, что он требует определенного, и немаленького, уровня зрелости. Сегодня только ленивый не задумывается о том, что у себя в компании не назвать купленный ArcSight или скачанный OSSIM SOCом, но... повторюсь. SOC - это процессы, люди и только потом технологии. Если в компании нет процессов (или они приобретены у крупного консалтера без понимания их сути) - к SOCу компания не готова. Если в компании есть только МСЭ на периметре и антивирус на персоналках - к SOCу компания не готова. Нужно дозреть и только наткнувшись на невозможность решить возникающие проблемы текущими средствами, можно задумываться о переходе на новый уровень. Как мне кажется, с аутсорсингом та же ситуация.


Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:


и построили новую архитектуру, где в центре находится набор технологий для мониторинга - мониторинг логов на базе Splunk, мониторинг сетевого трафика на базе Cisco Stealthwatch, мониторинг активности по ПК на базе Cisco AMP for Endpoints и ряда других технологий.


При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).


На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.

Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.

Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT, увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.

Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.