Лента новостей 436 Публикация  

SOC-Форум: кибербезопасность — продукт взаимодействия

 

© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2017

22 ноября 2017 года в Москве при поддержке ФСБ России, ФСТЭК России и Банка России с размахом прошел SOC-Форум 2017 «Практика противодействия кибератакам и построения центров мониторинга ИБ». С самого начала проведения Форума в 2015 году количество участников, — а на этот раз их было свыше 1700 — подтверждает, что затронутые на Форуме темы не просто актуальны, они требуют оперативного и конкретного решения.

В этом году обсуждались вопросы построения и эксплуатации SOCов, а также примеры обнаружения, предотвращения и анализа киберинцидентов. Особое внимание было уделено вопросам государственного регулирования.

SOC-Форум открыла пленарная дискуссия, модераторами которой выступили генеральный директор Solar Security Игорь Ляпунов и главный редактор сообщества BISA Олег Седов. Участниками обсуждения стали заместитель начальника 8 Центра ФСБ России Игорь Качалин, заместитель директора ФСТЭК России Виталий Лютиков, заместитель начальника ГУБиЗИ Банка России Артем Сычев, руководитель службы кибербезопасности Сбербанка Сергей Лебедь и заместитель генерального директора компании «Информзащита» Максим Темнов.

Выступая с приветственным словом, Игорь Ляпунов напомнил, что в России в этом году произошел ряд резонансных событий в сфере информационной безопасности. «Этот год стал принципиальным и поворотным, поскольку тема кибератак и киберугроз вышла на первый план и видна уже на уровне первых лиц государства. Драматически возросло напряжение на внешнем поле, где данная тема становится инструментом политического давления. Кроме того, в этом году по всему миру прокатилась волна массовых киберэпидемий (WannaCry, Petya), которые затронули как частный бизнес, так и крупные корпорации. И, как мне кажется, Россия здесь неплохо выстояла», — отметил генеральный директор Solar Security.

Развивая начатую тему, заместитель начальника 8 Центра ФСБ России Игорь Качалин рассказал о тех изменениях, которые принёс принятый в июле 2017 года Федеральный закон N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Представитель ФСБ выразил надежду, что «законы, которые будут приняты в ближайшее время, поспособствуют тому, что безопасность станет более динамичным процессом».

Заместитель начальника ГУБиЗИ Банка России Артем Сычев отметил, что отечественным кредитно-финансовым организациям удалось отразить массовые атаки вирусов-шифровальщиков. Однако трудности с обеспечением информационной безопасности в действительности сохраняются, и в этой ситуации SOCи являются реальным инструментом, способным помочь в борьбе с киберинцидентами.

Руководитель кибербезопасности Сбербанка Сергей Лебедь заявил, что работа современных SOC еще находится в процессе становления: «На сегодняшний день приходит только понимание того, что мы закладываем в SOC. Ещё не существует открытых процессов, подобных ITSM, ITIL в области ИБ и операционного управления безопасностью, поскольку мы пока не готовы. Пока мы пытаемся понять, как управлять этим, что такое операционная безопасность, что такое управление на стратегическом уровне. Современный SOC, с точки зрения технологий, это набор информационных систем (SIEM, Threat Intelligence-платформы), системы мониторинга и средства защиты. Однако пока они не связаны между собой, и главный вопрос состоит в том, как объединить все эти компоненты».

Свой подход к строительству коммерческого центра мониторинга описал заместитель директора компании «Информзащита» Максим Темнов. Он обратил внимание на необходимость развивать проактивный SOС, который обеспечит анализ потенциальных угроз, в том числе поступающих из анонимных сетей (вроде Tor, DarkNet) и других источников.

Заместитель директора ФСТЭК России Виталий Лютиков в ходе дискуссии затронул тему, которая оказывает прямое влияние на рынок ИБ-аутсорсинга, — введённое в начале текущего года лицензировании деятельности SOC. Он отметил, что ведомство в последнее время наблюдает рост количества коммерческих центров мониторинга, вследствие чего возникает необходимость законодательного регулирования данной сферы. «При подготовке лицензионных требований и условий мы максимально учли пожелания организаций, строящих подобные структуры», — подчеркнул Виталий Лютиков.

Одним из следствий такого подхода стало то, что на данном этапе было решено не вводить лицензирование и аккредитацию ведомственных или корпоративных центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Как и ожидалось, построение и функционирование ГосСОПКА стало одной из главных тем SOC-Форума. Представитель ГУБиЗИ Банка России Артем Сычев рассказал, что взаимодействие Центробанка и ГосСОПКА позволяет «отследить первый выход злоумышленника и предупредить другие структуры». Благодаря этому достигается высокая скорость реагирования на угрозы. Артем Сычев сообщил, что «в Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) скорость обработки каждой угрозы в среднем составляет от 40 до 90 минут».

По словам Сергея Лебедя, специалисты Сбербанка «стали видеть все атаки в реальном времени, своевременно принимать решения. В качестве показателя эффективности могу сказать, что от компьютерных атак простои банка в этом году были ноль минут, то есть мы ни на секунду не прерывали деятельность банка вследствие различных атак… мы видели попытки атак на какие-то элементы нашей инфраструктуры, но не центральной». Однако препятствиями для укрепления информационной безопасности остаются нехватка информационного обмена с другими организациями и отсутствие единой структуры, которая взяла бы на себя руководящую роль при возникновении массированных кибератак. В ответ заместитель начальника ГУБиЗИ Банка России Артем Сычев предложил возложить эти функции на ГосСОПКА.

Говоря об обязательствах сторон по обеспечению безопасности конкретного объекта, участники напомнили о возможных санкциях вплоть до уголовной ответственности. Что касается ответственности регулятора, то, как подчеркнул Артем Сычев, она должна наступать только в том случае, если регулятор не предусмотрел одну из перспективных киберугроз.

Участники форума обсудили нынешнее состояние и перспективы международного информационного обмена. Заместитель начальника ГУБиЗИ Банка России Артем Сычев указал на существующие проблемы в данной сфере: «Уважаемые западные партнеры нас в информационном обмене не ждут, это тоже надо понимать. Причем они делают все, чтобы этот информационный обмен с нами был крайне скупой. Я не говорю за все отрасли, но могу сказать на примере финансовой: инициатива, которая есть со стороны РФ по формированию такого обмена, наталкивается на глухую стену непонимания. С другой стороны, мы имеем уже практически обязанность формирования единого информационного пространства, с точки зрения информационной безопасности в финансовой сфере, между государствами-членами Евразийского экономического сообщества, и эту работу мы будем делать. В рамках этой работы такой информационный обмен возможен, и от него тоже можно будет получить достаточно хороший результат».

Замначальника Центра ФСБ Игорь Качалин, в свою очередь, подытожил: «Сейчас все сосредоточены на строительстве крепостей для себя. Нужно объединяться для предотвращения атак. Сейчас мы на начальном этапе. Необходимо делиться своими проблемами, но не со всеми. В рамках федерального органа, отвечающего за создание и функционирование ГосСОПКА, создается национальный координационный центр по компьютерным инцидентам, одна из функций которого — организация и регулирование вопросов обмена информации с иностранными партнерами. Это то окно, через которое мы можем выходить в мир», — заключил представитель ФСБ России.

Во время пресс-брифинга регуляторы и эксперты рассказали журналистам об последствиях использования социальной инженерии мошенниками, профильных программах в вузах по подготовке ИБ-специалистов, о факторах, влияющих на эффективность SOC.

В ходе тематических дискуссий компании-создатели центров мониторинга, ответственные за реализацию ГосСОПКА ведомства и разработчики методических рекомендаций рассказали о стоящих перед ними задачах, поделились опытом их решения и рассказали о дальнейших перспективах работы.

Дополнительный интерес участников Форума вызвали проходившие на протяжении всей встречи соревнования «SOC-Форум CTF». Постоянным вниманием представителей регуляторов, заказчиков и крупных игроков российского рынка решений и сервисов в области ИБ пользовалась демонстрационная зона. На стендах ведущих российских и мировых компаний демонстрировались решения по противодействию кибератакам, построению и эксплуатации центров мониторинга ИБ. Впервые были представлены стенды ФинЦЕРТ Банка России, ГосСОПКА ФСБ России и Базы данных угроз безопасности информации ФСТЭК России.

Как отметили организаторы, в этом году Форум в очередной раз побил все рекорды по количеству участников и значимости затронутых тем. За три года SOC-Forum успел стать тем местом, где собираются люди, формирующие будущее информационной безопасности в России.

 

Security Operations Center (SOC) представляет собой государственный или частный центр мониторинга информационной безопасности. SOC активно создаются сегодня во всем мире, в том числе в России. Главная задача SOC состоит в обнаружении угрозы компьютерных атак, высокотехнологичного мошенничества, кибершпионажа и утечек ценной информации, предотвращении и устранении их последствий.


Впервые SOC-Форум прошел в ноябре 2015 года в Москве. Более 500 ИБ-специалистов, работающих в российских банках, ИТ-компаниях, телеком-операторах, коммерческих предприятиях, государственных структурах обсудили вопросы укрепления сотрудничества между государственными и коммерческими SOC; проанализировали опыт внедрения центров мониторинга в ведущие российские компании; выделили наиболее перспективные технологии в киберсфере.

Сегодня SOC-Форум — единственная в России конференция, полностью посвящённая вопросам создания и эксплуатации центров мониторинга и реагирования на инциденты информационной безопасности. Организатором мероприятия третий год подряд выступает Медиа Группа «Авангард» и Закрытый клуб «SOC в России».


Опубликовано 27.11.17 22:56
Просмотров 631
Разместил xbox
Copter Hack 2019
Copter Hack 2019
Приглашаем к участию в увлекательном хакатоне по программированию квадрокоптеров COEX Клевер 4 Code! 11 – 13 октября 2019 года третий год подряд в Москве пройдет хакатон CopterHack 2019, организатором которого выступит COEX.
Вокруг ЦОД. Вокруг Облака. Вокруг IoT. Вокруг IP. Вокруг Безопасности. ProAV
Вокруг ЦОД. Вокруг Облака. Вокруг IoT. Вокруг IP. Вокруг Безопасности. ProAV
Международный Форум «Вокруг ЦОД. Вокруг Облака. Вокруг IoT. Вокруг IP. Вокруг Безопасности. ProAV» в Новосибирске.
РИФ.Технологии 2019
РИФ.Технологии 2019
Самый массовый технологический форум Поволжья РИФ.Технологии состоится 28 сентября в Ульяновске на площадке дворца культуры «Губернаторский» по адресу улица Карла Маркса 2/13. Мероприятие соберет 3500 гостей со всей России и признанных экспертов из разных компаний.