Журнал "Information Security/ Информационная безопасность" #2, 2019

– Насколько вам помогают в выявлении инцидентов TI-средства и фиды? Какие используете? Владимир Бенгин – Практика показыва- ет, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственно- сти за их качество. В итоге у одного вен- дора фид некоторой тематики может состоять из 100 тыс. записей, а у дру- гого такой же фид такой же тематики – из 800 записей. В первом случае вы столкнетесь с излишне большим чис- лом ложных срабатываний, а во вто- ром – получите слишком мало инфор- мации. Фиды могут получить второе дыха- ние, если сформируется практика оповещения (обмена данными, пуб- личности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс фор- мировать качественные и достовер- ные отраслевые фиды на уровне страны. Дмитрий Кандыбович – Что касается фидов, то они безусловно полезны, когда есть подозрения или пред- посылки к тому, что вас могут атаковать, если вы хотите получ- ше защититься и быть всегда в трен- де. Если можешь получить экспертизу и опыт как в платном, так и в бес- платном варианте, этим надо поль- зоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабаты- вать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать. Елена Нагорная – За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффектив- ность выявления инци- дентов, необходимо учитывать и взаимодействие с раз- личными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для пред- отвращения возможных прецедентов и постоянный мониторинг событий ИБ. Лев Палей – Есть ряд правил кор- реляции основанных на данных от свободно распространяемых сер- висов с фидами. Один из источников, Hail a TAXII, но не единствен- ный: тут хорошая практика агрегации информации из нескольких ресурсов. Место же в процессе выявления собы- тий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее допол- няющее, позволяющее более досто- верно определить тип, способ и воз- можную цель атаки. Метрики эффек- тивности для конкретно этого сервиса не прорабатывались. – Играет ли роль в выявлении новых угроз вендорская поддержка? Каким образом и насколько она действенна? Владимир Бенгин – Ландшафт угроз меняется столь быстро, что уследить за изме- нениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплек- тованным SOC в больших корпора- циях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора. Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами ком- прометации (например, IP командно- го центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения зло- умышленников в уже скомпромети- рованной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора). Дмитрий Кандыбович – Заказчики сейчас не хотят покупать коро- бочные решения, им нужна услуга. В ком- паниях чаще всего один-два человека, которые могут зани- маться моделями информационной безопасности, поэтому для них поле- зен аудит от вендора, который имеет богатый опыт в области расследова- ния инцидентов у других заказчиков и знает свой продукт. Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компа- ниях много задач и мало времени, и они ограничены своими компетенция- ми. Чаще всего им сложно выйти за эти пределы. Таким образом, совмест- ная работа с заказчиками в области аналитики очень полезна для обеих сторон. Елена Нагорная – Каждый случай инди- видуален. Есть ряд факторов, от которых зависит уровень взаи- модействия с вендором в рамках технической поддержки: l наличие у вендора опыта и компе- тенции в выявлении и предотвращении новых угроз; l уровень детальности существую- щего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон; l однородность применяемых реше- ний в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ; l кем и каким образом происходит выбор решений в филиалах и дочер- них обществах компании (централи- зованно из головного офиса, или же у филиалов и ДО есть полномочия по принятию решений в выборе постав- щиков). Сергей Рысин – Вендорская под- держка, безусловно, оказывает значитель- ную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по про- дуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющих- ся на сегодняшний момент, и это даст качественный толчок для отече- ственного рынка средств безопасно- сти, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при нали- чии обратной связи от клиента, в слу- чае ее отсутствия она не может помочь сферической информацион- ной системе в вакууме. 28 • ТЕХНОЛОГИИ