Журнал "Information Security/ Информационная безопасность" #5, 2020

– Расскажите, пожалуйста, немного о вашей биографии. Алексей, давайте начнем с вас. Алексей Юдин: Я закончил факультет прикладной математики в Московском государственном уни- верситете леса. После выпуска работал в различных компаниях отрасли: почти десять лет проработал в Positive Teсh- nologies, где занимался развитием и созданием продуктов, после чего был техническим директором по развитию продуктов в Bi.ZONE и директором Центра кибербезопасности и защиты в "Ростелекоме". Сейчас я являюсь директором центра мониторинга и реа- гирования на инциденты в "Инфосе- кьюрити". Александр Дворянский: Я в этой отрасли уже больше пятнадцати лет, начинал с защиты дистанционного бан- ковского обслуживания в компании BCC. В компании "Инфосекьюрити" работаю с 2015 года. В 2018 году, когда мы стали частью группы компаний "Софт- лайн", я стал курировать стратегические коммуникации: маркетинг, PR и взаимо- действие с ключевыми партнерами. Однако по образованию я гуманитарий. Первое образование – Высшая школа экономики, менеджмент организаций, а второе – Финансово-юридическая ака- демия, банковское дело. Специального ИТ- или ИБ-образования у меня нет, однако могу с уверенностью сказать, что в теме я разбираюсь. – А как вы считаете, какими навыками должны обладать современные специалисты по информационной безопасности? Алексей Юдин: Все зависит от специализации. Если речь о глубоко технических экспертах, у которых нет необходимости общаться непосредствен- но с заказчиками, то они, безусловно, должны отлично владеть Hard Skills и экспертными техническими знаниями. Если же мы говорим о специалистах, которые в процессе своей деятельности в том числе взаимодействуют с заказ- чиками, то им, помимо технической базы, необходимо еще иметь хороший уровень Soft Skills для правильных и гра- мотных коммуникаций. – Переходя к основной теме, расскажите, при каких обстоя- тельствах вы пришли к решению построить собственный SOC? Алексей Юдин: Необходимость построения собственного SOC возник- ла после нескольких высококритичных инцидентов, возникших в рамках нашей работы с большим финансовым холдингом. Процессы выявления инци- дентов и попытки их оперативного расследования у заказчика были осложнены внутренними распорядками и регламентами холдинга. Например, не было точного понимания, к кому необходимо обращаться для блоки- ровки учеток или изолирования узлов в сети, что серьезно отражалось на скорости реакции на серьезные инци- денты. В какой-то момент нам потребова- лось собирать, обрабатывать и хранить все происходившие события в течение пяти лет. Как вы понимаете, это очень большой объем данных, требующий соответствующей инфраструктуры. Сначала мы тестировали типовые решения, присутствовавшие на рынке, но рано или поздно мы упирались в их функциональные ограничения. Причем ни одно SIEM-решение не могло спра- виться с таким масштабом, а если и гипотетически могло, то обходилось в огромные деньги, которые заказчик не был готов вкладывать. В дополне- ние к этому возникали проблемы с опе- ративными запросами в базу событий, когда на простой запрос, например "На какие серверы входил пользова- тель за три месяца?", система не могла выдать ответ в течение несколь- ких дней. Также для выявления вредоносных активностей требовался сбор информа- ции с рабочих станций и серверов, при этом часть действий в процессе должен был осуществлять администратор. Но бывают ситуации, в которых даже малей- шее промедление может привести к серьезным последствиям. Поэтому в своем продукте мы решили автомати- зировать этот процесс. В то время мы были одними из первых, кто активно внедрил эту технологию. Теперь это отдельный класс продуктов, который называется Endpoint Detection and Res- ponse. Вся совокупность этих факторов окон- чательно убедила нас в необходимости создания собственного центра реагиро- вания на инциденты информационной безопасности на базе технологий боль- ших данных (Big Data). Сейчас наше решение основывается на стеке техно- логий Hadoop и механизме пассивного сбора событий, который в автоматиче- ском режиме отправляет нам информа- цию о событиях, исключая временные затраты на проверку сетевых доступов, учетных записей и т.д. 12 • В ФОКУСЕ Что нам стоит SOC построить? Алексей Юдин, директор центра мониторинга компании “Инфосекьюрити” (ГК Софтлайн) Александр Дворянский, директор по маркетингу компании “Инфосекьюрити” (ГК Софтлайн)