Журнал "Information Security/ Информационная безопасность" #5, 2020

40 • СПЕЦПРОЕКТ Алексей Юдин, Infosecurity a Softline company: Я считаю, что сравнивать подобные вещи некорректно, так как ситуационные центры не заменяют собой полноценный сервис SOC. Ситуационный центр решает больше задачи физической безопасности и только отчасти затрагивает вопросы ИТ и ИБ. Никита Цыганков, АО "ДиалогНаука": К сожалению, многие специалисты ИБ упускают физическую безопасность из вида. Как следствие, угрозы, стоящие на стыке физической и информационной безопасности, остаются невыявленными, что ведет к возможным инцидентам. Одни и те же события, которые по отдельности не будут являться инцидентами, после корреляции от различных типов источников уже будут ими являться. Классический пример инцидента: событие аутенти- фикации с учетной записью сотрудника на АРМ (события домена) при отсутствии самого сотрудника в здании офиса (информация от СКУД). Ксения Темникова, Московский политех: Добавить в SOC элементы классического ситуационного центра 24 х 7 заставят конкуренция и требования зарубежных деловых парт- неров. Илья Кондратьев, АМТ-ГРУП: Современная SIEM- система, являющаяся ядром SOС, уже сейчас позволяет под- ключать самые разнообразные источники данных. И в этом направлении важно сохранить баланс, дабы не перегрузить SOС информацией о событиях, с которыми специалисты по ИБ все равно не смогут ничего сделать: например, информация о температуре у сотрудника слабо коррелирует с его действиями как пользователя ИТ-системы. Скорее, необходимо обеспечить агрегацию информации из SOС и отправку ее в том виде, который позволит ситуационному центру более эффективно выполнять свои функции. Руслан Рахметов, Security Vision: Заведение в SOC разнородных событий от всего спектра источников в масштаб- ной гетерогенной среде решается техническими средствами, которые получают и обрабатывают машиночитаемую инфор- мацию, будь то температура сотрудника или факт его прохода и присутствия на территории офиса. Современные SIEM/SGRC- решения интегрируются с системами СКУД, видеонаблюдения, специализированными системами телеметрии, выдавая инфор- мацию для аналитики в программное ядро SOC. IRP/SOAR- решения полноценно и автоматически отрабатывают сценарии реагирования. Комментарии экспертов Всеслав Соленик, R-Vision: Личностные качества развиваются сложнее, чем компетенции. Знания можно нарас- тить, но человек редко меняется с точки зрения Soft Skills и отношения к работе. Опыт показывает, что готовых специа- листов практически не бывает, их нужно выращивать, но это в итоге оказывается даже выгоднее. Ведь всегда есть опреде- ленная специфика организации, инфраструктуры, подходов и процессов. Нужно не бояться обучать людей, дотягивать до нужного уровня, брать на вырост и давать им задачи чуть выше текущей квалификации, стимулируя таким образом их развитие. Максим Павлунин, Angara Professional Assis- tance: Действительно, ситуация с подготовкой кадров для подразделений SOC достаточно сложная. Вузы, как правило, не имеют в штате преподавателей с большим опытом работы в ИБ и, в частности, в подразделениях SOC, из-за чего не могут давать студентам актуальные знания по дан- ному направлению. При этом технологии развиваются, появляются новые угрозы, усложняются системы защиты информации. Разрыв между фактическими знаниями выпуск- ников и требованиями работодателей растет. Устранение данного разрыва невозможно без участия самих SOC. Для обеспечения потребностей в кадрах необходимо как сотруд- ничество с вузами для обмена практическим опытом, так и выстраивание внутренних программ обучения молодых спе- циалистов. Илья Кондратьев, АМТ-ГРУП: Согласен, кадровый голод в ИБ наблюдается уже давно, но тем не менее проблему надо решать. У нас, к примеру, есть многолетний опыт сотрудничества с вузами в части организации практики для студентов. И это дает свои плоды – многие практиканты при- ходят потом на работу: сначала на полставки, потом на полный день, и к моменту выпуска уже становятся способными выполнять "боевые" задачи, конечно, с обязательным настав- ничеством со стороны более опытных коллег. Кто-то из ребят трудится в проектных подразделениях, а кто-то в смене TAС и в SOC. Руслан Рахметов, Security Vision: На помощь приходят технологии: оркестровка и автоматизация рутинных операций позволяют специалистам высвобождать время для развития и решения стратегических вопросов ИБ. Однако фундаменталь- ные знания и практические навыки специалистам по-прежнему необходимы. В помощь подготовке кадров мы разработали авторский курс и лабораторные работы по дисциплине "Авто- матизация процессов управления информационной безопас- ностью". Наши эксперты читают его в крупнейших профильных вузах. Ксения Темникова, Московский политех: Подготовка кадров для SOC – это прежде всего целенаправленная работа с вузами, в которых развита проектная деятельность с первого курса. Наряду с этим большие возможности имеются в форми- ровании программ дополнительного профессионального обра- зования. Разработаны программы ДПО "Система менеджмента непрерывности бизнеса в соответствии с требованиями ISO 22301:2019 в условиях цифровизации", которая учитывает специфику SOC (объем 16 часов, 40 часов, 72 часа). Кроме того, создана специальная магистерская программа для обуче- ния команд SOC в течение двух лет. Комментарии экспертов Кадры для SOC Многое упирается в подготовку кад- ров. Специалистов много, а работать некому, поэтому для того, чтобы найти человека на вакантную позицию, при- ходится провести собеседование боль- ше чем с сотней человек! Иной раз знаний не хватает, другой раз эго кандидата не вмещается в условия работы. Образовательной системе в части ИБ не хватает гибкости. Преподаватели зачастую рассказывают просто о клас- сах систем, и то не обо всех. В резуль- тате выпускники толком не умеют рабо- тать ни в одной системе и не понимают, как и какие задачи эти системы решают. В этом видна недоработка и самих SOC: они не идут в вузы готовить кадры для своих систем.