Журнал "Information Security/ Информационная безопасность" #5, 2020

SOC www.itsec.ru Алексей Юдин, Infosecurity a Softline company: Мы согласны с тезисом о регулярности тестировании работы SOC, особенно когда тестирование проводится сторонними компаниями. Но следует учитывать, что SOC не всегда конт- ролирует всю инфраструктуру организации, что в итоге может сыграть против него самого. Реальный анализ результатов такого тестирования показывает пробелы не только в сервисах SOC, но и в инфраструктуре заказчика и используемых мерах защиты. Иван Лопатин, АО "ДиалогНаука": Как сказал один из наших заказчиков, "найм Red Team в штат – это лучшая покуп- ка". "Пурпурные команды" повышают уровень любого SOC. Но следует учитывать, что необходимо использовать совре- менные методы атак и эксплуатации уязвимостей, так как в Blue Team всегда несколько запаздывает развитие собствен- ного контента и выявление угроз, и Red Team должны выступать важным катализатором развития SOC. Илья Кондратьев, АМТ-ГРУП: Добавлю, что при регу- лярных мероприятиях подобного рода стоит приглашать различные команды пентестеров, чтобы реализовать большее разнообразие используемых технических и тактических приемов. Ксения Темникова, Московский политех: Существуют методики проведения учений команды SOC и заинтересованных сторон с учетом требований ISO/IEC 27001:2013, 22301:2019, рекомендаций ISO 10004:2018 и лучших практик. Применение таких методик позволит отработать взаимодействие участников, команде SOC – профессионально расти, превращаясь в спло- ченный, подготовленный и мотивированный коллектив, инфор- мационным системам – оставаться защищенными. Руслан Рахметов, Security Vision: Без сомнения, киберучения, работа команд Red и Blue Team, анализ выученных уроков и последующее внесение изменений в процедуры реа- гирования на инциденты важны, как и любые тренировки. Не менее важно осознавать, что масштабные утечки и кибератаки происходят порой из-за простого несоблюдения базовых правил кибербезопасности. Поэтому не следует забы- вать о непрерывном совершенствовании системы управления ИБ, включая банальный патч-менеджмент, минимизацию полномочий, сегментирование сети и обучение сотрудников. Комментарии экспертов Редтиминг и ретроспективный анализ Хороший SOC обязан проверять свою готовность и квалификацию редтимин- гом. Приведу случай из практики: в этом году мы проводили пентест информа- ционной системы. SOC не был пред- упрежден о планируемом мероприятии и, обнаружив атаку, начал оперативно информировать нас о действиях пенте- стеров в информационной системе, вплоть до информации о создаваемых подключениях и движении пакетов. После завершения пентеста собрались мы, пентестеры, специалисты SOC и про- вели ретроспективный анализ, сравнив действия и тайминг каждой из сторон. Такое взаимодействие должно быть поставлено на регулярную основу, ведь это позволяет SOC профессионально расти, а информационным системам оставаться защищенными.