20 апреля состоялась онлайн-конференция Anti-Malware.ru «Технологии и продукты оснащения SOC». Мероприятие было посвящено вопросам технологического обеспечения функционирования корпоративного центра обнаружения и реагирования на кибератаки (SOC – Security Operation Center) в условиях санкций и импортозамещения.
В рамках конференции участники обсудили изменения ландшафта угроз за последние 2 месяца, возможности для повышения эффективности работы центров мониторинга и реагирования на киберинциденты, влияние импортозамещения на выбор технологий и продуктов для оснащения SOC.
Руслан Амиров, директор USSC-SOC – центра мониторинга и реагирования на инциденты ИБ компании УЦСБ – принял участие в мероприятии в качестве спикера. В ходе эфира Руслан рассказал, почему перенос контента (включая сценарии выявления инцидентов) является одной из главных проблем при переходе на отечественные инструменты SOC:
«Ранее, когда на российском рынке активно работали иностранные производители SIEM-систем, перенос контента на отечественные аналоги был затруднен на базовом уровне: не хватало полей, парсеров, отсутствовала возможность расширить нормализацию. Сейчас наблюдается активное развитие отечественных продуктов, в которых уже появился необходимый функционал.
Следующий логичный вопрос, возникающий в рамках строительства SOC: почему нельзя взять контент из одного SOC, и перенести в другой? Ответ прост: потому что различаются не только применяемые технические решения, но и специфичность контента под конкретную связку решений».
В качестве одного из советов по разработке собственного контента Русланом было предложено использовать атрибутированные данные Threat Intelligence (TI) по конкретной организации. Сведения TI могут выступать опорой при проработке сценариев выявления потенциальных инцидентов, инициированных конкретными киберкриминальными группировками: речь идет о векторах атак, особенностях проникновения, закрепления и распространения в инфраструктуре, популярных индикаторах компрометации и так далее.